雲端運算資安關鍵領域與風險介紹

國家資通安全會報技術服務中心

101/10/16

1

報告大綱

● 雲端資安

● 雲端資安關鍵領域

● 雲端資安風險因子

● 雲端信賴

● 結論

2

前言

● 雲端資安的重要性已是共識

● 然而，雲端資安如何落實？如何掌握資安關鍵項目？如何降低風險？

– 雲端服務供應商，服務供應商與使用者仍無法清楚掌握

雲端資安關鍵指引 V 3.0

ENISA雲端運算資安風險評估

NIST SP800-145

雲端資安關鍵因子 資安風險評估

聯邦風險和授權管理程序

3

Cloud Security Alliance簡介

● 成立於2009年RSA會議，非營利組織

● 致力於雲端環境下提供最佳的安全方案

● 全球超過31,000獨立會員120家廠商會員60個分會：Microsoft、KPMG、Google、EBay、Amazon等

2009

成立

2010 2011 2012

CSA資安指引 V2.1 CSA資安指引 V3.0CCSK 認證

Cloud Control MatrixConsensus Assessments Initiative

CloudAudit

?

Cloud Trust Protocol

4

Government Specs Extensions Commercial

??? Continuous monitoring … with a purpose

● Common technique and nomenclature to request and receive evidence and affirmation of controls from cloud providers

??? Claims, offers, and the basis for auditing service delivery

● Common interface and namespace to automate the Audit, Assertion, Assessment, and Assurance (A6) of cloud environments

• FedRAMP• DIACAP• Other C&A standards

Pre-audit checklists and questionnaires to inventory

controls

● Industry-accepted ways to document what security controls exist

NIST 800-53, HITRUST CSF, ISO 27001/27002, ISACA COBIT, PCI, HIPAA, SOX, GLBA, STIG, NIST 800-144, SAS 70, …

The recommended foundations for controls

● Fundamental security principles in assessing the overall security risk of a cloud provider

雲端資安管理架構

資料來源: Cloud Security Alliance

Deliver “continuous monitoring” required by A&A methodologies

•雲端資安分別從政府與企業角度進行分析•可從雲端資安關鍵因子與資安風險評估探討

5

CCSK介紹

● CSA於2010推出全球第一個雲端安全認證「CCSK (Certificate of Cloud Security Knowledge)」– 雲端安全聯盟開發了符合實務要求的「

Security Guidance for Critical Areas of Focus in Cloud Computing, V2.1」安全指引，以及參考歐洲網路與資訊安全局(ENISA)的「Cloud Computing: Benefits, Risks and Recommendations for Information Security」白皮書

– CCSK 目前採取線上考試，內容為50題選擇題，需答對80%以上才算合格，考試時間為1小時，考試費用$295美元

6

何謂雲端服務

● This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models [NIST]

NIST Visual Model of Cloud Computing Definition資料來源: NIST SP800-145

7

“X” as a Service 雲端服務

● X 可以是– IaaS: Infrastructure as a Service– PaaS: Platform as a Service– SaaS: Software as a Service– SECaaS: Security as a Service

● 但X也可以是… Cybercrime as a Service 犯罪服務平台– 便宜的密碼破解– DDoS的發動源頭– 無限的資料可以偷取

● 或是，Malware as a Service 惡意程式服務平台– 殭屍網路(Botnet)的大本營– 病毒木馬更新基地

8

雲端面臨的安全問題

● 雲端資安的威脅來自個人端、中間傳輸及雲端平台本身

● 幅度變廣變深，更需結合技術與管理的防範

個人端 中間傳輸 雲端

中病毒

中木馬

中後門

帳戶密碼共用

連線釣魚網站

連線XSS網站

Cookie Poison攻擊

DNS Spoofing

ARP Spoofing

網路監聽

網路資料竄改

網路資料重播

阻絕服務攻擊 系統整合問題

水平權限/垂直權限攻擊

目錄遊歷攻擊

XSS攻擊

SQL Injection攻擊

Command Injection攻擊

HTML Injection攻擊

9

雲端面臨的安全問題

Wireless Security

Mobile Security

End-point Security

Browser Security

Network Security

Identity and Access Management (IAM)Client

DNS Security

Intrusion Management

Business Continuity Plan and Disaster Recovery Plan

Security Information and Event Management (SIEM)

Data Loss Prevention

Virtualization Security

Penetration Test Assessments

Vulnerability Assessments and Management

Cloud

E-Mail

Web

Storage

DB

10

On-demand self-service

● 隨選自助服務開通

● 只要符合降低使用者使用服務所需之時間與程序成本之機制，通常就是讓這機制透過軟體達

到自動化

● 具簡單明瞭的使用介面並以技術克服繁雜程序

● 動態開通帳戶且確保隱私性及權限的管理.

● 需預防或偵測不明使用者的註冊與濫用

11

Broad Network Access

● 所提供的服務要能讓終端設備能夠存取● 在服務設計上，需要遵照標準的介面或是規格(例如：XML-based Web service,HTML)

● 因為網路連接的範圍變廣(Mobile, setupbox等) ，因此所遭受的資安弱點恐會更多

● 需要留意的Broad Network Access安全的問題，曝露越多弱點越多

● 留意終端裝置(尤其行動裝置)的安全 (HTTPS或是憑證是要考量的)

12

Resource Pooling

● 在事先無法預知使用者資源的使用情況下，透過共享資源池的概念，讓資源供給具有效性

– 預估資源的機制

● 資源雖是以實體的方式存在，但為了便於調配與管理，通常需採用邏輯與概念的角度進行管理，例如運算需要

以EUP來評估

● 就PaaS的角度，Web資源與資料庫使用往往是多租戶資源配置的瓶頸，因此為了提供穩定的PaaS

● IaaS的角度則是最容易理解的，VM配置與收回即為一例

13

Rapid Elasticity

● 概念就是to quickly scale out [and] scale in

● 資源配置是全自動化，非常少的人力介入,甚至Rapid Elasticity是跨組織(下游廠商)都有可能– 例如惡意程式動態分析需要同時分析更多的VM，就可以很快的自動配置完成(包含分析軟體等)

14

Measured Service

● 服務皆需量化,如:登入幾次,分析多少多大多久,使用多少流量運算等,都要被測量與記錄

● 測量服務需兼顧快速的資料查詢以及測量的精確性

● 這些測量的資料亦有妥善保管,免得造成隱私的外露

15

雲端環境資安需補強之方向

● On-Demand Self-service– 資安評估自動調配機制的可靠性？超過傳統資安的範圍？是否有效率？

● Broad Network Access– 各式設備是否安全(如終端智慧型行動電話) ？

● Resource Pooling– 動態資源分配是否可靠？

– 多用戶資源隔離的議題？

– 區域屬地之法規限制？

● Rapid Elasticity– 遞移性的資源配置造成資源預估困難及角色定位的不明確？

● Measure Service– 蒐集評估衡量資料時，隱私是否會造成侵犯？

16

什麼不是雲端

● iCloud-我的東西都存在雲端上，手機就是一台thin client?

● 像 FaceBook一樣在雲端對話?

● 雲端運算就是將所有的資料都送到網路去處理?

● 要做雲端運算要建置大型機房，將電腦集中運用?

● 雲端運算使用虛擬化技術快速部署資源或獲得服務，可以提高伺服器使用率?

● 用 Hadoop來做雲端運算?

● 我的軟體是 SaaS，所以是一種雲端運算?

17

CSA涵蓋範圍

雲的治理方式 雲的運作維護

D2.治理和企業風險管理

D3.法律與電子證據舉證

D4.規範與稽核

D5.資料生命週期管理

D6.可移植性和互操作性

D7.傳統安全、業務連續性災難恢復

D8.資料中心運行

D12.身分管理和存取管理

D9.及時回覆、通告和補救

D10.應用安全

D11. 加密和密鑰管理

D13. 虛擬化

D14.資安即服務

雲的架構

D1.雲端運算架構

18

CSA 3.0 更新

● 新領域︰領域14資安即服務 (Security as a Service)

● 新增並橋接技術與管理標準– Standard：SAML、OVC、ISO/IEC 27002 – Guideline：TOGAF、SABSA、ITIL、COSO

● More analysis models– Information Lifecycle Phases – Possible and Allowed Controls – Control Matrix

19

雲端資安關鍵因子與系統開發

●雲端關鍵資安因子與系統生命週期之關聯

19

雲端運行

• 規劃資安治理計畫• 分類資訊系統• 分析財務/業務影響• 確定資安治理流程

•評估系統風險•設計安全的系統架構

•執行設定管理與控制•建立持續性監控

•整合資安治理至已建立之系統•評估系統資安能力

CSA

法律案例分析

電子化政府

ENISA

雲端治理

法律/法規

新興科技

NIST

資料來源: Kao et al., Cloud SSDLC: Cloud Security GovernanceDeployment Framework in Secure System Development Life Cycle,

IEEE TrustCom 2012.

20

領域2 法律與電子證據發現

● 治理建議– 與傳統資訊系統區別◎ 服務時間

◎ 匿名服務提供者

◎ 未知伺服器所在

– 考量功能、司法及合約

● 雲端運算分散式生態環境，產生潛在的法律風險– 美國和歐盟的法規與制度，將責任轉移給分包商，或者要求商業實體通過合約進行限制

21

雲端資安法律議題模擬案例分析

個資法

機關(公務/非公務)

資料當事人(資料主體)

資訊系統開發廠商

契約(如:SLA)

IaaSPaaSSaaS

IaaSPaaSSaaS

IaaSPaaSSaaS 資訊廠商 IaaS

PaaSSaaS

委外委外

雲端法律重要角色關係：1.資料當事人2.承辦機關3.資訊系統開發商牽涉法律問題：1.契約(SLA)2.個資法

22

領域3 法規遵循與稽核

● 實行雲端前的評估考量– 監管法規的適用性（使用特定雲端服務時）– 雲端服務供應商和使用者在法規責任上的區別– 提供法規所需資料的能力（雲端服務供應商）

● 治理建議– 檢視相關的夥伴與服務提供者– 提供必需的(安全)控制– 分析法規條例對供應商基礎架構的影響– 評估法規條例相關的政策和規程– 準備法規需求的證據– 選擇專業的稽核師– 聲明供應商應該有最低級別的稽核 (SAS 70 )– 符合ISO認證標準(ISO/IEC 27001)– 確保通過關鍵的認證準則

23

領域4 規範與稽核

● 稽核– 瞭解雲端的稽核者

– 要求雲供應商提供SSAE 16 SOC2 與 ISAE 3402 Type 2報告

– 服務水準同意書需交由獨立第三

方進行評估

● 規範– GRC (Governance, Risk and

Compliance)價值生態系統

資料來源:CSA雲端資安關鍵指引 V 3.0

24

領域5資訊生命週期管理

● 實行雲端前的評估考量– 資料安全– 資料刪除或持久性– 不同客戶資料的混合– 資料備份和恢復重建(Recovery and Restoration)計畫

– 資料發現(Discovery)● 實行雲端的評估建議– 針對(SaaS、PaaS或IaaS) 每個階段提出建議– 建議需要客戶同意下進行實施，另一些需要由雲端服務提供者配合實施，例如:資料創建階段建議=>導入DRM

25

領域5資訊生命週期管理 (續)

資料來源:CSA雲端資安關鍵指引 V 3.0

26

領域6 可移植性和互操作性

● 評估雲端服務供應商轉換問題– IaaS雲解決方案建議：首先瞭解新雲端服務提供商如何採集和移植虛擬機器映像檔

– PaaS雲解決方案建議：使用標準語法、開放原碼的應用程式介面和具開放標準的平台元件

– SaaS雲解決方案建議：執行常規的資料存取和備份

27

領域7 傳統安全、業務持續和災難恢復

● 實行雲端的評估建議

– 訂定安全標準、簽訂員工保密條款、實地勘察安全設施

– 檢查災難恢復計畫、辨識供應商基礎設施、掌握安全控制檔

– 納入恢復時間於技術規劃過程合約

– 確認供應商的董事會批准Business Continue Project政策

– 定期審查業務持續程序

– 檢查BCP符合國際標準認定

– 提供客戶線上資源參考

– 確認通過銷售商安全過程(Vendor Security Process, VSP)的審核

– 利用頻繁週期與使用者互動

28

領域8 資料中心運行

●實行雲端前的評估考量– 瞭解雲服務提供者如何實現On-demand self-service、Broad

Network Access、Resource Pooling、Rapid Elasticity、Measured Service

– 分析技術架構和基礎設施會影響滿足服務水準協議SLA和解決安全問題的能力與否

– 瞭解處理資源動態分配方式

●實行雲端的評估建議– 審視雲服務供應商的流程，選擇服務提供者的實際運作狀況以更好匹配服務與組織需求所遭遇到之非預期問題

– 提出資料中心運行建議表

29

領域9 事件回應、通報和矯正

● 實行雲端的評估建議

● 提供安全資訊和事件管理(SIEM)流程– 可用以識別可用資料來源(應用程式日誌、防火牆日誌、以及IDS日誌等等)，並且 將這些日誌合併進通

用分析，警告平台(Alerting Platform)可協助SOC偵測雲端運算環境之事件。

● 提供協助事件回應的工具– 應用服務層級防火牆、代理伺服器等

● 考察離線分析的能力

30

領域10 應用程式安全

● 實行雲端前的評估考量– 應用程式改變應用安全架構，具動態依賴性

– 影響軟體發展生命週期(SDLC)層面

– 隨時揭露Web應用弱點

● 實行雲端的評估建議– 重視軟體發展生命週期(SDLC)的安全

– 掌控工具和服務流程

– 應用程式需支援安全分析工具

31

領域11 加密和金鑰管理

● 實行雲端的評估建議– 確保加密符合相關標準(合約)

– 雲端服務供應商須進行金鑰管理

– 供應商定義了金鑰管理生命週期的與否

– 加密在網路中機密資料/靜態資料

32

領域12 身份管理與存取管理 (IAM)

● 實行雲端的評估建議– 身份認證服務

– 存取控制建議

– 身份和資料存取

33

領域13虛擬化

● 實行雲端前的評估建議– 虛擬機器間隔離資安強化– 資料混合存放在集中的服務和儲存環境– 不同敏感度和安全要求的虛擬機器如何共存

● 實行雲端的評估建議– 驗證虛擬機器映像檔的完整性及出處(使用雲端供應商提供映像檔)

– 監測虛擬機器流量，管控虛擬機器管理員的存取控制– 瞭解虛擬機器內部安全控制與虛擬機器管理介面– 安全控制機制如：入侵檢測、反病毒及弱點掃描等

34

領域14 資安即服務

● Security as a Service

● 資安產品被共同所擁有、傳遞與遠端管理

，資安功能將被共同

的擁有

● 一對多的傳遞模式（One-to-Many Delivery Model）

-客戶以『Subscription』

或『Pay-for -Use』

備註：圓圈大小表該廠商資安營收規模(百萬美元)相對大小，廠商前序號表該廠商於全球資安產值市佔率排名資料來源：資策會MIC，2009年6月

內容安全(防毒、郵件安全、文件安全)

身分識別/弱點管理

威脅管理(防火牆、入侵偵測、UTM)

10. EMC/RSA 10. EMC/RSA (420M)(420M)

5. Trend Micro 5. Trend Micro (834M)(834M)

2. Cisco 2. Cisco (1,910M)(1,910M)

6. Check Point 6. Check Point (774M)(774M)

7. Juniper 7. Juniper (581M)(581M)

8. Microsoft 8. Microsoft (547M)(547M)

4. IBM 4. IBM (878M)(878M)

9. CA 9. CA (463M)(463M)

1. Symantec 1. Symantec (2,914M)(2,914M)3. 3.

McAfee McAfee (1,614M)(1,614M)

35

領域14 資安即服務 (續)

● 改變傳統資安產品的「傳遞模式」與「付費方式」

● 具備「成本節省」與「加速建置時程」兩大優勢

-傳統管理安全服務所費不貲，企業對資安委外服務的需求逐漸轉變

-滿足企業對資安委外與降低成本的需求

36

領域14 資安即服務 (續)

● 政府組織因應Security as a Service應留意下述項目:

– 界定資安服務的範籌

– 服務水準協議(SLA)的強調

◎ 服務時間、事件回應速度、系統可用率、異常事件處理程序與稽核作業

– 評估資安服務廠商

◎ 市場口碑、專業認證與技術完整

– 確認與一般外包的差異

◎ 政府的資安服務承包商應不適合再下包

– 遵循資料保護相關法規

◎ 資安政府特定資料需交付具備符合標準的廠商

37

雲端服務風險分析

● ISO/IEC 27005– 兩個維度(2 dimension)– 風險程度：非常高、高、中、低、非常低

● ENISA– 政策及組織風險◎ 供應商綁定(Provider Lock-in)◎ 喪失治理(Loss of Governance)◎ 遵循及符合上的挑戰(Compliance Challenges)

– 法規風險– 技術風險◎ 隔離失效(Isolation failure)◎ 供應商之惡意內部使用者(Cloud Provider Malicious Insiders)◎ 管理介面的妥協(Management Interface Compromise)

38

風險政策及組織風險

● 供應商綁定 (Provider Lock-in)● 喪失治理 (Loss of Governance)● 遵循與符合上的挑戰 (Compliance Challenges)● 商譽損失源於其他用戶行為(Loss of Business

Reputation due to co-tenant Activites)● 雲端服務的中止與失效(Cloud Service

Termination or Failure)● 雲端供應商的收購(Cloud Provider Acquistion)● 供應鏈失效(Supply Chain Failure)

39

法規風險

● 傳票與電子蒐證(Subpoena and e-discovery)

● 管轄權變更的風險(Risk from changes of jurisdiction)

● 資料保護風險(Data protection risks)

● 授權的風險(Licensing risks)

40

技術風險

● 資源匱乏風險(Resource exhaustion)

● 隔離失效(Isolation failure)

● 惡意內部人員(Cloud Provider Malicious Insiders)

● 管理介面妥協(Management interface compromise)

● 傳輸資料攔截風險(Intercepting data in transit)

● 資料傳輸時的外洩風險(Data leakage on up/download)

41

技術風險 (續)

● 不安全或無效的資料移除(Insecure or ineffective deletion of data)

● 阻斷服務攻擊的風險(DDoS)

● 加密金鑰遺失與外洩(Loss of encryption keys)

● 服務引擎的弱點攻擊(Compromise service engine)

● 用戶嚴謹的程序與雲端環境的衝突(Conflict between customer hardening requirement and cloud environment)

42

雲端信賴

VALUE CapturedVALUE CapturedDelivering evidence-based confidence…

with compliance-supporting data & artifacts.

43

雲端信賴

CSC Trusted Community Cloud

TaaSDashboard

Enterprise

•••

Using reclaimed visibility into the cloud to confirm security and create digital

trust

TaaSTaaS

CTPCTPPrivate Trusted Cloud

Responding to all elements of transparency

Responding to all elements of transparency

CloudTrust Agent

TaaSTaaS

Cloud Trust Response

Manager (CRM)

SAS70, SSAE 16, HIPAA, ITAR, FRCP, HITECH, GLBA, PCI DSS, CFATS, DIACAP, NIST 800-53, ISO27001, CAG, ENISA, CSA V2.3, …

Downstream compliance processing

資料來源: http://www.csc.com/cloud/insights/57785-into_the_cloud_with_ctp

44

結論

● 雲端資安的重點在於信賴(Trust)– 風險評估與稽核:強化自我管理

– Trust Protocol:強化雲端供應商的透明度

– 資安關鍵領域:釐清雲端資安的重點

● 掌握關鍵風險與資安領域，可強化雲端資訊系統之安全