隨著開發(fā)人員和組織認識到云感知應用程序不斷增長的價值，它們的架構和設計正變得越來越流行。云感知應用程序可能非常靈活、容易擴展、能夠更快地進行開發(fā)，而且更加經(jīng)濟。盡管云感知應用程序擁有諸多好處，但它們的架構可能給無意識的人帶來諸多安全挑戰(zhàn)。本文將介紹云感知應用程序所帶來的一些安全挑戰(zhàn)，以及您如何通過各種最佳實踐來解決其中一些挑戰(zhàn)。

云感知應用程序的特征

云感知應用程序是非常簡單的應用程序，它們能夠感知正被利用的云服務和基礎架構，支持無縫且自動化地擴展、精減、故障轉移等。部署在云中的簡單 Web 應用程序實際上是一個部署在虛擬硬件堆棧上的多層軟件堆棧，與此不同的是，云感知應用程序可能擁有一種更加分布式和無狀態(tài)的模型來使用計算的服務和角色模型。要了解傳統(tǒng) n 層應用程序與云感知應用程序的特征的總體比較，請參閱 表 1 和 表 2。

表 1. N 層應用程序特征

表 2. 云感知應用程序特征

從表 1 和表 2 中可以看到，云感知應用程序旨在利用眾多的服務和端點，與在云上運行的更傳統(tǒng)的孤立應用程序不同。由于您的數(shù)據(jù)或應用程序的功能可能依賴于您無法掌控的第三方或合作伙伴服務，因此可能帶來安全問題。盡管云服務存在內在風險，但它們在云感知應用程序中特別流行，您的數(shù)據(jù)可能被暴露處于靜止、活動和使用狀態(tài)。此外，在云感知應用程序中，您的數(shù)據(jù)最終可能由第三方管理或使用。合作伙伴可能擁有糟糕的安全性，可能疏忽地發(fā)布數(shù)據(jù)或被攻擊者利用，不幸的是，甚至對于一些最著名的云應用程序和服務，這些情況也經(jīng)常發(fā)生。另一個問題是，即使您使用 SSL，您的數(shù)據(jù)也有可能遭到損壞，因為它是通過線路傳輸?shù)?。尤其在您的證書或合作伙伴的配置很差的時候，很可能出現(xiàn)這種情況。數(shù)據(jù)也有可能被利用，因為您的數(shù)據(jù)由云環(huán)境使用，云環(huán)境可能被損壞，泄漏您的加密密鑰和重要數(shù)據(jù)。最后，由于云感知應用程序的自動化和連鎖性質，它們的 API 端點通常很容易被利用，除非對它們采取了訪問控制。

云感知應用程序中的加密需求

除了極少的例外，任何公司最重要的資產(chǎn)之一就是其數(shù)據(jù)。您的數(shù)據(jù)可能包括財務信息、專用銷售信息、市場營銷信息、醫(yī)療信息、知識產(chǎn)權 (IP) 等形式。丟失數(shù)據(jù)可能給業(yè)務運營造成負面影響，甚至可能導致您的組織倒閉。該信息被盜或發(fā)布給公眾，可能損壞您的聲譽，導致法律問題，給您的品牌帶來負面影響，在 Sony Pictures 最近受到的攻擊 中就可以看到。所以，保護您的數(shù)據(jù)可能且應該是一項對業(yè)務非常重要的工作，無論您是只有兩個人的創(chuàng)業(yè)公司還是跨國企業(yè)。要保護您在云中的數(shù)據(jù)，您需要采取許多操作——從控制訪問到加固您的操作系統(tǒng)。無數(shù)的數(shù)據(jù)破壞表明了采取一些關鍵步驟的重要性，比如對數(shù)據(jù)的移動和訪問方式創(chuàng)建策略，以及加固您的網(wǎng)絡。無論您采取多少步驟來保護您的系統(tǒng)，總有人可能找到途徑損壞您的數(shù)據(jù)。新威脅隨時可能出現(xiàn)，從更常見的內部人員威脅到民族國家的攻擊，甚至可能包括讓安全專家驚訝和損壞整個系統(tǒng)的軟件中的基本缺陷。因此，正如我已指出的，云感知應用程序應內置安全性，對靜止和活動數(shù)據(jù)都進行加密。

3 種加密狀態(tài)和云的共享風險模型

大多數(shù)安全專家和加密專家將加密分為 3 種狀態(tài)。第一種是靜止數(shù)據(jù)，描述您的數(shù)據(jù)在未使用的文件系統(tǒng)上時的狀態(tài)，比如文件和數(shù)據(jù)庫中的數(shù)據(jù)。第二種是活動數(shù)據(jù)，比如當您將數(shù)據(jù)從一個服務器轉移到另一個服務器時。所有流經(jīng)網(wǎng)絡的位(bit)都被視為活動數(shù)據(jù)。最后，我們還有使用中的數(shù)據(jù)，也就是正在您的 CPU 或 RAM 中使用的數(shù)據(jù)。理解這 3 種加密狀態(tài)，才能更好地理解您在云中的脆弱性。

云感知應用程序創(chuàng)造了獨特的安全威脅，因為基礎架構即服務 (IaaS) 提供商和平臺即服務 (PaaS) 提供商都在使用某種共享風險模型。這意味著，您的云合作伙伴通常會提供一個受保護的數(shù)據(jù)中心、一些網(wǎng)絡安全保護、高可用性存儲和硬件，以及其他服務，但您被要求自行滿足一些安全考慮因素。這些因素包括身份訪問管理和控制、入侵檢測、監(jiān)視、操作系統(tǒng)加固、系統(tǒng)修補，當然還有加密。此外，由于共享風險模型，因為您對您的機器和接觸它們的人沒有物理控制權，所以能夠在物理上訪問您系統(tǒng)的供應商員工或第三方進行攻擊利用的風險更大。云系統(tǒng)中的其他租戶也可能攻擊您的系統(tǒng)或感染它們(盡管目前還未出現(xiàn)過)。因此，云安全聯(lián)盟特意要求加密您的云系統(tǒng)上的所有敏感數(shù)據(jù)，保護您的所有活動數(shù)據(jù)。

策略先于技術：合規(guī)性和控制

在考慮采用哪些方式來保護您的云感知應用程序之前，應該考慮您組織的安全驅動因素，以便可以圍繞您應用程序的保護提出清晰且定義明確的策略。這些策略還需要推進您的安全軟件開發(fā)生命周期 (S-SDLC)，不僅要創(chuàng)建更安全的應用程序，還要在其整個生命周期對它進行管理。開發(fā)您的策略時，一些起點包括：

確保接觸您系統(tǒng)的所有主要利益相關者都參與其中，這些利益相關者的范圍是：從 HR 到業(yè)務運營，到財務，再到高級 IT 管理人員。組織常常忘記包含不同部門，這通常會導致一些問題，比如我們在 Sony Pictures 看到，包含高度敏感的數(shù)據(jù)的合同以明文形式存放在服務器上。

設計一個策略來確定誰能夠訪問您的系統(tǒng)，并實現(xiàn)一個健全的身份管理解決方案，該方案不僅針對您的內部用戶，還針對公開的服務和端點的使用者。您的解決方案必須支持生成訪問日志的能力和基于策略的訪問，以及加密和密鑰管理。最后，盡早考慮多租戶，因為即使是單租戶應用程序，最終在某個時刻也需要支持多租戶。

從總體上決定誰將能訪問您的加密密鑰，以及這些密鑰將位于何處。具體的實現(xiàn)將規(guī)定您如何管理密鑰，但您首先應對誰應能夠訪問它們有一個明確的認識。

仔細考慮您必須遵守哪些法規(guī)，比如 PCI、FISMA、HIPPA 和 GLBA。大部分法規(guī)都要求提供特定的加密水平，或者規(guī)定如何管理加密密鑰。其他法規(guī)要求自動加密員工信息或計算信用卡編號的哈希值等。

與您的利益相關者緊密合作，確定哪些數(shù)據(jù)對您的公司很重要。這比聽起來難得多。擁有敏感的知識產(chǎn)權或專用信息的公司肯定應加密其數(shù)據(jù)，但許多公司擁有可能在最初評估時看起來不敏感的信息。例如，許多公司認為客戶電子郵件或個人信息對任何人都不重要。而犯罪分子非常重視這些信息，可以將它們轉售給垃圾郵件發(fā)送者、網(wǎng)絡釣魚者或身份盜竊者。丟失這類數(shù)據(jù)可能會嚴重危害組織的品牌和其客戶的信任。

盡早決定數(shù)據(jù)破壞策略。有時您可能會遇到數(shù)據(jù)破壞或泄漏。如果執(zhí)行了上述步驟，那么您就可以很好地認識到哪些數(shù)據(jù)是關鍵的，哪些不是。您還會知道您必須遵守哪些法規(guī)，讓用戶了解數(shù)據(jù)(比如個人信息)是否已泄漏，并能夠依據(jù)約束您的應用程序的法規(guī)(比如 HIPPA 或 PCI)來進行響應。

有了這些總體指南和對云的共享風險模型的理解，您現(xiàn)在已經(jīng)很好地了解您需要保護什么了。接下來，我將介紹各種級別的加密方法和保護應用程序端點。

靜止數(shù)據(jù)

有兩種保護靜止數(shù)據(jù)的基本方法：全磁盤加密 (FDK) 包括一個驅動器上的所有信息，而文件級加密 (FLE) 僅加密敏感文件或數(shù)據(jù)。這些方法都非常簡單易懂。使用 FDK，磁盤上的所有信息都會加密。它擁有許多優(yōu)勢，包括更簡單的管理，因為所有信息都會自動加密。該方法的一些不足是，它可能需要大量計算資源，這會影響系統(tǒng)性能，有時會占用太多磁盤空間。盡管如此，大部分使用 FDK 的公司都表明這些開支是物有所值的。但一般來講，大多數(shù)云服務提供商都通過各種服務或 API 簡化了 FDK 的設置和部署。如果您的應用程序中或某個特定數(shù)據(jù)層上(比如數(shù)據(jù)庫)有許多敏感數(shù)據(jù)，那么 FDK 就會很有用。如果只有小部分信息是敏感的，那么 FLE 可能更可取一些。大部分針對云感知應用程序的云服務和軟件堆棧(比如 Cloudant)都可以使用 FLE 輕松地存儲已加密的二進制數(shù)據(jù)。

對于靜止數(shù)據(jù)，要考慮的另一點是反復制技術或數(shù)據(jù)權限管理 (DRM)，可以使用標簽或集成工具(比如 Adobe 的 DRM)等各種技術。根據(jù)您對這些工具的需要，可以顯著減少由于內部人員威脅而導致數(shù)據(jù)泄漏和公開的機會。這對于云感知應用程序非常重要，因為數(shù)據(jù)可能會不斷地在不同的最終節(jié)點中移進移出。在許多情況下，您可能希望結合使用過反復制技術、FDK 和 FLE。例如，您可能有一個應用程序，它的數(shù)據(jù)已在數(shù)據(jù)庫中加密。您的應用程序還會使用報告生成服務生成敏感的、需要加密的報告;這些報告存儲在支持 FDK 的數(shù)據(jù)存儲服務中(比如 Glacier 或 Nearline)。在這種情況下，加密的文件和二進制數(shù)據(jù)存儲在經(jīng)過整體加密的 PaaS 歸檔解決方案上。這種常見設置引出了下一個話題：對于一個共享和使用來自大量端點的數(shù)據(jù)的云感知應用程序，您應該在何處執(zhí)行加密，您在何處存儲您的密鑰?

大多數(shù)云感知應用程序利用了大量的外部服務。例如，您的云感知應用程序可以利用消息隊列服務、圖像緩存服務、數(shù)據(jù)存儲平臺、歸檔服務和其他服務，所有服務都通過一個服務編排平臺來協(xié)調。您的系統(tǒng)會通過您擁有很少控制權的服務來發(fā)送和使用大量包含重要數(shù)據(jù)的消息。出于這個原因，您的數(shù)據(jù)必須始終加密。不幸的是，太多的組織在服務間轉移數(shù)據(jù)而沒有加密其數(shù)據(jù)或文件，并且相信每個服務都會保護其數(shù)據(jù)的完整性。這些做法已導致大型公司通過第三方合作伙伴泄漏了用戶數(shù)據(jù)，這些合作伙伴沒有安全地存儲數(shù)據(jù)，或者實現(xiàn)了糟糕的靜止數(shù)據(jù)存儲機制。因此，您應該加密所有敏感數(shù)據(jù)，在解密前一直保持加密狀態(tài)。這可能很復雜，需要您自行管理加密密鑰。幸運的是，許多公司(比如 KeyNexus 或 CloudCipher)提供了一些相關的產(chǎn)品和服務，允許您使用自己的密鑰或 PKI 基礎架構來始終保持對數(shù)據(jù)的控制。許多 IaaS 提供商還提供了 API，使您能夠使用自己的加密密鑰管理其服務中的加密。選擇提供商時，您應該了解您的靜止數(shù)據(jù)需求，您是否需要控制自己的密鑰，以及您的云應用程序堆棧是否支持它。這通常是一個至關重要的決定。

活動數(shù)據(jù)

一般而言，在任何您的應用程序需要發(fā)送或接收敏感數(shù)據(jù)的時候，您都希望不僅僅加密發(fā)送的數(shù)據(jù)，比如文件，還要加密通信/數(shù)據(jù)傳輸。例如，如果您的網(wǎng)站接受客戶信息或信用卡，您應確保這些通信是加密的，因為這些數(shù)據(jù)會通過用戶的 Web 瀏覽器傳輸?shù)侥脑茟贸绦?。在這種情況下，您需要使用 HTTP Secure 協(xié)議(HTTPS)，而不是 HTTP。HTTPS 使用了 SSL/TLS，后者是一個加密活動數(shù)據(jù)的協(xié)議。其他互聯(lián)網(wǎng)協(xié)議可以使用 SSL/TLS 來加密活動數(shù)據(jù)，而且在云感知應用程序中，最佳做法是盡可能地在每個服務之間以及系統(tǒng)與應用程序之間創(chuàng)建虛擬專用網(wǎng)。這會減少攻擊者損壞您系統(tǒng)的某部分并能夠從剩余部分收集數(shù)據(jù)的風險。您應該使用信譽好的 SSL 證書來保護活動數(shù)據(jù)。如果您不熟悉 SSL，請查閱來自開放 Web 應用程序安全項目 (Open Web Application Security Project) 的優(yōu)秀的 SSL 介紹(參見 參考資料)。

最后，許多組織會犯只信任 SSL，而不使用靜止加密的錯誤。這是一個巨大的錯誤。有許多利用 HTTPS 會話的途徑(盡管可能很復雜)。這是由于軟件及其 SSL 實現(xiàn)中糟糕的配置、設置或底層缺陷，比如我們在 Heart Bleed 錯誤中所看到的。出于這個原因，在網(wǎng)絡上傳輸敏感數(shù)據(jù)之前以及在您傳輸敏感數(shù)據(jù)時，盡可能地加密它非常重要。

使用中的數(shù)據(jù)

通常我們很少對使用中的數(shù)據(jù)進行加密。這主要是因為，擁有或能夠控制自己的數(shù)據(jù)中心的組織認為沒有必要這樣做，他們認為這些數(shù)據(jù)中心是安全的。因此，在服務器運行時，沒有人能夠輕松地訪問它并檢查其 RAM 中的未加密數(shù)據(jù)或實際的加密密鑰。對于基于云的應用程序，您無法確認您應用程序所在的系統(tǒng)的物理完整性。使用中的數(shù)據(jù)的加密迅速變得非常重要。的確如此，2012 年以來，云安全聯(lián)盟就開始推薦將加密使用中的數(shù)據(jù)作為最佳實踐。

目前，沒有 IaaS 或 PaaS 供應商提供對使用中的數(shù)據(jù)的加密，但 PrivateCore 和 Vaultive 等公司提供了支持您所選的云環(huán)境中正在使用的數(shù)據(jù)的系統(tǒng)。對于大多數(shù)云感知應用程序，使用中的數(shù)據(jù)很可能被過于重視，但對于擁有受犯罪組織和國家行為者攻擊的風險很高的組織而言，這應該是一個嚴肅的考慮因素。從某種程度上講，這是因為一些攻擊者專門使用為從 RAM 中提取加密密鑰或數(shù)據(jù)流向而設計的技術。

保護端點

云感知應用程序的另一個最主要特征是 API 的使用，無論是在內部和外部，都使用了 API 來設計靈活的、敏捷的應用程序。盡管許多開發(fā)人員忽視了這一步，但使用 API 時或將任何端點包裝到一個高度抽象的 API 中時對端點加以保護，是一種最佳實踐。原因在于，惡意的行為者通常采用拒絕服務攻擊(DoS)的形式攻擊沒有安全保護的端點。更加機智的攻擊者會利用端點上薄弱的授權來盜竊數(shù)據(jù)，或者以難以預料的方式操作應用程序。因此，所有端點都應該采用某種形式的授權機制來加以保護，比如 OAuth 或 SAML。您還應能夠按地區(qū)或 IP 子網(wǎng)來限制訪問，并記錄系統(tǒng)或用戶對您 API 的訪問。

結束語

開發(fā)安全、云感知的應用程序是一個復雜的主題，會受到您的業(yè)務需求和監(jiān)管環(huán)境的具體情況影響。盡管如此，我們提供了一些重要的建議，它們應該可以幫助您開始生成策略來保護您的應用程序，部署加密，使用訪問控制，以及保護您的端點。我還展示了一些加密數(shù)據(jù)的最佳實踐，提供了一些資源來幫助您創(chuàng)建一個實施云感知安全最佳實踐的計劃。參考資料部分提供了針對云感知應用程序的最佳實踐的更多信息。