導語:2016 ISC中國互聯(lián)網(wǎng)安全大會上,沃通CA(www.wosign.com)首次發(fā)布“基于CA體系的云安全框架”并分享云安全證書應用實踐經(jīng)驗。
在剛剛結束的2016 ISC中國互聯(lián)網(wǎng)安全大會“云計算與大數(shù)據(jù)安全論壇”上,沃通CA創(chuàng)始人王高華先生發(fā)表了《云安全證書應用實踐》主題演講,首次向業(yè)界發(fā)布“基于CA體系的云安全框架”以及沃通CA與阿里云、微軟Auzre云之間的合作模式和應用實踐經(jīng)驗,為業(yè)界云服務安全體系與CA體系的融合提供示范和參考。
云計算安全的重要性
云計算是一種新型的計算模型,是一種新興的共享基礎框架的方法,它面對的是超大規(guī)模的分布式環(huán)境,核心是提供數(shù)據(jù)存儲和網(wǎng)絡服務。云計算通過IaaS、PaaS和SaaS三種服務模型,為用戶提供更加強大的計算能力、擴展能力和反應速度,同時大大降低部署成本和運營成本,云計算模式正在引發(fā)各行業(yè)的深刻變革。在云服務模式下,用戶最擔心的問題就是托管于服務商處的數(shù)據(jù)是否會被泄露、篡改或丟失,未來人們在本地硬盤上幾乎不保存數(shù)據(jù),所有的數(shù)據(jù)都在“云”里,而一旦發(fā)生數(shù)據(jù)泄露,將對用戶造成致命的打擊。因此,云服務的安全直接關系到云計算的未來。
基于CA體系的云安全框架
基于PKI/CA體系的應用產(chǎn)品——數(shù)字證書,是構建云計算安全與可信的重要手段。PKI技術是國際公認的實現(xiàn)互聯(lián)網(wǎng)安全與可信的核心技術,通過數(shù)字證書(公鑰和私鑰、加密算法和摘要算法)、證書頒發(fā)機構(CA機構)、證書鏈(受信任的根證書頒發(fā)機構-中級根證書頒發(fā)機構-用戶證書)、證書管理(申請、頒發(fā)、吊銷、重新頒發(fā)、續(xù)期)等幾大元素,實現(xiàn)各種網(wǎng)絡應用中的安全加密和可信認證問題。沃通CA發(fā)布基于CA體系的云安全框架,針對云服務端、客戶端及中間傳輸?shù)奈募?、代碼程序等互聯(lián)網(wǎng)三大元素,實現(xiàn)數(shù)據(jù)的機密性和完整性、通信各方的身份真實性以及行為不可抵賴性。
·SSL證書
當提到云計算安全的時候,我們常常想到的是抗D攻擊、云WAF、漏洞掃描、入侵檢測等安全服務,而HTTPS加密卻常常被忽略。利用HTTPS加密機制保護數(shù)據(jù)傳輸安全,從而確保數(shù)據(jù)完整性及保密性已經(jīng)相當普遍的安全措施,但在云安全應用體系中,并沒有得到廣泛應用。
云服務未啟用HTTPS加密,用戶訪問云服務時的所有通信數(shù)據(jù),都在網(wǎng)絡中明文“裸奔”,無需攻擊或拖庫,就能輕松攔截到用戶敏感數(shù)據(jù);HTTP協(xié)議無法驗證通信方身份,任何人都可以偽造虛假服務器欺騙用戶,實現(xiàn)“釣魚攻擊”,用戶根本無法察覺。HTTP明文協(xié)議的缺陷,是導致數(shù)據(jù)竊取、數(shù)據(jù)篡改、流量劫持、身份冒用、釣魚攻擊等安全問題的重要原因。
為云服務部署SSL證書,能夠確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài),同時驗證服務器身份的真實性,防止云服務器被假冒,有效解決常見的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚攻擊等安全事件,確保用戶和云服務端之間的信息交互始終安全。
·代碼簽名證書
不管是SaaS、PaaS還是IaaS都存在應用程序安全和信任問題。在PaaS服務中,服務商需要審查用戶上傳的應用程序是否為惡意程序;在IaaS服務中,服務商云平臺上也容易被放置惡意攻擊程序;SaaS服務商所提供的在線軟件類應用程序也需要對代碼的安全和可信進行驗證。
使用代碼簽名證書,可以認證云內(nèi)應用程序開發(fā)者真實身份,確保程序來源可信;對程序進行數(shù)字簽名,確保程序在云端沒有被非法篡改或植入病毒木馬,從而保護云平臺應用程序安全。
·客戶端證書
云服務模式下,用戶身份認證與訪問控制面臨新挑戰(zhàn):用戶數(shù)可能少則10萬,多則100萬、1000萬,甚至上億。用戶帳號加弱口令密碼的身份認證方式容易被泄露、被冒用或被“撞庫攻擊”。
云計算系統(tǒng)應建立基于數(shù)字證書的統(tǒng)一、集中的認證和授權系統(tǒng),以滿足云計算多租戶環(huán)境下復雜的用戶權限策略管理和海量訪問認證要求,提高云計算系統(tǒng)身份管理和認證的安全性。云平臺用戶可以通過沃通WoSign的API接口獲取數(shù)字證書,為用戶實現(xiàn)強身份認證登錄、權限管理、行為追溯及文件加密。
安全訪問:采用客戶端認證,對不同類型和等級的系統(tǒng)、服務、端口采用強身份認證登錄。
權限劃分:根據(jù)用戶、用戶組、用戶級別的定義來對云計算系統(tǒng)資源的訪問進行集中授權。
行為追溯:基于客戶端證書的用戶訪問日志記錄,追溯訪問行為。
文件加密:基于客戶端PDF證書,簽名加密放在云中的所有文件,不是簡單的自編算法加密,必須用用戶的客戶端證書加密各種文件保存在云端,用戶下載到自己的電腦用證書私鑰解密。
沃通CA云安全證書應用實踐
沃通CA(www.wosign.com)發(fā)布的“基于CA體系的云安全框架”,不僅對云安全體系中的證書應用提供了清晰的思路,而且分享了成熟的應用實踐。沃通CA已經(jīng)和阿里云、微軟Azure云等國內(nèi)外知名的云服務廠商進行合作,將CA體系融入到云安全體系中。
以阿里云為例,沃通CA(www.wosign.com)為阿里云定制開發(fā)SSL證書API接口,將證書申請服務集成到阿里云平臺,用戶可以直接在阿里云平臺上,在線申請沃通SSL證書,進行提交驗證材料、管理證書狀態(tài)、自動部署證書、在線吊銷證書等操作。阿里云盾證書服務和阿里云產(chǎn)品打通,可一鍵部署SSL證書到阿里云產(chǎn)品中,縮短SSL證書申請時間,降低HTTPS實施難度,幫助云平臺用戶快速將所持云服務從HTTP自動轉換成HTTPS。目前阿里云盾高防產(chǎn)品的SSL證書推送服務已率先打通,CDN/SLB/云郵箱等云產(chǎn)品也將陸續(xù)開啟。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!