随着数据作为生产要素的重要性凸显,数据安全的地位不断提升,尤其是随着《数据安全法》的正式颁布,数据安全在国家安全体系中的重要地位得到了进一步明确。
数据安全是安全最核心的内容。所有网络安全,信息安全系统,最终需要保护的最重要的资产是数据。安全里边最重要的技术,加密,及数据安全里边很重要的领域,DLP,都是用来保护数据的。最近几年令业界最为头疼的勒索病毒,针对的是数据。数据泄露造成的损失也非常大。针对数据安全的问题,公有云有相关的设计。
GB/T37988-2019 信息安全技术数据安全能力成熟度模型,定义了数据生命周期的六个阶段:
——数据采集:组织机构内部系统中新产生数据,以及从外部系统收集数据的阶段。
——数据传输:数据从一个实体通过网络流动到另一个实体的阶段。
——数据存储:数据以任何数字格式进行物理存储或云存储的阶段。
——数据处理:组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
——数据交换:组织机构与外部组织机构及个人进行数据交互的阶段。
——数据销毁:通过对数据及数据存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程
同时,对数据生命周期的各阶段也给出了关键处理过程的要求。
数据安全,不仅仅是个技术问题,更重要的是个管理问题,技术与管理结合,形成数据安全治理。
对一个组织来说,数据安全治理是指在组织的数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队,制定数据安全相关制度规范,构建数据安全技术体系,建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则,围绕数据全生命周期构建相应安全体系,需要组织内容利益相关方统一认识,协同工作,平衡数据安全与发展。
数据安全治理的目标是在合规保障及风险管理的前提下,实现数据的开发利用,保障业务的持续健康发展,确保数据安全与业务发展的双向促进。可见,数据安全的治理是一个系统的管理过程和技术方案。本文只讨论云上的技术方案部分。
注:以上内容来源于信通院《数据安全治理实践指南1.0》http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210720377857004616.pdf
云硬盘服务 EVS(Elastic Volume Service)
可以为云服务器提供规格特性丰富、性能优越、安全可靠并且可弹性扩展的块存储服务,可满足不同场景的业务需求,适用于分布式文件系统、开发测试、数据仓库以及高性能计算等应用场景。
简单地说,EVS就是一个可以挂到虚拟机上或服务器上的硬盘,并可根据需要动态扩展。EVS是块存储系统(相当于传统的SAN),不是文件存储系统。有高吞吐量,低时延的特点。并支持自动备份,加密等安全特性。
弹性文件服务(Scalable File Service)
为用户的弹性云服务器(ECS)提供一个完全托管的共享文件存储(相当于传统的NAS)),符合标准文件协议(NFS),能够弹性伸缩至PB规模,具备可扩展的性能,为海量数据、高带宽型应用提供有力支持。
因为有文件系统,SFS支持多节点共享,也支持加密,自动备份等安全功能。
对象存储系统OBS(Object Storage Service)
是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力。
对象存储源于AWS,相对传统存储(SAN,NAS),是一种完全不同的存储形式。由于其具备低成本,大容量,共享方便,完整的安全设计,是目前互联网上存储数据量最大的应用。
对象存储服务OBS的基本组成是桶和对象。
对象(Object):OBS中数据存储的基本单位,一个对象实际是一个文件的数据与其相关属性信息的集合体,包括Key、Metadata、Data三部分:
Key:键值,即对象的名称,为经过UTF-8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。
Metadata:元数据,即对象的描述信息,包括系统元数据和用户元数据,这些元数据以键值对(Key-Value)的形式被上传到OBS中。
系统元数据由OBS自动产生,在处理对象数据时使用,包括Date,Content-length,Last-modify,ETag等。
用户元数据由用户在上传对象时指定,是用户自定义的对象描述信息。
Data:数据,即文件的数据内容。
对象的含义非常象一个文件系统里的文件,有名字(键值),有属性(元数据),有内容(数据)。
桶是OBS中存储对象的容器,每个桶都有自己的存储类别、访问权限、所属区域等属性,用户在互联网上通过桶的访问域名来定位桶。一个桶看上去象一个文件系统,可以建立各级目录,可以存储各种对象。
OBS的权限控制分两种,一种是基于IAM的控制策略(见IAM部分的细粒度授权),可以指定用户,用户组,对某些桶做具体的操作控制。另一种是基于资源的访问控制,主要控制直接在OBS上进行,但访问凭据依然用的是IAM的AK/SK,这种一般称为桶策略,可以控制到具体对象:
桶策略在桶中创建,可以指定用户,目录,前缀后缀,具体动作,以及附加条件,做出允许或拒绝访问的控制。
也有Json格式的策略
非常类似于IAM的策略控制方法,但由于OBS里有更多的桶和对象数据,而IAM里不具备这些信息,所以这里的控制更加精准。
桶ACLs
桶ACL是基于帐号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。
桶ACL一般用于数据共享,其授权目标为帐号(Account),控制桶可能被哪些用户读或写。
在ACL中内置了两种权限,可以编辑
其中匿名用户用于无访问控制的数据分享,需要非常注意。一旦打开,就意味着任何人只要知道或扫描到这个桶的地址,就可以随意访问其中的数据。
很多互联网著名的数据泄露事件都是有意或无意打开了这个控制。
OBS的其它安全特性:
OBS支持桶加密,打开后,桶里的所有对象均为加密保存。
打开的方式非常简单,建桶的时候选择加密就可以
OBS支持传输加密,可以完整支持https.
支持临时凭据,API调用更安全。
支持多版本和跨区域复制,能够更好地确保数据可用性。
OBS的其它重要特性:
OBS支持静态网站托管功能,开启后,静态网页存放于桶中,可以直接对互联网开放访问,并且支持独立域名。该功能还支持CORS和防盗链等功能。
OBS的安全最佳实践,见
https://support.huaweicloud.com/bestpractice-obs/obs_05_2100.html
密钥管理服务KMS
密钥管理,即密钥管理服务(Key Management Service, KMS),是一种安全、可靠、简单易用的密钥托管服务,帮助您轻松创建和管理密钥,保护密钥的安全。
对于数据加密来说,加解密相对来说是容易的,但密钥管理一直是个比较麻烦的问题,KMS就是解决这个问题的。
KMS通过使用硬件安全模块HSM(Hardware Security Module)保护密钥的安全,所有的用户密钥都由HSM中的根密钥保护,避免密钥泄露。所有的软件保护,都容易被破解,而HSM有完整的硬件保护,相对安全很多。
KMS对密钥的所有操作都会进行访问控制及日志跟踪,提供所有密钥的使用记录,满足审计和合规性要求。
KMS支持小数据量直接加解密。当您有少量数据(例如:口令、证书、电话号码等)需要加解密时,用户可以通过KMS界面使用在线工具加解密数据,或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。当前支持不大于4KB的小数据加解密。
当有您有大量数据(例如:照片、视频或者数据库文件等)需要加解密时,用户可采用信封加密方式加解密数据,无需通过网络传输大量数据即可完成数据加解密。
加密过程:
用户需要在KMS中创建一个用户主密钥。一个用户在一个KMS里只需要一个主密钥。
用户调用KMS的“create-datakey”接口创建数据加密密钥。用户得到一个明文的数据加密密钥和一个密文的数据加密密钥。其中密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。
用户使用明文的数据加密密钥来加密明文文件,生成密文文件。
用户将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。
注:按以上流程,如果用户主密钥被删除,则所有密文无法解密。
解密过程:
用户从持久化存储设备或服务中读取密文的数据加密密钥和密文文件。
用户调用KMS的“decrypt-datakey”接口,使用对应的用户主密钥(即生成密文的数据加密密钥时所使用的用户主密钥)来解密密文的数据加密密钥,取得明文的数据加密密钥。
若对应的用户主密钥被误删除,会导致解密失败。因此,需要妥善管理好用户主密钥。KMS支持密钥轮换功能,如果要更换密钥,使用密钥轮换功能来替换主密钥。
用户使用明文的数据加密密钥来解密密文文件。
专属加密(Dedicated Hardware Security Module,DHSM)
是一种云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。Dedicated HSM提供经国家密码管理局检测认证的加密硬件,帮助您保护弹性云服务器上数据的安全性与完整性,满足FIPS 140-2安全要求。同时,能够对专属加密实例生成的密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算。
可以理解为一个虚拟的加密机,在某些要求使用加密机的场景,可以直接使用。
Dedicated HSM提供以下功能:
生成、存储、导入、导出和管理加密密钥(包括对称密钥和非对称密钥)。
使用对称和非对称算法加密和解密数据。
使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码。
对数据进行加密签名(包括代码签名)并验证签名。
以加密方式生成安全随机数据
专属加密一般对国际通用的摘要和对称,非对称加密算法,象SHA256,AES,RSA,及国密的加密算法,象SM1,SM4,SM7,SM2,SM3等,均有较好的支持
金融等行业,对加密机有特定的要求,可以使用专属加密。
数据安全中心服务(Data Security Center,DSC)
华为云DSC是新一代的云化数据安全平台,提供数据分级分类、数据安全风险识别、数据水印溯源和数据静态脱敏等基础数据安全能力,通过数据安全总览整合数据安全生命周期各阶段状态,对外整体呈现云上数据安全态势。
DSC可以直接扫描OBS,EVS,数据库等的数据,并根据定义进行分类,脱敏等处理,是数据安全合规的重要工具。
数据库安全服务
数据库安全服务(Database Security Service,DBSS)是一个智能的数据库安全服务,基于机器学习机制和大数据分析技术,提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全
数据生命周期与云服务安全的结合
再看一下数据的生命周期
在该周期中,采集是个数据开始的动作,销毁意味着生命周期的结束。
对数据安全来说,采集的安全,重要的是设计过程,知道采集到的数据是什么,哪些是敏感数据,哪些是一般数据,最好能直接分级分类,以便在后续的处理过程中采取不同的手段和方法来处理。
数据销毁一般包括数据的擦除和介质的销毁。机械硬盘数据擦除比较著名的标准是美国国防部的DoD 5220 及德国的 VSITR,都要求对硬盘进行多次的写入,包括全0,全1,随机等,以实现硬盘数据的不可恢复。更彻底的方法是介质销毁,包括对硬盘的销磁,对机械硬盘,光盘,SSD的硬盘,使用专用粉碎机进行彻底粉碎。在云服务中,数据擦除和介质销毁均有云服务商完成,个人不需要操作。
但普通租户的数据在删除后,介质有可能被分配到其它应用或租户使用,这时候,理论上有可能被其它租户读到。解决这个问题的办法是加密,数据删除后,只要再删除加密密钥,则数据彻底不可恢复。
数据传输过程中的数据保护,一般通过传输加密来完成。流量需要租户自己加密,或者启用https,对外的传输还可以使用vpn等方案来实现数据加密。
数据存储需要重点解决可用性和保密性的问题。可用性包括备份,异地备份,实时多活等手段。保密性一般包括加密和权限控制。
数据交换则需要控制权限及交换通道的安全。
数据处理在内存中,一般安全手段不是太多,确保处理的机器不被非常控制是关键。另外,有类似联邦学习、多方计算等方法可以使用。
注:云服务商提供的存储方案,包括硬盘加密,OBS加密等,均为透明加解密,即拥有数据读权限的人,自动拥有解密权限,所以,访问控制至关重要。如果要增加更多控制手段,可以采用第三方加密手段。
典型数据安全网络架构
在上图中,EVS,SFS,OBS的数据实现加密,密钥由DEW(KMS)实现管理。
数据库增加数据库安全审计。
同时,相关的数据定期使用DEW扫描,以发现并处理敏感数据,防止数据泄露及敏感数据明文保存,达到基本的数据安全合规要求。
END
