站在云端的SaaS之云安全（上）

致遠(yuǎn)軟件研發(fā)中心技術(shù)總監(jiān) 吳玉民

對(duì)于SaaS系統(tǒng)來(lái)講，最重要的質(zhì)量屬性莫過(guò)于安全。對(duì)于服務(wù)提供者來(lái)說(shuō)，能否提供完備的安全保障是決定SaaS系統(tǒng)成敗的決定性因素；而對(duì)于服務(wù)使用者，則是將SaaS系統(tǒng)在安全方面的考量作為決策的首要依據(jù)。

云安全概述

據(jù)專(zhuān)業(yè)機(jī)構(gòu)調(diào)查顯示，中小企業(yè)選擇SaaS系統(tǒng)的首要顧慮就是安全和隱私問(wèn)題，其考慮更多的是商業(yè)信息的安全和企業(yè)隱私保護(hù)的問(wèn)題。對(duì)于個(gè)人用戶(hù)，也同樣非常重視個(gè)人信息安全和個(gè)人隱私保護(hù)。3Q大戰(zhàn)的各方口誅筆伐，最終焦點(diǎn)無(wú)非是針對(duì)個(gè)人電腦安全、個(gè)人隱私和用戶(hù)權(quán)益方面問(wèn)題的爭(zhēng)議。

雖然業(yè)內(nèi)SaaS系統(tǒng)安全事件頻出，但以云計(jì)算為代表的信息工業(yè)化進(jìn)程無(wú)法阻擋。隨著信息資源的集中，將會(huì)產(chǎn)生信息時(shí)代的無(wú)產(chǎn)階級(jí)，同時(shí)也將誕生信息寡頭。對(duì)于越來(lái)越集中的信息資源的安全利用，將不只是IT服務(wù)提供商和用戶(hù)需要考慮的問(wèn)題，同時(shí)國(guó)家層面也要更多地從法律法規(guī)方面加以規(guī)范。

隨著安全技術(shù)和相關(guān)法律的日臻完善，SaaS服務(wù)公司所提供的軟件服務(wù)將比自身維護(hù)一套軟件系統(tǒng)更為專(zhuān)業(yè)和安全。但對(duì)于目前的很多SaaS服務(wù)提供商和打算提供SaaS服務(wù)的廠商來(lái)說(shuō)，如何做好系統(tǒng)安全仍然是不得不補(bǔ)的一門(mén)課程。

1 重視云安全

SaaS系統(tǒng)由于Multi-Tenent多租戶(hù)架構(gòu)的特點(diǎn)，決定了它將承載更多的用戶(hù)和業(yè)務(wù)。這同時(shí)也表明SaaS系統(tǒng)出現(xiàn)安全問(wèn)題的影響范圍和影響力將成倍地被放大。從最近的安全事件來(lái)看，對(duì)SaaS服務(wù)提供商所爆出的安全問(wèn)題的解決，除了受到非強(qiáng)制的社會(huì)道德方面的約束之外，最終還將上升到法律和國(guó)家層面才能加以解決，足見(jiàn)SaaS系統(tǒng)安全問(wèn)題的影響力和重要性。在互聯(lián)網(wǎng)信息傳播如此發(fā)達(dá)和透明的時(shí)代，安全方面問(wèn)題將沒(méi)有任何空子可鉆，任何安全方面的疏漏都有可能使得剛剛踏入云端的腳步直接墜向地面。從另一方面，日漸成熟且專(zhuān)業(yè)化的地下黑客產(chǎn)業(yè)鏈正快速形成，這也使得SaaS系統(tǒng)在安全方面敲響了警鐘。無(wú)論是“灰鴿子”、“熊貓燒香”，還是被稱(chēng)為“毒王”的AV終結(jié)者，在每一個(gè)病毒背后，都有著一條龐大而完整的產(chǎn)業(yè)鏈。在經(jīng)濟(jì)利益的驅(qū)動(dòng)下，如今黑客和病毒制造者也逐漸形成了龐大、完整的集團(tuán)和產(chǎn)業(yè)鏈，他們分工明確、無(wú)孔不入，不斷地尋找各種漏洞并設(shè)計(jì)入侵/攻擊流程，模塊化、批量地制造病毒，以盜取用戶(hù)網(wǎng)絡(luò)游戲、即時(shí)通信工具、網(wǎng)上銀行等虛擬財(cái)產(chǎn)。從開(kāi)發(fā)病毒程序、傳播病毒到銷(xiāo)售病毒，形成了分工明確的整條操作流程，這條黑色產(chǎn)業(yè)鏈每年的整體利潤(rùn)預(yù)計(jì)高達(dá)數(shù)億元，如圖15-1所示。

日漸復(fù)雜和嚴(yán)峻的SaaS系統(tǒng)安全問(wèn)題，的確讓人頭疼，有時(shí)讓人感到厭惡，但卻是無(wú)法擺脫的事實(shí)，無(wú)論是服務(wù)提供者還是用戶(hù)，都不能無(wú)視它的存在和重要性。

2 提早考慮云安全

要提早考慮SaaS系統(tǒng)的安全規(guī)劃和設(shè)計(jì)，主要有如下幾點(diǎn)原因： 1)安全補(bǔ)漏的成本將遠(yuǎn)遠(yuǎn)高于提前預(yù)防的成本。比如一開(kāi)始沒(méi)有考慮到做安全審計(jì)，后續(xù)就要付出更大的代價(jià)來(lái)實(shí)現(xiàn)，涉及對(duì)所有功能的調(diào)整，還可能存在顛覆性的設(shè)計(jì)和開(kāi)發(fā)工作。2)安全漏洞對(duì)用戶(hù)造成的損失將難以彌補(bǔ)。比如SaaS系統(tǒng)中用戶(hù)數(shù)據(jù)被非法竊取，并被用于非法牟利，對(duì)于SaaS服務(wù)商來(lái)說(shuō)將是一場(chǎng)噩夢(mèng)。3)將失去本來(lái)就難以建立的用戶(hù)信任，SaaS系統(tǒng)服務(wù)商將面臨信用危機(jī)。4)社會(huì)影響和用戶(hù)口碑方面的損失也是無(wú)法衡量和彌補(bǔ)的。

3 云安全的特點(diǎn)

SaaS系統(tǒng)安全問(wèn)題中的絕大多數(shù)實(shí)際上也是傳統(tǒng)安全問(wèn)題，根據(jù)二八原則，可以說(shuō)在SaaS系統(tǒng)安全方面，80%是傳統(tǒng)安全問(wèn)題，20%是云安全問(wèn)題。在云安全問(wèn)題中，有很多問(wèn)題是對(duì)傳統(tǒng)安全問(wèn)題的放大，比如身份驗(yàn)證、訪問(wèn)控制、數(shù)據(jù)對(duì)視、泄露的防范、信息分類(lèi)、審計(jì)、數(shù)據(jù)隔離、邏輯隔離、物理邊界控制等。SaaS系統(tǒng)安全相對(duì)于傳統(tǒng)系統(tǒng)安全的新問(wèn)題： 1)受法律約束的安全承諾和運(yùn)維協(xié)議SLA、法律法規(guī)，以及非強(qiáng)制約束的商業(yè)誠(chéng)信、道德，建立互信。2)在技術(shù)層面，Multi-Tenent多租戶(hù)架構(gòu)下的各個(gè)方面的安全考慮，比如如何實(shí)現(xiàn)多租戶(hù)各自的身份驗(yàn)證和訪問(wèn)控制，多租戶(hù)間的數(shù)據(jù)隔離控制等方面問(wèn)題。3)基于Internet提供服務(wù)的SaaS系統(tǒng)需要處理復(fù)雜的網(wǎng)絡(luò)環(huán)境，面臨更多的安全威脅，需要防范各種黑客攻擊。

圖15-1 黑客帝國(guó)的產(chǎn)業(yè)鏈?zhǔn)疽鈭D(參考瑞星反病毒中心)

4 避免過(guò)度的安全設(shè)計(jì)

在安全規(guī)劃和設(shè)計(jì)時(shí)，要結(jié)合業(yè)務(wù)應(yīng)用特點(diǎn)，確定切合實(shí)際的安全規(guī)劃。要避免防范過(guò)度，并不是安全措施越多越好，而是需要適合、適度的安全。要綜合考慮安全、性能、成本、易用性等方面的權(quán)衡取舍，因?yàn)檫@幾者之間有很多方面是天然沖突的。

云安全體系

在考慮SaaS系統(tǒng)安全體系設(shè)計(jì)時(shí)，不能只考慮技術(shù)層面的安全問(wèn)題，還需要兼顧人員方面的安全、組織制度安全等非技術(shù)方面的安全問(wèn)題。要清楚技術(shù)并不是萬(wàn)能的，需要對(duì)安全問(wèn)題有更加系統(tǒng)的認(rèn)識(shí)和規(guī)劃。尤其對(duì)組織的高層和管理者，更應(yīng)該把注意力更多地放在非技術(shù)領(lǐng)域的安全問(wèn)題的處置上。因?yàn)閷?duì)于技術(shù)層面的安全問(wèn)題，存在很多成熟的產(chǎn)品和解決方案，且可達(dá)到立竿見(jiàn)影的效果。然而對(duì)于非技術(shù)的安全問(wèn)題，因涉及組織制度、人員管理、社會(huì)影響、商業(yè)信譽(yù)、法律法規(guī)等多方面的綜合因素，且因人、因組織、因業(yè)務(wù)領(lǐng)域等方面的不同而顯得特別，不易復(fù)制。

1.傳統(tǒng)信息安全體系

信息安全的三維防護(hù)體系，是通過(guò)制定一套適當(dāng)?shù)墓芾碇贫取⒉渴鸨匾募夹g(shù)措施，來(lái)實(shí)現(xiàn)信息安全目標(biāo)要求。信息安全體系是組織制度、人員、技術(shù)三維的防護(hù)體系，如圖15-2所示。

圖15-2 信息安全三維防護(hù)體系

組織制度：在組織制度層面強(qiáng)化安全管理。比如：為防止數(shù)據(jù)損壞，建立定期數(shù)據(jù)備份和檢查制度，建立第三方安全審計(jì)。

人員安全：對(duì)能夠接觸系統(tǒng)的相關(guān)人員采取一定的安全保障措施。比如：外聘人員有剽竊數(shù)據(jù)風(fēng)險(xiǎn)，要簽署保密協(xié)議。

技術(shù)手段：從技術(shù)層面保障系統(tǒng)安全。比如：病毒導(dǎo)致數(shù)據(jù)丟失，要安裝病毒查殺軟件 ；設(shè)備故障會(huì)導(dǎo)致系統(tǒng)宕機(jī)，要考慮業(yè)務(wù)連續(xù)性問(wèn)題。技術(shù)層面的信息安全防護(hù)模型包括數(shù)據(jù)、軟件、硬件、網(wǎng)絡(luò)和環(huán)境5個(gè)方面，如圖15-3所示。數(shù)據(jù)是系統(tǒng)最具價(jià)值的核心，就好比鉆石；硬件是柜子；軟件則是一把鎖，通過(guò)軟件這把鎖，能夠存或取硬件這個(gè)柜子里的鉆石(數(shù)據(jù))；再外層則是網(wǎng)絡(luò)通道，這一切都會(huì)受到外界環(huán)境的影響；機(jī)房環(huán)境會(huì)對(duì)硬件的運(yùn)行性能和穩(wěn)定性產(chǎn)生影響，網(wǎng)絡(luò)的環(huán)境則決定通道是否安全可靠，地震是否會(huì)導(dǎo)致網(wǎng)絡(luò)中斷、是否有其他備用網(wǎng)絡(luò)通道？

圖15-3 信息安全防護(hù)模型(技術(shù)層面)

2.SaaS系統(tǒng)“5+5”安全體系

SaaS系統(tǒng)安全體系也主要從技術(shù)和非技術(shù)方面進(jìn)行規(guī)劃。與傳統(tǒng)信息安全模型相比，80%是相同的，另外20%主要體現(xiàn)在技術(shù)層面。有些問(wèn)題在SaaS系統(tǒng)中被放大，非技術(shù)方面增加了諸如商業(yè)信譽(yù)和誠(chéng)信、安全法律和相關(guān)規(guī)范、安全體系認(rèn)證和ITIL運(yùn)維及SLA方面的安全問(wèn)題。整體上SaaS系統(tǒng)的安全體系采用“5+5”模型，即非技術(shù)5個(gè)方面的安全加上技術(shù)方面的5個(gè)層次的安全，如圖15-4所示。利用該模型可以全面地構(gòu)建SaaS系統(tǒng)的整體安全戰(zhàn)略。

安全領(lǐng)域的技術(shù)與非技術(shù)兩者是相輔相成的，技術(shù)是手段，非技術(shù)是約束。有些非技術(shù)問(wèn)題需要靠技術(shù)手段來(lái)支撐，比如在SLA中承諾的數(shù)據(jù)保密性要求，就需要從技術(shù)設(shè)計(jì)和實(shí)現(xiàn)角度達(dá)到并滿(mǎn)足這一約定；反之，非技術(shù)也將對(duì)技術(shù)實(shí)現(xiàn)進(jìn)行約束，比如是否能夠通過(guò)技術(shù)手段掃描用戶(hù)磁盤(pán)信息以保證自身系統(tǒng)安全，將受到相應(yīng)的法律規(guī)范以及商業(yè)信譽(yù)和誠(chéng)信的約束。

非技術(shù)安全 對(duì)于SaaS系統(tǒng)安全的非技術(shù)方面，服務(wù)提供者需要對(duì)Multi-Tenent多租戶(hù)做安全方面的服務(wù)承諾(比如對(duì)用戶(hù)數(shù)據(jù)的保留期限、出現(xiàn)故障的恢復(fù)時(shí)間、對(duì)用戶(hù)數(shù)據(jù)的保密性要求等)，具體將落實(shí)在系統(tǒng)運(yùn)維管理的SLA協(xié)議當(dāng)中。另外，SaaS廠商需要做一些安全體系方面的認(rèn)證，比如等級(jí)保護(hù)、ISO 27001等。一方面，認(rèn)證可以真正地對(duì)系統(tǒng)安全起到實(shí)際作用；另外一方面，經(jīng)過(guò)認(rèn)證的系統(tǒng)能夠給用戶(hù)更多的信心。SaaS系統(tǒng)還要遵循一些安全方面的法律和規(guī)范，加強(qiáng)組織內(nèi)部的安全管理制度建設(shè)和人員管理。同時(shí)，對(duì)于商業(yè)信譽(yù)和誠(chéng)信也會(huì)起到非強(qiáng)制性的約束作用。

技術(shù)安全 SaaS系統(tǒng)安全的技術(shù)方面，與傳統(tǒng)系統(tǒng)相比在很多方面需要更為強(qiáng)化的安全措施。

圖15-4 SaaS系統(tǒng)安全體系模型

圖15-5 數(shù)據(jù)隔離方案

1)在數(shù)據(jù)安全層面，要解決Multi-Tenent架構(gòu)下的數(shù)據(jù)隔離問(wèn)題，屬于數(shù)據(jù)保密性范疇。實(shí)現(xiàn)數(shù)據(jù)隔離的技術(shù)手段主要有邏輯隔離、物理隔離和混合隔離三種，如圖15-5所示。

邏輯隔離的優(yōu)點(diǎn)就是，能夠充分利用存儲(chǔ)資源，以便于統(tǒng)一數(shù)據(jù)管理和控制；其缺點(diǎn)是安全性降低(如何避免數(shù)據(jù)對(duì)視和泄露，這將對(duì)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)提出更高的要求)，另外就是無(wú)法借助存儲(chǔ)硬件和數(shù)據(jù)庫(kù)系統(tǒng)自身的數(shù)據(jù)備份機(jī)制實(shí)現(xiàn)對(duì)某些特殊用戶(hù)的數(shù)據(jù)管理。

物理隔離的優(yōu)點(diǎn)是，不同用戶(hù)之間的數(shù)據(jù)物理分開(kāi)存放，從根源上減少了數(shù)據(jù)互相泄露和滲透的風(fēng)險(xiǎn)，而且能夠很容易地基于存儲(chǔ)硬件和數(shù)據(jù)庫(kù)系統(tǒng)本身功能實(shí)現(xiàn)對(duì)不同用戶(hù)的數(shù)據(jù)制定管理策略；其缺點(diǎn)是存儲(chǔ)資源無(wú)法充分利用，相應(yīng)的數(shù)據(jù)管理成本也將提高。

混合隔離就是融合邏輯隔離和物理隔離的優(yōu)點(diǎn)，采取混合策略進(jìn)行數(shù)據(jù)管理：結(jié)合不同用戶(hù)的應(yīng)用級(jí)別和安全需求，可以為規(guī)模較小、安全性要求不高的用戶(hù)提供邏輯數(shù)據(jù)隔離；對(duì)較大規(guī)模的用戶(hù)、安全要求高的用戶(hù)，可以采用獨(dú)立存儲(chǔ)空間，做物理數(shù)據(jù)隔離。

另外在數(shù)據(jù)安全層面，還要處理敏感數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)備份和容災(zāi)等方面的問(wèn)題，這些在傳統(tǒng)系統(tǒng)數(shù)據(jù)安全方面都已覆蓋，在此不過(guò)多贅述。

2）在軟件安全層面，需要重點(diǎn)解決Multi-Tenent架構(gòu)下應(yīng)用系統(tǒng)如何做好身份鑒別、訪問(wèn)控制、安全審計(jì)和防抵賴(lài)等方面的問(wèn)題。比如，采用數(shù)字證書(shū)加口令技術(shù)實(shí)現(xiàn)安全的雙因素身份識(shí)別和驗(yàn)證；再比如，采用LDAP目錄服務(wù)解決多應(yīng)用、多租戶(hù)的統(tǒng)一身份鑒別問(wèn)題，以避免在多系統(tǒng)中分別進(jìn)行身份驗(yàn)證而導(dǎo)致安全漏洞增多的問(wèn)題。在訪問(wèn)控制方面，可采用RBAC(Role-Based Access Control，基于角色的訪問(wèn)控制)模型，如圖15-6所示。在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶(hù)通過(guò)成為適當(dāng)角色的成員而得到這些角色的權(quán)限，這就極大地簡(jiǎn)化了權(quán)限的管理。在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)建的，用戶(hù)則依據(jù)它的責(zé)任和資格被指派相應(yīng)的角色，用戶(hù)可以很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可根據(jù)需要從某角色中回收。角色與角色的關(guān)系可以建立起來(lái)，以囊括更廣泛的客觀情況。

另外，對(duì)于PaaS層的軟件平臺(tái)安全管理，像對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)和中間件服務(wù)等PaaS層軟件平臺(tái)的安全應(yīng)用和部署，同樣需要予以重視。

圖15-6

圖15-7 典型SaaS系統(tǒng)的安全域劃分

3）在硬件安全層面，利用IaaS層硬件資源池可實(shí)現(xiàn)多租戶(hù)的應(yīng)用服務(wù)器和數(shù)據(jù)存儲(chǔ)隔離，對(duì)于規(guī)模較大的用戶(hù)可采取獨(dú)立服務(wù)的方式，避免多租戶(hù)由于資源共享而產(chǎn)生的安全漏洞問(wèn)題。另外，利用智能的硬件資源池還可以更好地實(shí)現(xiàn)負(fù)載和容錯(cuò)，增強(qiáng)系統(tǒng)健壯性。從廣義上來(lái)講，這也屬于安全范疇，因?yàn)榻档土擞捎谟布收隙斐蓴?shù)據(jù)丟失、事務(wù)不完整進(jìn)而導(dǎo)致數(shù)據(jù)不完整等數(shù)據(jù)安全問(wèn)題。其他諸如病毒防護(hù)、入侵防范等方面的問(wèn)題，在傳統(tǒng)系統(tǒng)硬件安全方面都已覆蓋。

4)在網(wǎng)絡(luò)安全層面，主要從網(wǎng)絡(luò)安全級(jí)別的角度對(duì)安全區(qū)域進(jìn)行劃分，并對(duì)安全域之間的物理邊界加強(qiáng)防護(hù)措施，進(jìn)行安全審計(jì)。圖15-7是SaaS系統(tǒng)典型的安全域劃分。圖中從下至上分別是數(shù)據(jù)、業(yè)務(wù)和Web服務(wù)區(qū)，安全級(jí)別由高到低，安全威脅則由少到多。由于各區(qū)之間的安全特性不同，所以在各區(qū)之間需要加強(qiáng)安全邊界的防護(hù)措施，如圖15-7中閃電符號(hào)所表示的安全域之間的邊界。

5）在環(huán)境安全層面，和傳統(tǒng)系統(tǒng)安全相比，最大的差別就是隨著Multi-Tenent租戶(hù)和業(yè)務(wù)的增加，對(duì)物理硬件和計(jì)算能力的需求也將不斷增加，因此在主要的云計(jì)算中心環(huán)境選擇和設(shè)計(jì)上，就要更多考慮很強(qiáng)的擴(kuò)展能力和各方面的安全性要求。作為SaaS廠商，可以向?qū)I(yè)的IaaS服務(wù)提供商租用這種環(huán)境，也可以租用包含硬件、軟件中間件等構(gòu)建的SaaS系統(tǒng)的基礎(chǔ)平臺(tái)。

6)在各個(gè)層面，需要整體防范各種病毒、黑客攻擊、XSS跨站腳本攻擊、SQL注入、木馬、DOS攻擊等五花八門(mén)的惡意攻擊手段。

（未完待續(xù) 摘自《站在云端的SssS》）