沃通CA首次发布“基于CA体系的云安全框架”
发布日期:2016-08-19在刚刚结束的2016 ISC中国互联网安全大会“云计算与大数据安全论坛”上,沃通CA创始人王高华先生发表了《云安全证书应用实践》主题演讲,首次向业界发布“基于CA体系的云安全框架”以及沃通CA与阿里云、微软Azure云之间的合作模式和应用实践经验,为业界云服务安全体系与CA体系的融合提供示范和参考。
云计算安全的重要性
云计算是一种新型的计算模型,是一种新兴的共享基础框架的方法,它面对的是超大规模的分布式环境,核心是提供数据存储和网络服务。云计算通过IaaS、PaaS和SaaS三种服务模型,为用户提供更加强大的计算能力、扩展能力和反应速度,同时大大降低部署成本和运营成本,云计算模式正在引发各行业的深刻变革。在云服务模式下,用户最担心的问题就是托管于服务商处的数据是否会被泄露、篡改或丢失,未来人们在本地硬盘上几乎不保存数据,所有的数据都在“云”里,而一旦发生数据泄露,将对用户造成致命的打击。因此,云服务的安全直接关系到云计算的未来。
基于CA体系的云安全框架
基于PKI/CA体系的应用产品——数字证书,是构建云计算安全与可信的重要手段。PKI技术是国际公认的实现互联网安全与可信的核心技术,通过数字证书(公钥和私钥、加密算法和摘要算法)、证书颁发机构(CA机构)、证书链(受信任的根证书颁发机构-中级根证书颁发机构-用户证书)、证书管理(申请、颁发、吊销、重新颁发、续期)等几大元素,实现各种网络应用中的安全加密和可信认证问题。沃通CA发布基于CA体系的云安全框架,针对云服务端、客户端及中间传输的文件、代码程序等互联网三大元素,实现数据的机密性和完整性、通信各方的身份真实性以及行为不可抵赖性。
·SSL证书
当提到云计算安全的时候,我们常常想到的是抗D攻击、云WAF、漏洞扫描、入侵检测等安全服务,而HTTPS加密却常常被忽略。利用HTTPS加密机制保护数据传输安全,从而确保数据完整性及保密性已经相当普遍的安全措施,但在云安全应用体系中,并没有得到广泛应用。
云服务未启用HTTPS加密,用户访问云服务时的所有通信数据,都在网络中明文“裸奔”,无需攻击或拖库,就能轻松拦截到用户敏感数据;HTTP协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼攻击”,用户根本无法察觉。HTTP明文协议的缺陷,是导致数据窃取、数据篡改、流量劫持、身份冒用、钓鱼攻击等安全问题的重要原因。
为云服务部署SSL证书,能够确保用户数据在传输过程中处于加密状态,同时验证服务器身份的真实性,防止云服务器被假冒,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼攻击等安全事件,确保用户和云服务端之间的信息交互始终安全。
·代码签名证书
不管是SaaS、PaaS还是IaaS都存在应用程序安全和信任问题。在PaaS服务中,服务商需要审查用户上传的应用程序是否为恶意程序;在IaaS服务中,服务商云平台上也容易被放置恶意攻击程序;SaaS服务商所提供的在线软件类应用程序也需要对代码的安全和可信进行验证。
使用代码签名证书,可以认证云内应用程序开发者真实身份,确保程序来源可信;对程序进行数字签名,确保程序在云端没有被非法篡改或植入病毒木马,从而保护云平台应用程序安全。
·客户端证书
云服务模式下,用户身份认证与访问控制面临新挑战:用户数可能少则10万,多则100万、1000万,甚至上亿。用户帐号加弱口令密码的身份认证方式容易被泄露、被冒用或被“撞库攻击”。
云计算系统应建立基于数字证书的统一、集中的认证和授权系统,以满足云计算多租户环境下复杂的用户权限策略管理和海量访问认证要求,提高云计算系统身份管理和认证的安全性。云平台用户可以通过沃通WoSign的API接口获取数字证书,为用户实现强身份认证登录、权限管理、行为追溯及文件加密。
安全访问:采用客户端认证,对不同类型和等级的系统、服务、端口采用强身份认证登录。
权限划分:根据用户、用户组、用户级别的定义来对云计算系统资源的访问进行集中授权。
行为追溯:基于客户端证书的用户访问日志记录,追溯访问行为。
文件加密:基于客户端PDF证书,签名加密放在云中的所有文件,不是简单的自编算法加密,必须用用户的客户端证书加密各种文件保存在云端,用户下载到自己的电脑用证书私钥解密。
沃通CA云安全证书应用实践
沃通CA(www.wosign.com)发布的“基于CA体系的云安全框架”,不仅对云安全体系中的证书应用提供了清晰的思路,而且分享了成熟的应用实践经验。沃通CA已经和阿里云、微软Azure云等国内外知名的云服务厂商进行合作,将CA体系融入到云安全体系中。
以阿里云为例,沃通CA(www.wosign.com)为阿里云定制开发SSL证书API接口,将证书申请服务集成到阿里云平台,用户可以直接在阿里云平台上,在线申请沃通SSL证书,进行提交验证材料、管理证书状态、自动部署证书、在线吊销证书等操作。阿里云盾证书服务和阿里云产品打通,可一键部署SSL证书到阿里云产品中,缩短SSL证书申请时间,降低HTTPS实施难度,帮助云平台用户快速将所持云服务从HTTP自动转换成HTTPS。目前阿里云盾高防产品的SSL证书推送服务已率先打通,CDN/SLB/云邮箱等云产品也将陆续开启。