從 CSA 看雲端服務與資訊安全威脅 台灣分會創辦人暨研究小組召集人蔡一郎
蔡一郎學歷 : 國立成功大學電腦與通訊工程研究所現任 :Cloud Security Alliance Taiwan Chapter Founder & Director of Research 重要經歷 : 國家高速網路與計算中心副研究員國立成功大學研究發展基金會助理研究員崑山科技大學資訊管理系兼任講師中華民國資料保護協會監事中華民國南部科學園區產學協會理事 監事 The Honeynet Project Taiwan Chapter Leader 部落客 :http://blog.yilang.org 自由作家電腦圖書著作 33 本 Information Security( 資安人 ) Linux Guide NetAdmin 網路資訊等專業文章, 計 70 餘篇專業證照 : RHCE 10012 LAC CCNA CCAI CEH CHFI ITIL Foundation ISO 27001 LAC ISO 20000 LAC BS 2
何謂雲端運算從國際資訊安全會議看新世代威脅 Cloud Security Alliance 簡介重新啟動雲端安全生態系統 CSA 研究議題與趨勢分析面對雲端服務的安全威脅摘要 3
Compute as a utility: third major era of computing Cloud enabled by Moore s Law Hyper connectivity SOA Provider scale Key characteristics Elastic & on-demand Multi-tenancy Metered service IaaS may track energy costs 5
NIST Gartner 雲端運算是一個模式, 能便利地隨需透過網路存取設定好的共享運算資源池 ( 如網路 伺服器 儲存裝置 應用程式與各類服務 ) 可以最少的管理工作或服務供應商互動, 進行快速配置和發佈 雲端運算是一種具備大量且可擴充之 IT 相關能力的運算, 透過網際網路技術並服務的方式 (as a service) 提供給外部的使用者 Forrester 雲端運算是一種具有高度彈性 抽象的運算中心, 可以提供使用者所需要的應用程式, 並可依據資源使用多寡來收費 IDC 雲端運算是一種即時的 IT 能力運算網路平台, 可被請求 被供應 被傳遞以及被消費 Google Wikipedia IBM 應用程式和資料在雲端, 可以透過任何裝置存取, 使用瀏覽器在網雲間相互連通 雲端運算是種能夠將動態伸縮的虛擬化資源, 透過網路以服務的方式提供給使用者的運算模式, 使用者不需要知道如何管理那些支援雲端運算的基礎設施 雲端運算是種分享的網路資訊服務的模式, 使用者看到的只有服務本身, 不用關心相關基礎的建置 6
Multiple Logins / Weak Security Lack of Visibility Manual Provisioning Unauthorized Access to Data Audit Silos Scalable, Federated Trust 7
Governance, Risk, Compliance Data Use Policy Enforcement Compliance Reporting Pro-active SIEM integration & Alert Datacenter Enterprise Apps Applications Governance, Risk, Compliance Identity and Access Control Identity and Access Control AuthN & AuthZ at edge tied to IdM Federated Identity Attribute Based Access control Fine grained access control Data confidentiality, PKI, Encryption Perimeter Defense Edge AuthN Perimeter Defense: Chokepoint Secure Hypervisor Anti-Virus and Malware Content Threat Protection Secure API Management Security Token Services Portal Enterprise Clients Employees Developers Admins Mobile Client Security: Protection from Malware Secure Federated Session Secure Client/Browser Exe Environment Occasionally connected Proprietary technologies Today s complex environments require security management at multiple layers. Copyright Copyright 2012 Cloud 2012 Security Cloud Security Alliance Taiwan Alliance Chapter
RSA Conference 為國際主要資訊安全會議之一, 每年於北美 歐洲與亞洲舉辦 2012 年的兩大議題 雲端安全 (Cloud Security) 行動通訊安全 (Mobile Security) 雲端服務與身份識別 CSA 於 RSA Conference 2012 成立 Mobile Security WG 10
網路自動化攻擊行為大量增加 惡意程式變種速度快特定產業之 APT 攻擊增加 虛擬化的惡意程式分析平台雲端服務讓資安問題更加重要全球誘捕網路資料中心的建置 (Honeycloud) 超過 1600 萬種 Malwares 2000 萬種 Shell Code 巨量資訊視覺化系統與網路鑑識技術 11
殭屍網路仍為目前最大的資訊安全威脅來源混合 APT 攻擊造成更大的威脅行動裝置的安全問題惡意程式大量採用匿蹤技術惡意程式特徵變種速度大增新一代 Honeynet 的建置與發展規劃新世代的行為偵測工具與分析技術惡意程式測試平台介紹 12
傳統的安全策略已逐漸失效 APT 攻擊的威脅網路化的應用服務成為資訊安全攻擊的目標行動裝置的軟體 硬體與通訊安全議題 NFC 的安全議題 Android ios 的應用程式安全問題多重變形的病毒偵測技術 HTML 5 JavaScript XSS 等漏洞的揭露 13
CTF(Capture The Flag) 競賽實體安全技術的應用通訊安全的議題數位鑑識分析技術與反偵測技術作業系統 應用軟體 程式代碼等新技術零時差攻擊與弱點揭露 14
網路應用服務的安全問題 行動裝置相關的系統 軟體 硬體的安全議題 惡意程式的發展與應變 巨量資料的收集與分析 面臨新的挑戰 服務導向與資源整合 跨平台的整合需求 複雜化與集中化的運算架構 分散式資料的管理 隱私與機敏資訊的處理 15
雲端安全聯盟 (CSA, Cloud Security Alliance) 成立於 RSA Conference 2009, 為全球性的非營利組織 致力於在雲端運算環境下提供最佳的安全方案 自其成立起, 雲端安全聯盟發佈的雲端安全指南及其開發成為雲端運算領域令人矚目的重要文件 全球超過 31,000 獨立會員,126 家廠商會員,60 個分會 2011 年 11 月 14 日, 雲端安全聯盟發佈了新版的 雲端安全指南 v3.0, 指南中代表著雲端運算和安全業界對於雲端運算及其安全保護的認識 雲端安全聯盟 CSA 的宗旨 : 提供用戶和供應商對雲端運算必要的安全需求與資安認知 促進對雲端運算安全最佳做法的獨立研究 發起正確使用雲端運算和雲端安全解決方案的宣傳和教育計畫 創建有關雲端安全保證的問題和方針的明細表 資料來源 :Cloud Security Alliance http://cloudsecurityalliance.org/ 17
提供用戶和供應商對雲計算必要的安全需求和保證證書的同樣認識水平促進對雲計算安全最佳做法的獨立研究發起正確使用雲計算和雲安全解決方案的宣傳和教育計劃創建有關雲安全保證的問題和方針的明細表 Research www.cloudsecurityalliance.org/research Education www.cloudsecurityalliance.org/education/training/ Certification CCSK (individual) www.cloudsecurityalliance.org/certifyme CSA STAR (provider) www.cloudsecurityalliance.org/star To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing 18
2012/8/15 於 CloudSec Singapore 2012 會議上, 正式宣部 Cloud Security Alliance 總部將設置於新加坡 設置全球研究中心 全球標準秘書處和 CCSK 全球卓越培育與訓練中心 APAC 將成為發展重點區域 2012-2015 年雲端服務相關預計成長 日本約 155% 澳大利亞約 129% 新加坡約 109% 馬來西亞約 107% 印度尼西亞約 103% 印度約 99% 簽約儀式 : 雲端安全聯盟 (CSA) 經濟發展局 (EDB) 資訊通信發展管理局 (IDA) 19
Websit:http:/// Facebook 社群 :https://www.facebook.com/groups/csa.taiwan/ LinkedIn 社群 :Cloud Security Alliance, Taiwan Chapter http://www.linkedin.com/groups?gid=4131253 Cloud Security Alliance 官方網站 :https://cloudsecurityalliance.org/ 20
雲端服務供應商與使用者之間面臨巨量資料的處理可放置在任何地方的資料中心與設備各司所職的服務供應商與扮演的角色短暫供應商之間的關係採用虛擬化的管理機制供應商與使用者身份的認證與管理雲端服務將改變現有的資訊安全防禦架構重新啟動雲端安全生態系統 22
自 2011 年起大規模的網路攻擊行為激增, 並且造成實質影響 營運規模越大 擔任的角色越重要, 將越容易成為主要攻擊目標 目的 意圖破壞或癱瘓某個組織的服務 竊取使用者的資料, 或在攻擊後在網站上留下訊息, 以針對訴求的意見, 引起關注或表達抗議 手法 結合多種攻擊技術 (Malware Botnet APT) 與環境 (Web-Based Cloud Services), 進行大規模針對性攻擊 對象 政府單位 組織 Amazon Sony Google RSA Facebook Dropbox icloud 23
隨時變化中的雲端架構與服務型態全球不相容的立法和政策無標準化的私人雲與公共雲缺乏持續的風險管理與符合法規風險監測分析不完整的身份管理面臨資訊安全事件的回應服務導向的整合與管理傳統的安全防禦機制已逐漸失效 24
雲端架構 (Cloud Architecture) 雲端運算架構框架 (Cloud Computing Architectural Framework) 雲端治理 (Governing in the Cloud) 治理與企業風險管理 (Governance and Enterprise Risk Management) 法律議題 : 合約與電子證據發現 (Legal Issues: Contracts and Electronic Discovery) 法規遵循與稽核管理 (Compliance and Audit Management) 資訊管理與資料安全 (Information Management and Data Security) 相互運作與可移植性 (Interoperability and Portability) 雲端營運 (Operating in the Cloud) 傳統安全 營運持續和災難復原 (Traditional Security, Business Continuity, and Disaster Recovery) 資料中心營運 (Data Center Operations) 事故回應 (Incident Response) 應用程式安全 (Application Security) 加密與金鑰管理 (Encryption and Key Management) 識別 權限與存取管理 (Identity, Entitlement, and Access Management) 虛擬化 (Virtualization) 安全即服務 (Security as a Service)
因應資訊技術發展, 成立特定主題之工作小組 新興議題 創新議題 雲端服務安全 雲端架構 商業會員著重於技術標準 技術規範 資訊技術 法規 資訊交換共通標準等領域 目前有 19 個研究議題, 其中 2 個僅限商業會員參與 召集全球會員參與工作小組運作 工作小組為任務編組, 會員自由參與 每月平均一至兩次工作會議 ( 電話會議 ) 每年於 CSA 辦理之國際研討會進行發佈 27
? Thinking 28
Requirements for Securing Traditional, Virtualized, and Cloud Based Environments Authentication Authorization Attribution Audit Data Protection Basic Authentication Single Sign-on Strong Authentication Identity Proofing Behavioral Analysis Reputation Roles Access Management Policy Decision Policy Enforcement Federation Claims Privileged User Management Account Provisioning / Deprovisioning Roles & Entitlement Assignment / Revocation Access Request and Approval Attribute Update Logging / Reporting Log Management Event Collection / Correlation Remediation Security of Data in Motion Transaction Communications Security of Data at Rest Disk Encryption Data Loss Prevention Most of these are very familiar, but we will have to consider how the dynamic of cloud computing changes our approach to these requirements 29
目前台灣分會已成為 CSA 官方正式分會擔任國際總會與國內的聯絡橋樑國際發展資訊的傳遞協助國內產業發展與連結國內相關組織 雲端資安相關產業雲端運算產業協會 工研院 資策會 導入雲端資訊安全研發議題 Mobile Security Big Data HIM TCI 31
資料保全與存取保護 處理雲端服務產生大量的資料重要資料的保護 產業發展方向 資料 / 資料庫備份資料 / 檔案保護技術 雲端安全聯盟相關計畫 HIM, Health Information Management CDG, Cloud Data Governance TCI, Trusted Cloud Initiative 雲端身份認證平台 雲端儲存服務 支援 OpenStack 等技術
雲端安全服務 複雜的資訊安全防護架構 利用雲端環境提供資訊安全服務型態 產業發展方向 雲端安全維運服務 雲端資訊安全事件偵測 應變與處理 雲端安全聯盟相關計畫 CloudSIRT, Cloud computing Security Incident Response Team SecaaS, Security as a Services Big Data CTP, Cloud Trusted Protocol 巨量資料處理服務 資訊安全設備虛擬化技術
雲端服務稽核與資料管理 落實個人資料與隱私權保護 風險評估與管理 雲端安全聯盟相關計畫 Cloud Audit CCM, Cloud Controls Matrix 個資盤點 產業發展方向 雲端安全顧問輔導雲端服務稽核驗證 推動 雲端服務信任標章 E-Discovery 產業 雲端數位鑑識產業 STAR, Security Trust & Assurance Resources CAI, Consensus Assessments Initiative TCI, Trusted Cloud Initiative
雲端運算平台安全 提供雲端服務管理平台安全控管機制 虛擬主機管理平台安全 產業發展方向 虛擬主機管理服務 雲端應用程式服務 雲端安全聯盟相關計畫 Top Threats to Cloud Computing STAR, Security Trust & Assurance Resources MWG, Cloud Metrics GRC Stack 文創 算圖服務 效能與資源管理平台開發
資通訊基礎設施安全 提供資通訊網路連線與資料分析 適用於雲端環境中的資訊安全設備 產業發展方向 雲端服務運算設備 網路通訊設備 資訊安全防護設備 行動通訊安全相關軟硬體 M2M 通訊安全 雲端安全聯盟相關計畫 TWG, Telecom Working Group CSA Mobile GRC Stack CDG, Cloud Data Governance
雲端服務不是新的技術, 而是需要啟動新的生態系統網路化的時代, 讓我們與雲端服務劃上等號傳統的資訊安全威脅持續演進, 新型態的資項安全威脅與日劇增國際資安潮流與趨勢, 已走向雲端化與行動化的安全防禦雲端安全聯盟主要的使命 : 確保使用雲端服務的安全性雲端安全聯明的研究議題, 影響著未來雲端服務與安全架構的發展雲端服務環境的改善與強化 37
The Cloud is here We are in the cloud Now secure it Cloud Security Alliance Taiwan Chapter 蔡一郎 Steven Tsai yilang@cloudsecurityalliance.org.tw