云安全-云数据安全防御措施

文章目录

描述云数据概念 Describe Cloud Data Concepts
- 云数据生命周期的各阶段 Cloud Data Life Cycle Phases
- 数据分散 Data Dispersion
设计和实施云数据存储架构 Design and Implement Cloud Data Storage Architectures
- 存储类型 Storage Type
- 存储类型的威胁 Threats to Storage Types
设计并应用数据安全策略 Design and Apply Data Security Technologies and Strategies
- 加密技术
- 散列技术 Hashing
- 密码管理（Key Management）
- 标记化 Tokenization
- 数据防泄漏 (DLP) Data Loss Prevention (DLP)
- 数据去识别化技术 Data De-identification
- 匹配应用程序与数据安全技术
- 新兴技术
实施数据探查 Implement Data Discovery
- 结构化数据 Structured Data
- 非结构化数据 Unstructured Data
实施数据分类 Implement Data Classification
- 数据映射 Mapping
- 数据标识 Labeling
- 敏感数据Sensitive data
个人身份信息的相关数据保护司法管辖权
设计和实施信息版权管理 Design and Implement Information Rights Management（IRM）
- 数据版权的目标（如：数据权利、供应、访问模型）Objectives(e.g., data rights, provisioning, access models)
- 适当的工具（如：证书的发行和撤销） Appropriate Tools
计划和实施数据保留、删除和归档策略 Plan and Implement Data Retention, Deletion and Archiving Policies
- 数据保留策略 Data Retention Policies
- 数据删除的流程和机制 Data Deletion Procedures and Mechanisms
- - 传统的数据销毁选项
  - 云计算环境中的数据销毁/废弃
- 数据归档的流程和机制 Data Archiving Procedures and Mechanisms
- 法定保留 Legal Hold
设计和实施数据事件的可审计性、可跟踪性和可问责性 Design and Implement Auditability, Traceability and Accountability of Data Events
- 事件源的定义
- 身份属性要求
- 数据事件的日志、存储与分析 Logging, Storage and Analysis of Data Events
- - 数据事件日志
  - 数据事件的存储和分析
  - 持续优化
- 保管链和不可否认 Chain of Custody and Non-repudiation
参考文献

本文基于 CCSP认证考试大纲中文版 2022 和 CCSP AIO考试教材第二版进行学习总结而形成，希望对大家学习云计算安全有所帮助

云数据安全 Cloud Data Security
尽管云环境中的许多数据安全和保护原则与传统数据中心的数据安全和保护原则相同，但云环境中也存在一些独特的差异和挑战。

描述云数据概念 Describe Cloud Data Concepts

云数据生命周期的各阶段 Cloud Data Life Cycle Phases

第⒉章曾简要介绍云数据生命周期的各个阶段。云安全专家需要更透彻地理解每个阶段的各个方面、风险和技术。本节快速回顾生命周期的各阶段：
创建阶段虽然将初始阶段称为“创建(Create)"，但也可将其称为“修改(Modification)”。本质上，任何“新”数据都属于“创建”阶段。“创建”阶段可能是新创建的数据、导入系统中的数据、传入系统中的新数据，或已存在并修改为新形式或赋予新值的数据。“创建”阶段也是确定数据是否安全的最佳时间点。当创建数据时，云安全专家可掌握数据的价值和敏感度(Sensitivity)，并可从初始状态就合理地保护数据，因为所有其他阶段都是在“创建”阶段的基础上建立起来的。安全控制措施也可在“创建”阶段首先实现(特别是以SSL/TLS等技术形式实现)，其中包含输入或导入的数据。
存储阶段创建数据后，必须立即使用对系统或应用程序可用的方式存储数据(许多情况下，这几乎是同时执行的补偿流程)。数据可采用多种方式存储。存储(Store)方法包括文件系统上的文件、云端的远程对象存储以及写入数据库的数据。
使用阶段“使用”阶段是应用程序或用户实际操作或处理数据的阶段。此时，由于正在使用、查看或处理数据,因此数据更容易暴露,并且面临更大的破坏(Compromise)或泄露(Leak)的机会。
共享阶段在共享阶段，可在显式创建数据的系统上或为其创建数据的系统外使用数据。
归档阶段归档阶段只需要将数据移动到长期存储中，从而使其在系统中不再处于活动状态或“热”状态。
销毁阶段在生命周期的“销毁”阶段，要么使数据无法访问，要么永久删除，具体方法取决于数据的分类和敏感度。多数云安全专家都不会认为简单的数据删除(Delete)是销毁阶段的一部分，由于数据删除指令只是擦除数据指针，因此非常容易恢复残留数据。所以，使用覆写技术(Overwriting)和加密擦除技术(Crypto-shredding或 Cryptographic Erasure)等方法在云环境中更普遍，许多法规都要求使用这类方法，特别是考虑到消磁(Degauss)和粉碎等物理破坏性方法在云环境中无法实现的情况。

数据分散 Data Dispersion

数据分散(Data Dispersion)是云架构的关键特性之一，也是决定云环境中云客户存储成本的主要因素之一。云系统在数据中心高度分布，能跨越很大的地理区域。

设计和实施云数据存储架构 Design and Implement Cloud Data Storage Architectures

云环境的IaaS、PaaS和 SaaS 托管模型都使用自己独特的存储方法，如下图所示。三种模型都有其独特的挑战和威胁。

存储类型 Storage Type

（如：长期的、短暂的、裸磁盘） Storage Types（e.g. long term, ephemeral, raw-disk)
laaS模型的常用存储类型存储由云服务提供商根据云客户的特定需求来分配和维护。laaS模型中，存储分为两个基本类别:卷存储和对象存储。
PaaS模型的常用存储类型PaaS模型的存储设计与laaS模型差异极大，因为云服务提供商负责整个平台的运维，云客户只负责应用程序。这也将存储系统的责任交给云服务提供商。使用PaaS模型，存储分为结构化和非结构化两类。
SaaS模型的常用存储类型在SaaS服务模型中，云服务提供商全权负责整个基础架构和应用程序。因此，云客户除了能将数据放入存储外，对存储几乎没有任何控制措施。SaaS模型最常见的两种存储类型是“信息存储与管理”和“内容与文件存储”。

存储类型的威胁 Threats to Storage Types

对存储而言，最常见、最容易理解的威胁是未授权访问或未授权使用数据。云环境的本质问题以及存储在大型系统中的分布方式(通常具有地理多样性)，导致数据泄露或暴露的可能性大大增加。
云环境中的存储系统还面临来自网络和物理方面的威胁。当需要销毁数据介质时，主要的挑战是确保数据完全脱敏以符合安全策略、法律、法规、指南的要求。

设计并应用数据安全策略 Design and Apply Data Security Technologies and Strategies

数据安全战略通常使用几种工具集和技术：
加密技术
哈希技术
密钥管理
标记化技术(Tokenization)
数据防泄露(DLP)
数据去标识化技术(Data De-identification)
技术应用
新兴技术

加密技术

由于传统数据中心模型中常见的物理分隔和隔离保护不可用或不适用于云环境，且多租户和资源池是云环境的核心概念，使用加密技术保护数据是必然手段之一。加密系统架构有三个基本组件：数据本身，处理所有加密活动的加密引擎(Encryption Engine)，以及在实际加密和数据使用中必要的加密密钥。

散列技术 Hashing

哈希技术的主要价值是快速验证数据对象的完整性。在云环境中，这对于虚拟机镜像和分散于云环境中的大量数据位置非常有价值。

密码管理（Key Management）

密钥管理(Key Management)是对加密密钥及其访问的保护。在云环境中，密钥管理是一项非常重要的基础任务，同时也极度复杂。密钥管理最重要的安全考虑之一是关于密钥的访问和存储。在传统环境和云环境中，密钥访问都是极其重要和关键的安全场景。但在多租户的云环境中，在云客户人员的隔离和控制方面，要比在传统数据中心中考虑的问题更多，云服务供应商人员对系统拥有宽泛的管理访问权。

标记化 Tokenization

标记化技术(Tokenization)是利用数据中随机的和不透明的“标记(Token)”值来替换敏感或受保护的数据对象的做法。标记值通常由应用程序生成，将其映射到实际敏感数据值，然后将标记值放在与实际数据值的格式和要求相同的数据集中，以便应用程序可继续运行，而不必执行不同的修改或代码变更。

数据防泄漏 (DLP) Data Loss Prevention (DLP)

云环境中用于保护数据的主要概念和方法称为数据防泄露(Data Loss Prevention，DLP)，有时也称为数据泄露预防(Data Leakage Prevention，DLP)。DLP策略应涉及整个组织，尤其是混合云环境，或者是那些将云环境与传统数据中心安装相结合的环境。

数据去识别化技术 Data De-identification

数据去标识化技术(Data De-identification)涉及使用数据遮蔽(Masking)、数据混淆(Obfuscation)或数据匿名(Anonymization)等技术。遮蔽或混淆处理背后的理论是替换、隐藏或删除数据集中的敏感数据.遮蔽最常见的用途是为非生产和研发环境提供可用的测试数据集。

匹配应用程序与数据安全技术

当选择将在环境中使用哪些技术开展数据保护工作时，云安全专家必须正确评价系统和应用程序框架、其中使用的数据特性，以及数据所受的法规框架。在云环境中，除了传统数据中心模型之外，还必须评价一些额外的需求。

新兴技术

与任何技术领域一样，数据安全方面的变化和进步都是快速和持续的。对于云安全专家而言，掌握这些快速的变化和进步，评价其系统中包含的适当性是至关重要的。许多进步也是法规变更的驱动因素或对法规要求变更的反应。

实施数据探查 Implement Data Discovery

数据探查(Data Discovery)是由商业智能运营和用户驱动的流程，在这个流程中，数据完成分析和可视化展示，以寻找特定模式或特殊属性。数据探查与许多数据分析运营有所不同，因为数据探查严重依赖用户的专业知识和经验来解释和研发有意义的推论。数据探查是一个迭代流程，在这个流程中，不断发现影响参数，以便更深入地研究数据并继续将其范围扩大到所需的目标。
对于任何数量的数据，掌握数据的组织形式和访问方式对于执行任何类型的分析或数据探查都至关重要。数据探查工具通常扫描数据库和数据集，查找有价值的信息或与用户正在执行的确切数据探查工作相关的信息。

结构化数据 Structured Data

结构化数据包含具有已知格式和内容类型的所有数据类型。结构化数据最常出现在关系数据库中。

非结构化数据 Unstructured Data

非结构化数据本质上是所有不符合结构化数据规范的数据集合。非结构化数据可以通过人工输入或机器输入生成，但不符合已定义的数据结构或格式。

实施数据分类 Implement Data Classification

分类(Classification)是分析特定数据的属性，然后确定需要实施的合理策略和控制措施以保障数据安全的流程。

数据映射 Mapping

一套完善的映射策略将允许组织掌握数据存在于其应用程序中以及更多存储范围的所有物理位置。如果没有两者的信息，组织就无法在数据上正确地构建和实施安全策略和协议。

数据标识 Labeling

一套完善的映射策略将允许组织掌握数据存在于其应用程序中以及更多存储范围的所有物理位置。

敏感数据Sensitive data

（如：受保护的健康信息（PHI），个人身份信息（PII），持卡人数据）

个人身份信息的相关数据保护司法管辖权

设计和实施信息版权管理 Design and Implement Information Rights Management（IRM）

数据版权的目标（如：数据权利、供应、访问模型）Objectives(e.g., data rights, provisioning, access models)

数字版权管理(DRM)解决方案用来保护知识产权，用来执行相关的保护要求，维护知识资产的所有权。DRM可在企业中部署，由制造商、供应商或内容创建者实施。通常，DRM解决方案保护的素材需要使用某种形式的标签或与素材相关的元数据，以便DRM工具能够正常工作。DRM的实施情况在技术复杂性和技术上各不相同。以下是一些可应用的DRM方法：
基本参考检查(Rudimentary Reference Checks) 内容本身可自动检查使用的副本所有权的合法性。例如，在很多老式电脑游戏中，游戏会暂停运行，要求玩家输入一些特定信息，这些信息只能通过购买游戏的授权副本获得，例如，游戏中附带的一个单词或短语。
在线参考检查(Online Reference Checks) 微软软件包，包括Windows操作系统和Office程序，通常以相同的方式保护软件所有权，要求用户在安装时输入产品密钥；然后，当系统连接到互联网时，软件程序在联机数据库中检查产品密钥的合法性。
**本地代理检查(Local Agent Checks)**用户安装一个参考检查工具，它根据用户的许可检查受保护的内容。目前，游戏引擎常以这种方式工作，安装游戏时需要下载Steam或GOG.com代理；代理对照在线许可证数据库核对用户的系统，确保游戏不是盗版。
许可介质保持验证(Presence of Licensed Media) 有些DRM工具需要在系统中同时使用内容和许可介质，例如磁盘。通常，DRM引擎在许可介质上安装一些加密信息来标识特定磁盘和许可内容，并允许基于这种对应关系使用内容。
基于持续支持的许可(Support-Based Licensing) 一些DRM的实现基于提供支持内容的需要；尤其是生产环境下的软件系统。许可的软件可能允许在需要时随时访问更新和补丁，而供应商可阻止未经许可的版本获得这种类型的支持。

适当的工具（如：证书的发行和撤销） Appropriate Tools

(e.g., issuing and revocation of certificates)

计划和实施数据保留、删除和归档策略 Plan and Implement Data Retention, Deletion and Archiving Policies

数据保留策略 Data Retention Policies

与安全行业的所有其他工作一样，组织的数据保留(Data Retention)计划应以强力的、一致的策略为基础。数据保留策略应该包括以下内容：
保留期(Retention Periods) 组织应将数据保存多长时间？这通常指为长期存储而归档的数据，即当前生产环境中暂时不使用的数据。保留期通常用年限来表示，由法规或立法确定(见下一项)。数据保留期也可由合同协议授权或修改。
适用的法律法规(Applicable Regulation) 正如刚才提到的，保留期可由法规或合同授权；保留策略应该考虑所有法规。存在法规冲突的情况下尤其如此；该策略还应强调这种差距，并提交给高级管理层，由高级管理层做出如何使用适当的机制来处理和解决这一冲突的决定。例如，各国可对特定种类的数据施加不同的保留期，而组织可能在不同授权期限的国家内运营；该策略应明确说明相互冲突的时期，以及高级管理层确定的保留期解决方案。
保留格式(RetentionFormats) 策略应该描述数据是如何实际归档的，说明介质存储类型和处理特定数据的规范标准。例如，某些类型的数据需要在存储时加密。此类情况下，策略应该包括加密引擎(Encryption Engine)的描述、密钥存储和回收过程，并引用适用的法律法规。
数据分级(Data Classification) 组织应当有一个总体的数据分级策略来指导数据的创建者(Creator)、所有者(Owner)、管理者(Curator)和用户(User)；该策略描述数据何时分级、如何分级，还描述各种分级和处理的安全程序和控制(还有发生违规情况时的应对策略)。除了主策略外，数据保留策略还应该包括如何存储和检索不同分级数据的具体说明。归档和检索程序(Archiving and Retrieval Procedures) 数据存储是有实际用途的。存储的数据可用来纠正错误，可作为业务连续性和灾难恢复(BusinessContinuity and Disaster Recovery, BC/DR)备份，可实现商业智能为目的的数据挖掘分析。但存储的数据，只有在被检索到并以高效的、具有成本效益的方式重新投入生产时才是有用的。策略应该详细描述将数据发送到存储介质以及恢复数据的过程。策略的这个元素(即详细的流程)可能被包含在附件中;流程可能需要比策略更频繁地进行更新和编辑，并且可以独立保存。
持续监测、维护和执行(Monitoring, Maintenance, and Enforcement) 与本组织的所有策略一样，该策略应详细列出审查和修订策略的频率、由谁负责、不遵守策略的后果，并说明由组织内的哪个实体负责执行。

数据删除的流程和机制 Data Deletion Procedures and Mechanisms

传统的数据销毁选项

介质和硬件的物理销毁技术(Physical Destruction) 任何包含相关数据的硬件或便携式介质都可通过烧毁、熔化、冲击(打、钻、磨等)或工业切碎方式进行销毁。这是首选的数据脱敏(Data Sanitization, 又称数据清洗)方法，因为数据在物理上是不可恢复的。
消磁技术(Degaussing) 在数据驻留的硬件和介质上施加超强磁场，有效地使硬件和介质脱磁。消磁技术不适用于固态驱动器(Solid State Drive，SSD)。
覆写技术(Overwriting) 将随机字符多次写入保存数据的存储区域(特定磁盘扇区)，最后一次写入全1或全0。对大型存储区域而言，这是极耗费时间的。
加密擦除技术(Crypto Shredding或AKA Cryptographic Erasure) 这包括使用一个强加密引擎加密数据，然后使用该过程生成的密钥，在另一个不同的加密引擎上加密，此后销毁密钥。

云计算环境中的数据销毁/废弃

在云计算环境中，这些数据销毁/废弃选项中有一些是无效或不可行的。因为云服务提供商拥有硬件，而非数据所有者拥有硬件，所以，物理销毁技术通常是不可行的。另一个原因是，很难确定数据具体的实际物理位置，物理定位在任何给定时刻(或历史时刻)都是难点，因此，几乎不可能要求所有组件和介质都进行销毁。基于同样的原因，覆写技术也不是云计算数据脱敏的可用方法。
加密擦除技术是云计算环境唯一务实的数据废弃选项。

数据归档的流程和机制 Data Archiving Procedures and Mechanisms

1、格式归档策略需要确定归档数据的格式。
2、技术除数据留存策略和数据格式决策外，数据归档将依赖于特定技术或标准来维护和存储数据。
3、法规要求大多数法规都会规定数据归档的最短持续时间。法规通常还规定了所需的最低加密等级或技术，甚至是要使用的特定格式、标准或技术。
4、测试虽然数据格式、技术和法规的要求构成了数据归档计划的核心，但如果没有适当的测试来验证和审计策略和流程，组织就无法确保其程序在需要时是有效的和可用的。

法定保留 Legal Hold

法定保留(Legal Hold)是指与法律诉讼有关的特定类型的数据归档和留存。

设计和实施数据事件的可审计性、可跟踪性和可问责性 Design and Implement Auditability, Traceability and Accountability of Data Events

通过对数据类型以及处理和保存这些数据的策略的深入了解，云安全专家可以识别、收集和分析实际的数据事件，以便对其开展有价值的利用。

事件源的定义

哪些事件是重要的，哪些事件是可用的?这取决于所采用的特定云服务模型。
1、laaS事件源(Event Source)在laaS环境中，云客户可对任何云服务模型的系统和基础架构日志拥有最大的访问权和可见性。
2、PaaS事件源PaaS环境无法提供或公开与IaaS环境相同级别的云客户对基础架构和系统日志的访问权限，但在应用程序级别可获得与laaS环境相同级别的日志和事件细节。
3、SaaS事件源考虑到SaaS环境的本质，以及云服务提供商负责整个云基础架构和应用程序，云客户可用的日志数据量通常是最小的，而且受到高度限制。

身份属性要求

OWASP还提供了以下功能强大且详细的模型，用于捕获和记录事件属性。

数据事件的日志、存储与分析 Logging, Storage and Analysis of Data Events

数据事件日志

一旦由管理人员、安全人员和应用程序团队确定并定义属性和事件类型的类别，则流程的下一步就是收集和验证实际的事件数据和日志记录功能。

数据事件的存储和分析

对于为任何系统或应用程序所创建和收集的大量日志，需要一种方法或技术来编目并使事件可搜索和可报告。如果没有一个适当的系统来综合和处理事件数据，那么收集到的大量

持续优化

为成功地实现任何事件收集和分析，必须随着时间的推移对其不断优化和调整。

保管链和不可否认 Chain of Custody and Non-repudiation

证据保管链(Chain of Custody)的核心是文档化的数据和证据的持有及保存，从数据和证据的创建到保存或记入正式记录为止，通常用于法院程序中。不可否认性(Nonrepudiation)是高度确定数据来源或真实性的能力。

参考文献

CCSP认证考试大纲中文版 2022
CCSP AIO考试教材第二版