Domain3-3漏洞安全、威胁和对策
基础概念
| 模型 | 云厂商提供什么 | 用户控制什么 | 例子 |
|---|---|---|---|
| SaaS(Software) | 完整应用软件 | 软件+数据 | Microsoft 365 / 钉钉 |
| PaaS (Platform) | 应用运行平台 | 云运行平台(应用+数据) 无法操纵底层OS,只能上传程序,管理业务数据 | 阿里云 SAE 云运行平台 |
| IaaS(Infrastructure) | 虚拟机+网络+存储 | OS+应用+数据 | AWS EC2 / 阿里云 ECS |
| CaaS(Communication) | 通信能力 | 用通信(会议/聊天/通话) | 腾讯会议 / Zoom |
| FaaS(Function) Serverless(无服务器) | 函数运行环境(事件驱动) | 只写函数代码 | Azure Functions |
边缘计算(edge computing)利用传感器实现部分计算工作,分担中心计算压力
无服务器计算():计算全部在云平台,无法本地设备运算
Serverless(大概念) │ ├── FaaS(函数服务)✔核心 │ ├── BaaS(后端即服务) │ ├── Auth(登录) │ ├── DB(数据库) │ └── Storage(存储) │ └── Event-driven services(事件驱动服务)未分类系统(Unclassified System) 仅承载公开 / 未分级数据,无任何机密、秘密、绝密涉密内容
TCSEC 橙皮书:
单一状态 = 系统运行只认一个安全状态
多态 = 系统同时存在多个安全级别的“状态并行”
| 模式 | 是否多密级 | 是否同系统混存 | 控制方式 |
|---|---|---|---|
| Dedicated | ❌ | ❌ | 物理隔离 |
| System High | ✔ | ✔ | 按最高级运行 |
| Compartmented分隔 | ✔ | ✔ | Need-to-know |
| Multilevel | ✔ | ✔ | MAC(Bell-LaPadula) |
共享责任
每个人都有责任
云时,每个实体要知道自己执行工作时共享的责任
数据本土化和数据主权
数据本土化
数据主权
数据可移植
虚拟化技术
核心组件
安全管理:
Host OS稳定性
Hypervisor保护
虚拟资产备份、定期测试
保持各级OS备份
硬件(CPU/内存/硬盘) ↓ Host OS 运行Vmware的真实计算机 ↓ Hypervisor VMware Workstation,隔离Guest OS ↓ ↓ Guest OS Guest OS Windows10/11LinuxHypervisor
Type 1 裸金属虚拟化系统,直接运行在硬件上
Type 2 运行在操作系统之上
Software Define Everything-SDx
资源层:资源拆分与整合
Virtualization 一台变多台
SDS Software Defined Storage 软件调度多硬盘
VSAN Virtual Storage Area Network 拼接硬盘 / 合成一个大存储池
控制层:全局软件控制
SDN
SDN Software Defined Networking
软件控制网络流量(不用手动配路由/交换机)
SDDC
SDDC Software Defined Data Center
整个数据中心全部软件化管理(网络+存储+计算)
运行层:软件运行优化
Container容器:标准化运行环境、资源隔离
Serverless:自动化调度
体验层:可视化管理
Virtual Desktop Infrastructure 桌面上云
Virtual Mobile Infrastructure 手机集中管理
Software Defined Visibility 系统看板可视化
瘦客户机属于VDI,主要功能是:连接 + 显示 + IO
特定风险
VM Sprawl
虚拟机开完不删,浪费服务器资源
Server Sprawl
服务器越开越多,没人规划,浪费资源
VM Escape
攻击者透过虚拟机攻击宿主机
虚拟化相关技术
云计算(Cloud) ↓ 雾计算(Fog) 云部分功能下沉,分布式计算和调度 ↓ 边缘计算(Edge) 位于网络拓扑最外围(近数据源)↓ 终端设备(Device)传统服务器管理 ↓ 基础设施即代码(IaC) 用代码创建和管理服务器 ↓ 不可变架构(Immutable Infrastructure)运行环境不能修改,只能进行镜像替换 ↓ 无服务器架构(Serverless)云分配资源运行代码客户端/服务器安全
客户端安全
移动代码 把“计算”从服务器搬到客户端执行
Java Applet、ActiveX(淘汰)
JavaScript(主流) 会有XSS 跨站脚本、XSRF 跨站请求伪造 攻击
防范机制:
Content Security Policy,限制外部脚本域名
防火墙、更新浏览器、限制JS权限
本地缓存 本地存储缓解服务器压力
ARP缓存 记录IP和MAC对应关系
DNS缓存 域名到IP
互联网文件 网页/文件
服务器安全
① 分布式计算体系
• 分布式系统
系统拆成独立模块,部署在不同独立服务器上,机器配合工作,实现扛高并发、数据海量存储、机器坏了业务不中断
• 微服务 Microservices
微服务就是按照业务进行拆分:用户服务器、商品服务器、订单服务器、支付对接服务器
安全防护:
身份验证、数据加密、容器
网关API、日志防护
• 大规模并行数据系统
很多台机器,同时处理海量数据
并行计算系统 │ ├── 对称多处理(SMP) ← 小规模(单机多CPU) 多个CPU共享同一内存,地位完全平等 │Symmetric Multiprocessing │ ├── 非对称多处理(AMP)← 控制分工型 CPU有主有从,一个控制,其他干活 │Asymmetric Multiprocessing │ └── 大规模并行处理(MPP) ← 大规模多机器 Massively Parallel Processing② 弹性资源体系
• 网格计算 借别人算力来做超级计算任务
机密性不是风险最大的、不同任务间隔离可能被破坏才危险
• 对等网络(P2P) 大家互相当服务器
③ 实时系统RTOS
刹车、心率
存在在自带小存储ROM(难改)里
④ 高性能系统HPC
主要元素:计算资源(负责算)、网络能力(连)、存储能力
硬件和固件安全
1.处理器processor
执行类型:
多核:多个处理核心,并行处理任务
多程序(Multiprogramming)多个程序都在内存里,只是放着
多任务(Multitasking) CPU快速切换执行,达到同时运行
线程属于进程,
进程是“容器”,独立的应用程序:浏览器、微信
进程状态:ready waiting running stopped
线程是“容器里的执行者”:处理点击 打开网页 渲染页面
多进程:多个独立程序运行
多线程:一个程序内部多个执行路径
保护环
Ring 0 ← 最高权限,访问任何资源
Ring 1/2 较少使用
Ring 3 ← 用户态,微信 word 游戏
寄存器 Registers
指令 = CPU执行的最小操作单位
正常需要去内存里
• 立即寻址:数据成为指令的一部分
• 寄存器寻址:数据“在CPU里面”(最快)
• 直接寻址:指令“给你地址”
• 间接寻址:地址指向地址,最后拿数据
• 基址+偏移:在“某个起点基础上移动”
2.内存memory
只读存储器 Read-Only Memory
只能读不能写(改),工厂烧录
Programmable Read-Only Memory (PROM) 用户稍后烧录
Erasable Programmable Read-Only Memory (EPROM) 可擦除
随机存取存储器 Random Access Memory
👉 运行内存 = RAM(主存)
随机位置读取速度一样快||临时存储易失性存储
风险低,因为断电就没了
Real Memory主内存
Cache RAM Cache物理属于CPU,属于SRAM,不是RAM
| 对比项 | DRAM(动态RAM) | SRAM(静态RAM) |
|---|---|---|
| 全称 | Dynamic RAM | Static RAM |
| 存储方式 | 电容存储电荷 | 触发器(锁存器) |
| 是否需要刷新 | 需要(不断刷新) | 不需要 |
| 速度 | 较慢 | 很快 |
| 成本 | 低 | 高 |
| 集成密度 | 高(能做很大容量) | 低(占用面积大) |
| 常见用途 | 主内存(RAM) | CPU缓存(Cache) |
| 可靠性 | 较低(会丢电荷) | 较高(稳定) |
3.外存Second memory
👉 硬盘 = 外存(长期存储) 驱动器=硬盘+读写
HDD(机械硬盘)
SSD 全盘加密、厂商安全擦除、物理销毁(固态硬盘 无磁介质 无法消磁)
数据残留问题:坏块
4.输入输出设备
放射安全:
法拉第笼:被动 防止信号传播
白噪音:主动干扰信号 防止远程读取
打印机:
本地存储数据、传输安全、身份验证
显示器:电磁侧信道攻击、肩窥
EMSEC/TEMPEST防护
Electromagnetic Security
TEMPEST是代号 防止设备电磁泄漏被窃听的安全体系(不是攻击本身)
TEMPEST应对方法:法拉第笼、白噪声、控制区。
键鼠
调制解调器POTS Telephone Modems
5.固件(很少改动)
安全擦除磁盘后,使用原始介质安装系统,唯一不受影响的就是BIOS固件。
BIOS
UEFI统一可扩展接口
Flashing闪烁
Boot Attestion,安全引导Boot Secure
Measured Boot测试启动
移动设备安全
部署策略
| 模式 | 设备归属 | 员工选择权 | 使用范围 | 安全级别 |
|---|---|---|---|---|
| BYOD | Bring Your Own Device | 自己手机 | 私人 | 低 |
| COPE | Choose Your Own Device | 公司买设备,但允许个人使用 | 受监控 | 中高 |
| CYOD | Corporate Owned, Personally Enabled | 公司所有,员工在列表选 | 受控 | 中 |
| COBO | Corporate Owned, Business Only | 公司所有,只能办公用 | 仅工作 | 高 |
安全特性
1管理与控制 Mobile Device Management 移动设备管理(解决方案)MDM (设备管理) 硬件 Mobile Device Management ↓ EMM (移动生态管理) 手机 + App + 数据 Enterprise Mobility Management ↓ UEM (统一终端管理) 所有设备(手机+电脑+IoT) Unified Endpoint Management 资产跟踪 公司知道设备“是谁的、在哪、在干嘛” 内容管理 公司控制“什么文件能看、能不能下载” 应用控制 公司控制手机“能装什么App、能不能用” 停用未使用的功能 不用的功能直接关掉:蓝牙/USB/截图/摄像头2身份与访问安全 设备身份验证 设备是不是被允许的 凭据管理 密码/密钥/令牌 屏幕锁 设备锁定 短信安全 身份验证 SMS/MMS/RCS 是有用通讯系统3数据保护 全设备加密(FDE)加密存储 存储分割(工作区/个人区) 远程擦除 需要有网络 可移动存储控制 SD卡、USB存储4通信 通信保护 推送通知(安全通道管理) GPS和定位服务(隐私 + 风险控制) 地理位置(导航定位)地理标记(照片中存储详细信息)地理围栏(特定地理区域)5设备与系统安全 越狱(检测/防护) 绕过系统限制,获得“管理员权限” 侧向加载(Sideloading)不通过官方商店,直接安装App 自定义固件 刷机:设备最底层系统 运营商解锁 解除手机绑定的运营商限制 固件OTA更新 通过网络自动更新系统/固件6应用与内容 第三方应用商店 应用控制 内容管理 推送通知常见架构缺陷
隐蔽通道Covert Channels
Rootkits
Incremental Attacks增量攻击
设计、编码缺陷
2