2019年云安全與物聯網安全實踐.pdf

《2019年云安全與物聯網安全實踐.pdf》由會員分享，可在線閱讀，更多相關《2019年云安全與物聯網安全實踐.pdf（29頁珍藏版）》請在三個皮匠報告上搜索。

1、IoT安全框架發布物聯網安全實踐Cloud安全實踐云安全聯盟簡介50+研究工作組2009CSA FOUNDEDSINGAPORE/ASIA PACIFIC HEADQUARTERSSHENZHEN,China/GCR HEADQUARTERSSEATTLE/Bellingham,WA/Americas HEADQUARTERS100,000+個人會員500+企業會員80+地方分會與政府、研究機構、專業協會和行業建立戰略伙伴關系CSA research is FREE!Our CommunityBERLIN,GERMANY/EMEA HEADQUARTERS中科院云計算中心是中國科學院直屬的唯一

2、一個以云計算、大數據為核心研發領域的大型研發機構，是中國科學院首次與地方政府共建的云計算專業研發機構，擁有國內首個完全自主產權的G-cloud云計算平臺，技術處于國內領先地位。SaaSPaaSIaaS私有云 Private混合云 Hybrid公有云 PublicIaaSPaaSSaaS消費者責任Consumer responsibility供應商責任Provider responsibility審核監督 Audit&Monitoring身份管理 IdentityManagement數據DATA應用程序 ApplicationVirtual Machines&OS security虛擬機與操作系

3、統安全管理程序安全 HypervisorsSecurity網絡與數據中心安全Network&Data CenterSecurity物理安全 Physical Security數據層與開發平臺Datalayer&developmentplatformCOPYRIGHT 2018 CLOUD SECURITY ALLIANCE教育教育思想先驅思想先驅工具和標準工具和標準合作合作最優實踐與最優實踐與解決方案解決方案人工智能人工智能區塊鏈與分布式區塊鏈與分布式云云網絡事件分享網絡事件分享云組件規范云組件規范云控制矩陣云控制矩陣DevSecOps組織架構組織架構ERP 安全安全金融服務金融服務醫療保健醫

4、療保健ICS安全安全物聯網物聯網密鑰管理密鑰管理手機應用安全云測手機應用安全云測開放認證框架開放認證框架開放開放API云安全服務管理云安全服務管理一致性評價一致性評價容器與微服務容器與微服務隱私水平協議隱私水平協議量子安全量子安全安全即服務安全即服務軟件定義邊界軟件定義邊界TOP威脅威脅國際標準國際標準CVE 啟動CSA的基礎云安全研究 2017年7月發布第四版本 重要的企業經驗教訓 領域 1:云定義&架構 領域 2-5:云端治理 企業風險管理和治理 合法 合規&審計管理 信息治理 領域 6-14:云端運營 管理層面和業務連續性 基礎設施安全 虛擬化和存儲 事件響應 應用安全 數據安全和加密

5、身份管理 安全服務 相關技術報告下載地址：https:/www.c- 為云供應鏈風險管理設計最基本的控制框架 劃定控制所有權（供應商，客戶）為云供應商類型的排名提供實用性參考 能夠作為安全態勢和遵從態勢測量的典范 包括16個控制域，133個控制項 包含了全球法規和安全標準與控制項的映射關系：例如：NIST,ISO 27001,COBIT,PCI,HIPAA,FISMA,FedRAMP mappings growing virally 被政府和企業廣泛應用1.數據泄露2.被盜用的證書以及身份管理系統3.不安全的程序接口4.系統和App漏洞5.賬號劫持6.內部惡意人員7.高級持續性威脅8.數據丟失

6、9.不充分的盡職調查10.惡意使用和濫用11.拒絕攻擊服務DoS12.共享技術中的漏洞報告下載地址：https:/www.c- 最有價值的IT認證 2016 Certification Magazine 云安全競爭力的衡量標準 基于CSA的指南和云控制矩陣 在線考試 不斷涌現關于云安全，風險管理和審計的需求第一級-自我評估云廠商在CSA官網注冊并提交自評估報告。第二級-第三方認證由第三方機構進行認證，確保云廠商滿足CSA云安全控制矩陣CCM要求。例如:CSA STAR和C-STAR認證第三級-持續監控云廠商公布基于CSA云計算信任協議（The Cloud Trust Protocol，CTP）

7、的安全監控結果，對云服務相關安全要求進行持續的審計和評估。針對云廠商安全管理的一種嚴格的第三方獨立評估。該評估主要參考GB/T 22080-2008管理體系標準及CSA云控制矩陣（Cloud Control Matrix）的要求，以及29個國標GB/T 22239-2008（信息安全技術信息系統安全等級保護基本要求）和GB/Z 28828-2012（信息安全技術公共及商用服務信息系統個人信息保護指南）的相關控制措施 安全和規模效益 規模越大，實施安全控制的成本越低 安全導致市場差異化 安全性成為云消費者的首要考慮事項 快速智能的資源伸縮 資源伸縮使安全防御措施也具備彈性 審計和取證 虛擬鏡像取

8、證減少停機時間 更具成本效益的云日志存儲 資源集中的優勢 每單位資源更便宜的物理邊界限制和物理訪問控制 更及時的發布更新與有效的默認安全配置 通過默認加固的鏡像模板管理安全基線 比傳統修補模式更及時的發布更新 標準化的安全管理接口 大型云提供者的安全管理能力可以通過標準接口對外開放 審計和SLA促進更好的風險管理 需要量化SLA中各種風險場景的處罰以及安全漏洞對聲譽的可能影響，激發更為嚴格的內部審計和風險評估程序需求調研什么系統要上云，涉及哪些數據、密級如何、是結構化數據還是非結構化數據、數據量有多大，系統對環境及硬件資源的要求是什么（CPU、內存、網絡、I/O的要求都是什么樣的，分別需要多少

9、資源），業務系統的SLA要求都是什么廠商選型廠商規模與技術實力、公開的故障與歷史可用性、廠商整體經營風險、廠商的安全合規狀況、標桿客戶、業界口碑、互換性與可移植性（廠商瑣定的風險）、是否可以協商合同（包括SLA、保密協議等）傳統企業安全：基于防火墻的邊界防御Firewall防火墻IDS 入侵檢測IPS 入侵防護行業趨勢 變革企業應用云移動、IoT 變革1：云/移動/IoT等新技術出現讓企業數據不再局限在墻內，傳統安全邊界在瓦解防火墻等邊界防御設備變革2：APT攻擊、勒索病毒等黑客技術的演進以及WIFI/5G等無線方式接入，讓企業內網不再100%安全內網服務器WIFI/5G接入移動、IoT行業趨

10、勢 變革企業安全無法再100%依賴防火墻，國際云安全聯盟CSA定義了萬物互聯代的網絡安全模型Software-Defined-Perimeter(SDP)軟件定義邊界SDP有效防止十大安全威脅*1.數據泄露2.弱身份、密碼與訪問管理3.不安全的界面 和API 接口4.系統和應用程序漏洞5.賬號劫持6.內部惡意人員威脅7.高級持續威脅攻擊（APTS）8.數據丟失9.DDoS拒絕服務10.共享技術問題*來自云安全聯盟CSA白皮書SDP for IaaS連續4年舉辦SDP黑客破解大賽，無人攻破國外眾多老牌安全產商、CDN產商、電信運營商都推出自己的SDP產品2018年納斯達克上市的硅谷獨角獸，專攻S

11、DP產品，市值已超過60億美金SDP入選 2017年11大信息安全技術，2018最應投入的10大安全項目，網絡服務隔離指南：“到2021年底，60%的企業將用SDP取代VPN”SDP CSA技術創新安全思路的轉變傳統安全：攻防挑戰：你永遠不知道敵人明天是否有更高級的武器SDP安全：隱身優勢：敵人無法攻擊看不見的目標防彈衣SDP CSA技術創新SDP安全模型架構圖1.客戶端2.管控平臺3.應用網關云服務器內網/DMZ 服務器SDP核心優勢網絡隱身 Information Hiding隱藏服務器地址、端口，使之不被掃描發現預驗證 Pre-authentication在連接服務器之前，先驗證用戶和設

12、備的合法性預授權 Pre-authorization用戶只能看到被授權訪問的應用（最小權限原則）擴展性 Extensibility基于標準協議，可以方便與其它安全系統集成應用級的訪問準入Application Layer Access用戶只有應用層的訪問權限，無網絡級的訪問基于零信任(Zero-Trust)安全理念的軟件定義邊界(SDP)的安全模型1.客戶端SDP CSA技術創新SDP for IoTSDP for IaaSSDP for HTTPSDP for EnterpriseSDP使用場景https:/ 一開始是 Google 內部的一項舉措，旨在讓每個員工都能在 不借助 VPN 的情

13、況下通過零信任的網絡工作，如今它已融入大部分 Google 員工的日常工作。BeyondCorp通過將訪問權限控制措施從網絡 邊界轉移至具體的設備，讓員工可以更安全地在任何地點工作，而不必借 助于傳統的 VPN。2009年Google內網遭受了代號為“極光行動”的APT攻擊，推動Google 重新搭建整體安全架構，從而誕生了BeyondCorp項目。自2012年 Google開始在內部實施BeyondCorp，共發表了6篇相關的論文。美 國 國 防 部 在 Department of Defense Global Information Grid Architectural Vision信息化

14、架構指南中提出，所有敏感信息 的訪問必須嚴格遵守“need to know”（最小權限原則）的信息安 全原則。而SDP可以有效實施該原則。美國中情局的前CTO、著名安全專家Bob Flores是國際云安全聯盟SDP標準工作組的聯席主席.https:/cloudsecurityalliance.org/working-groups/software-defined-perimeter/Google BeyondCorp：基于SDP的安全辦公平臺美國國防部與中情局的實踐SDP 國外成功案例Adi Shamir FC2016:“物聯網將是安全大災難.Forrester:安全是IoT發展的關鍵Vint

15、 Cerf,互聯網之父，谷歌首席布道師“讓我們保持萬物互聯，同時保證互聯系統的安全與可靠性?！盧oss Anderson（劍橋大學）：物聯網安全不單純是一個技術問題，而是牽涉到心理學、道德、法律、保險等多方面的問題，安全工程將會很復雜，Safety將在未來一段時間比隱私更重要。Bruce Schneier：現在大多數的“物”都是不安全的，有可能變成監視工具，要解決這問題會很困難 物聯網安全不能由市場經濟原則驅動，政府要扮演主要角色，成立跨部門標準規范組織制定相應的安全規范.大部份IoT技術仍然在生存及成長階段，標準和安全是成功的關鍵因素。IoT安全技術仍然在創建階段，沒有成熟的產品。數據收集數

16、據傳輸數據分析和決策指令傳輸實施操作物聯網信息流模型僵尸網絡DDoS功能擴展攻擊資源耗盡偷聽和偽造身份社會工程攻擊電池消耗、通信信道DoS攻擊MITM（中間人攻擊）、重放攻擊、偽造證書網絡釣魚、偽Wi-Fi熱點、APT硬件注入暴力破解攻擊偽基站、路由器和固件側信道攻擊代碼注入、重用緩沖區溢出、后門、ROP（返回導向編程）、DOP字典攻擊、彩虹表差分功耗分析（DPA）攻擊、時間差攻擊、故障注入、電磁分析攻擊（EMA）海量物聯網設備感染病毒形成僵尸網絡，發起美國史上最大規模DDoS攻擊1、利用TCP端口漏洞，繞過防火墻2、停止telnet服務并關閉漏洞端口3、端口嗅探，等待CC命令并發起DDoS攻

17、擊。1、遠程無線攻入車載HMI2、多個漏洞提權，root權限登陸CID和IC上3、連接到CAN總線，任意車身和行車控制1、黑客通過釣魚郵件，植入惡意代碼2、橫向滲透，發送惡意載荷向受控SCADA節點發送斷電指令3、導致變電站中斷了三個小時，22.5萬用戶停電智能電網、工業物聯網等關鍵基礎設施面臨黑客組織定點攻擊，造成巨大經濟損失智能網聯車遭受遠程攻擊，不但威脅車輛信息安全，更直接威脅人身安全物聯網小設備受制于軟件漏洞，一旦聯網會被黑客所利用，形成受控制的僵尸網絡。對聯網智能設備的攻擊不僅局限于虛擬世界，也直接危害到物理世界，甚至危及生命安全。針對工業物聯網的安全漏洞一旦被利用，會癱瘓關鍵基礎設

18、施的運行，對日常生活影響巨大。New OrgsEarlyOrgsIoT Controls Framework and Guide to the IoT Security Controls FrameworkIoT Controls FrameworkSecurity controls frameworkContinuation of CCM,specific to IoTFlexible designGuide to IoT SecurityControls FrameworkExplains how to use the matrix報告下載地址：https:/www.c-(研究項目-文件下載)THANK YOU謝謝觀看