蔡一郎的部落格

Yilang's Blogger

談OWASP十大雲端服務的資安風險

Published by Yi-Lang Tsai under , on 上午7:48
一、簡介
雲端服務是目前最熱門的話題,許多的網站應用服務,都環繞在雲端的架構上,以提供使用者隨手可得的服務,而大多數的雲端服務,都是直接透過瀏覽器開發網站來取得,因此對於網站本身的應用程式安全,或是開發人員所撰寫的程式內容,是否有潛存的資訊安全風險,也成為確保服務品質以及使用者資料安全的重要依據。OWASP每年在全球各地舉辦的AppSec Conference(應用程式安全研討會),都吸引了許多的程式開發人員參與,每年都會有相關的重要的資訊安全發展趨勢,在會議上被揭露或發表,對於程式開發人員而言,掌握這些發展的趨勢,將有助於在開發過程中,能夠注意到所開發的程式本身在資訊安全上的要求。

應用程式在雲端服務的架構中,在屬性上較偏SaaS(Software as a Service)模型,OWASP(The Open Web Application Security Project)是網路應用程式安全的研究計畫,每年都發佈前十大的網站應用程式弱點,以提醒網站程式的開發人員,在開發網站的應用程式時,能夠避免這些經常遭到駭客攻擊的弱點,以提供高網站本身的安全,避免遭到入侵成功以及重要的資料遭到竊取,因此OWASP所發佈的訊息以及相關的研究成果,可稱得上是網路應用程式開發人員最重要的參考指南。

(圖)OWASP官方網站(www.owasp.org)

二、雲端安全十大風險評估的由來
雲端計算以及SaaS十大雲端安全風險評估,主要由網際網路上經常發生的資訊安全事件、資訊安全專家以及雲端服務的供應商來取得,目前許多常見的網路應用服務,例如:電子郵件、網站等,都能夠找到許多的雲端服務供應商,對於使用者而言,對於這些服務就不再需要自行架設伺服器,以及自行建置與管理相關的應用程式了,依據Gartner所發佈的統計分析數據,預估在2012年已採用雲端服務的企業,其中20%的企業將不再自己擁有資訊資產,因此如果針對轉移到雲端服務時,所需要考慮的安全議題進行分析,也成為相當重要的課題。

OWASP Cloud-10 Project,計畫的目標是透過資訊安全專家、雲端服務供應商進行較客觀的評估,包括雲端軟體的安全風險以及所需要花費的成本效益,在研究的過程中,希望針對SaaS服務的供應商進行分析,對於這些提供雲端軟體服務的供應商,進行風險的評估,取得較客觀的數據,而已經採用或是即將採用雲端服務的企業或使用者,則可以瞭解在使用雲端的軟體服務時,將會面臨那些的風險,也可以藉此提供進行因應措施,避免風險一旦發生時,能夠降低遭受到的損失。

三. OWASP十大雲端服務的安全風險
目前所評估出來的十大雲端服務安全風險如下,不過OWASP仍在進行最後的驗證與確認,不過預期將來發佈的最後版本,仍然會以此十大安全風險為主。

  • R1 – 權責與資料所有權(Accountability and Data Ownership)

傳統的資料中心對於本身所建置的資訊基礎設備,擁有最高的管理權,並且能夠確定資料在這些設備上的儲存位置,或是採用本身所設備的管理機制,以確定這些資料能夠受到妥善的保護,但是雲端服務的環境中,當企業或是使用者將本身所擁有的資料送到雲端服務的供應商之後,對於資料的控制權將會下降,而必須依賴雲端服務的供應商,對於這些資料進行儲存、備份、存取限制等相關的管理措施,這影響了原本對於資料保護的責任以及資料的所有權。


  • R2 – 使用者身份識別的整合(User Identity Federation)

以企業的營運而言,對於平台使用者的身份進行識別是相當重要的,透過身份識別可以依據使用者本身的職務或是工作上的需求,提供其所對應的使用權限,藉此進行資訊存取上的控制,而雲端服務的環境中,必須面對使用者在雲端服務中的身份識別問題,以及對於使用者跨越多個不同的雲端服務之間的身份識別問題,因此用戶是否採行聯合的身份識別機制,例如:Security Assertion Markup Language (SAML),進行不同服務供應商之間的統一識別方式,就是需要評估與考量的。


  • R3 – 法規上的適用性(Regulatory Compliance)

雲端服務的供應商可能來自世界上的任何一個角落,因此對於各個國家的法律問題,許多情況下並不是一致上的,因此對於採用雲端服務之前,必須對於服務供應商所在的國家,以及其適用的法規進行評估,以避免爭議發生時,無法得到法律上的保障,例如:歐盟對於資料的保護有相當嚴謹的法規要求,因此在美國的雲端服務業界,對於資料的儲存與處理的方式,也許就無法得到歐盟的認可。這些法律上的爭議需要在選擇雲端服務之前就能夠事先的研究與評估。


  • R4 – 業務持續運作與彈性(Business Continuity and Resiliency)

業務能夠持續的營運對於企業而言是相當重要的,以往當災難發生時,因為這些資訊系統或是相關的基礎設施,因為在自家的管理範圍內,企業能夠很快的進行這些資源的調配,以修復受到影響的服務,而雲端服務的環境中,當企業不再擁有這些基礎設施之後,則必須完全依賴雲端服務供應商能夠提供的環境,缺少了管理上的自主與彈性。


  • R5 – 使用者的隱私與資料的再利用(User Privacy and Secondary Usage of Data)

當使用者開始在社群網路上活動時,所填寫與發佈的資訊,以目前這些社群網路所提供的運用方式,大多還在模糊地帶,在這些服務的平台中,並沒有詳實的說明服務供應商將如何使用這些原本屬於使用者擁有的資訊,對於使用者的隱私將容易造成影響,而服務供應商的業界,也許會因為某些商業營運上的考慮而對於這些資料再次的運用,例如:販賣給廣告業界或是提供內部不同部門間的業務需求,這些對於原本擁有這些資訊的使用者而言,將會造成隱私權上的侵犯,但是在現行的服務條約中,大多有利於服務供應商,對於使用者是較不具保障的。


  • R6 – 服務與資料的整合(Service and Data Integration)

企業與雲端服務的使用者必須能夠確保所擁有的資料在雲端服務上的安全性,因此對於所提供服務與所儲存的資料如何進行整合,以確保在運用以及傳輸的過程中,不會因此對於服務與資料本身造成危害,也是需要納入風險評估的範圍。


  • R7 – 多重租賃與實體安全(Multi Tenancy and Physical Security)

在雲端服務上使用者,大多共享資源和服務,例如:CPU、RAM以及儲存的設施,因此在實體上的隔離較無法受到企業與使用者的掌握,而必須依賴對於邏輯隔離和其他控管的機制,以確定使用者不論是有意或無意,都不能干擾其他用戶的安全,涵蓋了機密性、完整性以及可用性上的考量。


  • R8 – 事件分析與鑑識的支援(Incidence Analysis and Forensic Support)

當資訊安全事件發生時,對於雲端服務供應商的應用程式,以及雲端服務的方式,在系統日誌的取得上是相當困難的,而且這些服務供應商,又可能分別將這些資料放置在不同的主機或是資料中心,而這些又可能受限於各個國家在法律規定上的不同,因此屬於這些用戶的日誌資料,可能同時存在相同的儲存媒體上,如何提供做為事件調查所需要的資料,這也是進行數位鑑識時,能夠取得服務供應商的支援多寡,而影響到原本對於資訊安全事件的掌握程度。


  • R9 – 基礎設施的安全(Infrastructure Security)

基礎設施的安全包括了設施本身以及正確的組態設定,因此雲端服務的環境中,使用者對於基礎設施安全上的掌握是最為薄弱的,這對於預計採用雲端服務的企業或是使用者而言,必須先針對這個環境上的改變進行風險的評估。


  • R10 – 非生產環境的揭露(Non Production Environment Exposure)

在企業內的資訊部門,大多會為企業設計相關的開發流程,以確定開發出來的軟體能夠符合企業的要求,而這部份的開發流程或對於資料的處理方式,並不會揭露出來,也許會被視為企業的商業營運秘密,而雲端服務的環境中,對於處理的流程在某些情況下,必須被揭露而用來取信於使用者,整個發展的環境可能會有來自外部的攻擊或是對於資訊取得的探測,這些對於雲端服務的安全性而言,是需要被納入風險評估的。

四、結語
雲端安全是推動雲端服務重要的影響因素,許多評估是否將資訊系統或是網路應用服務轉移到雲端平台的企業或是使用者,都會將安全的議題列入最重要的考量因素之一,因此雲端服務供應商如何建立使用者的信心,就成為相當重要的課程,雲端服務必須提供安全的保障,除了在基礎架構的設計上需要將安全的議題納入考量之外,對於機敏資料的處理機制,亦必須採用更為透明的處理流程,才能取信於使用者,OWASP針對雲端服務提供了十大安全風險必須考量素因,除了可做為雲端服務供應商在規劃上的重要參考之外,也可以提供打算使用雲端服務的企業或使用者,可以從安全的角度來選擇適合的雲端服務業者,為相當重要的參考資訊,以選擇一個具有安全基礎設計的雲端服務供應商。

本文同步發佈於TWNIC/CC電子報 http://newsletter.certcc.org.tw/epaper/201206/tech2_1.html