《如何從系統(tǒng)架構(gòu)的層面進(jìn)行安全設(shè)計(jì)》華為 毛哲文

????????????什什么是安全架構(gòu),為什么要系統(tǒng)性地進(jìn)行安全架構(gòu)設(shè)計(jì)????availability(可用性),accountabilityandassurance(可審計(jì)性/可追溯性).-部分-部分軟件系統(tǒng)安全,安全應(yīng)該軟件系統(tǒng)安全,安全應(yīng)該在??直接來自客戶?????????直接來自客戶???????安安全架構(gòu)設(shè)計(jì)之前開始整理安全需求安安全需求來自不同的維度(外部和內(nèi)部)//法規(guī)標(biāo)準(zhǔn)規(guī)范的安全需求?//法規(guī)標(biāo)準(zhǔn)規(guī)范的安全需求?來自來自業(yè)務(wù)自身的安全需求識識別關(guān)鍵業(yè)務(wù)及關(guān)鍵資產(chǎn),分析并定義關(guān)鍵安全需求通通過安全威脅分析獲取安全需求定定義系統(tǒng)的安全邊界按按照業(yè)務(wù)場景進(jìn)行安全威脅分析通過關(guān)通過關(guān)鍵數(shù)據(jù)在系統(tǒng)中的流動進(jìn)行分析攻擊面攻擊面的分析應(yīng)用安全?數(shù)據(jù)安全?系統(tǒng)安全??平臺安全?物理安全?安全運(yùn)維?應(yīng)用安全?數(shù)據(jù)安全?系統(tǒng)安全??平臺安全?物理安全?安全運(yùn)維?與整個系統(tǒng)架構(gòu)相結(jié)合,從整個系統(tǒng)層面進(jìn)行安全分析與設(shè)與整個系統(tǒng)架構(gòu)相結(jié)合,從整個系統(tǒng)層面進(jìn)行安全分析與設(shè)計(jì)全??????????????操操作系統(tǒng)是應(yīng)用、應(yīng)用數(shù)據(jù)、應(yīng)用通信網(wǎng)絡(luò)所依賴的基礎(chǔ),必須保證操作系統(tǒng)本身的安全證操作系統(tǒng)本身的安全;可以可以依賴操作系統(tǒng)的自主訪問控制和強(qiáng)制訪問控制來實(shí)現(xiàn)應(yīng)用的部分分安全需求;操作系統(tǒng)本身的基本安全概操作系統(tǒng)本身的基本安全概念操作系統(tǒng)中用戶、用戶組的劃分操作系統(tǒng)中用戶、用戶組的劃分;系系統(tǒng)中用戶訪問策略的設(shè)置;目目錄、文件的權(quán)限設(shè)置;最終體現(xiàn):主體(進(jìn)程)對客體(文件、目錄、設(shè)備、消息隊(duì)列最終體現(xiàn):主體(進(jìn)程)對客體(文件、目錄、設(shè)備、消息隊(duì)列、共共享內(nèi)存等)的訪問控制關(guān)系;??????????????如何如何做好系統(tǒng)安全借借助工具對系統(tǒng)進(jìn)行安全掃描發(fā)現(xiàn)系統(tǒng)漏洞;系系統(tǒng)安全加固;定定期系統(tǒng)安全補(bǔ)丁;必必須的最小的用戶數(shù)量、最小用戶權(quán)限;無無缺省的用戶名和用戶密碼;安安裝系統(tǒng)防病毒軟件;安安裝系統(tǒng)入侵檢測系統(tǒng),及時發(fā)現(xiàn)問題;????????????????數(shù)數(shù)據(jù)往往是系統(tǒng)中重要資產(chǎn),如:重要業(yè)務(wù)數(shù)據(jù)、個人隱私保保護(hù)數(shù)據(jù),在安全架構(gòu)設(shè)計(jì)中需要重點(diǎn)考慮用用戶認(rèn)證、鑒權(quán)相關(guān)數(shù)據(jù),如用戶名、口令、證書、授權(quán)信息等及秘鑰因子等日日志相關(guān)數(shù)據(jù):業(yè)務(wù)日志、安全審計(jì)日志??????????如何如何做好數(shù)據(jù)安全在安全架構(gòu)設(shè)計(jì)之中,需要識別關(guān)鍵數(shù)據(jù),定義關(guān)鍵數(shù)據(jù)的生在安全架構(gòu)設(shè)計(jì)之中,需要識別關(guān)鍵數(shù)據(jù),定義關(guān)鍵數(shù)據(jù)的生命命周期,并設(shè)計(jì)相應(yīng)保護(hù)措施多(租)用戶環(huán)境下應(yīng)該采用怎樣的數(shù)據(jù)隔離方多(租)用戶環(huán)境下應(yīng)該采用怎樣的數(shù)據(jù)隔離方式數(shù)據(jù)和應(yīng)用的隔數(shù)據(jù)和應(yīng)用的隔離數(shù)據(jù)與代碼的隔數(shù)據(jù)與代碼的隔離不同租戶用戶之間的據(jù)隔離(多種隔離方式)?不同租戶用戶之間的據(jù)隔離(多種隔離方式)?)秘鑰的分層機(jī)制(避免秘鑰的?)秘鑰的分層機(jī)制(避免秘鑰的?如何如何做好數(shù)據(jù)安全重要數(shù)據(jù)重要數(shù)據(jù)的加密保護(hù)及完整性保護(hù)??????加加密算法的選取(安全強(qiáng)度、性能的考慮)秘秘鑰的隨機(jī)算法、隨機(jī)種子的選取根根秘鑰的偽隨機(jī)數(shù)的發(fā)生器的算法選取,相關(guān)因子安全保存的設(shè)計(jì)秘秘鑰管理系統(tǒng)的設(shè)計(jì),如:秘鑰的更新、秘鑰的分發(fā)等保證數(shù)據(jù)保證數(shù)據(jù)完整性的Hash算法的選取等?????sshwss?、、、、IPSec…)?Web??,以及安全協(xié)議的版本考慮?????sshwss?、、、、IPSec…)?Web??,以及安全協(xié)議的版本考慮應(yīng)用層的安全的來源和因素復(fù)雜,需要從多方位設(shè)計(jì)出發(fā),重點(diǎn)包括應(yīng)用層的安全的來源和因素復(fù)雜,需要從多方位設(shè)計(jì)出發(fā),重點(diǎn)包括:如何實(shí)現(xiàn)2管理面管理面和業(yè)務(wù)面的隔離應(yīng)用應(yīng)用訪問控制粒度如何考慮頁面訪問控制、接頁面訪問控制、接口訪問控制保保證應(yīng)用之間、應(yīng)用和數(shù)據(jù)庫之間的安全連接(會話安全的會話安全的保障應(yīng)應(yīng)用層越來越多運(yùn)用到開源組件及中間件,開源組件及中間件安全性不不容忽視。如:容器、數(shù)據(jù)庫等自身的安全加固??????之間可依賴每個設(shè)置網(wǎng)絡(luò)白名單????IPS、、、??????之間可依賴每個設(shè)置網(wǎng)絡(luò)白名單????IPS、、、以以當(dāng)前主流WEB應(yīng)用為例,網(wǎng)絡(luò)安全往往包含兩大部分外外網(wǎng)接入內(nèi)網(wǎng)及應(yīng)用接入安全以基于以基于開放的云計(jì)算的SaaS服務(wù)為例內(nèi)網(wǎng)內(nèi)網(wǎng)安全可以從以下幾個方面進(jìn)行考慮VPCVPC–內(nèi)網(wǎng)網(wǎng)絡(luò)安全邊界節(jié)節(jié)點(diǎn)之間實(shí)現(xiàn)相互認(rèn)證網(wǎng)網(wǎng)絡(luò)及應(yīng)用接入安全云云平臺自身、云商店、或獨(dú)立部署在DMZ區(qū)的網(wǎng)絡(luò)安全防護(hù),如:等等????????????????平平臺安全-般包括,平臺自身安全和平臺能夠?qū)ν馓峁┑陌踩?wù)。以以開放的云平臺為例:本身應(yīng)具備的安全保護(hù)云服務(wù)提供商免受外來攻保護(hù)云服務(wù)提供商免受外來攻擊滿足滿足云計(jì)算環(huán)境中不同租戶之間數(shù)據(jù)獨(dú)立性。租戶之間的數(shù)據(jù)不能互相干擾。在未經(jīng)授授權(quán)的情況下,-個用戶不能訪問另外-個用戶的數(shù)據(jù)云云服務(wù)提供商自身平臺安全,比如訪問控制、身份認(rèn)證等基礎(chǔ)性的要求只只有滿足這三方面的需求,企業(yè)才能放心將應(yīng)用轉(zhuǎn)移到云平臺上云平臺通常能夠?qū)ν庠破脚_通常能夠?qū)ν馓峁┑陌踩?wù)AntiAnti-DDoS,FW,IPS,Anti-Virus,IDS,WAF等;?應(yīng)用的安全架構(gòu)設(shè)計(jì)中,平臺自身和平臺對外能提供的安全都應(yīng)考慮????傳統(tǒng)的機(jī)房部署或者基于私有云的物理部署方式,物理安傳統(tǒng)的機(jī)房部署或者基于私有云的物理部署方式,物理安全備安全、網(wǎng)絡(luò)對外的網(wǎng)絡(luò)接口安全等;絡(luò)對外的網(wǎng)絡(luò)接口安全等;開開放云計(jì)算的物理安全更多的由云提供商來解決,邊界模糊化化;具具體應(yīng)用是否有關(guān)鍵的單元需要特殊的物理安全考慮,如:加加密機(jī);保護(hù)等;護(hù)等;??????????安安全運(yùn)維是相對獨(dú)立的-部分,但同樣會依賴安全架構(gòu)本身的的支撐,如,系統(tǒng)各層面產(chǎn)生相關(guān)日志為安全運(yùn)維的安全分析提供數(shù)據(jù)來源;析提供數(shù)據(jù)來源;)(PBACACLRBAC,,,,)(TLSSSLIDS…,,,??(對稱加密,非對稱加密,數(shù)字簽名,秘鑰分層管?理…)XML防火墻,(應(yīng)用防火墻,WS?(安全的三層結(jié)構(gòu)模型,安全適配器模型…)??)(PBACACLRBAC,,,,)(TLSSSLIDS…,,,??(對稱加密,非對稱加密,數(shù)字簽名,秘鑰分層管?理…)XML防火墻,(應(yīng)用防火墻,WS?(安全的三層結(jié)構(gòu)模型,安全適配器模型…)??在在安全設(shè)計(jì)中應(yīng)該盡量考慮使用業(yè)界成熟的安全設(shè)計(jì)模式,例如:CredentialsCredentials模式…)?訪問控訪問控制模式CAPCAP…?IPSeIPSec密碼學(xué)模式密碼學(xué)模式))WebWeb服務(wù)安全模式全中間件模式在在實(shí)現(xiàn)的過程中,盡量考慮使用已有的安全框架進(jìn)行落地((基基于角色的訪問控制模式))??????????????????