《如何从系统架构的层面进行安全设计》华为 毛哲文

••••••••••••什什么是安全架构,为什么要系统性地进行安全架构设计••••availability(可用性),accountabilityandassurance(可审计性/可追溯性).-部分-部分软件系统安全,安全应该软件系统安全,安全应该在••直接来自客户•••••••••直接来自客户•••••••安安全架构设计之前开始整理安全需求安安全需求来自不同的维度(外部和内部)//法规标准规范的安全需求•//法规标准规范的安全需求•来自来自业务自身的安全需求识识别关键业务及关键资产,分析并定义关键安全需求通通过安全威胁分析获取安全需求定定义系统的安全边界按按照业务场景进行安全威胁分析通过关通过关键数据在系统中的流动进行分析攻击面攻击面的分析应用安全•数据安全•系统安全••平台安全•物理安全•安全运维•应用安全•数据安全•系统安全••平台安全•物理安全•安全运维•与整个系统架构相结合,从整个系统层面进行安全分析与设与整个系统架构相结合,从整个系统层面进行安全分析与设计全••••••••••••••操操作系统是应用、应用数据、应用通信网络所依赖的基础,必须保证操作系统本身的安全证操作系统本身的安全;可以可以依赖操作系统的自主访问控制和强制访问控制来实现应用的部分分安全需求;操作系统本身的基本安全概操作系统本身的基本安全概念操作系统中用户、用户组的划分操作系统中用户、用户组的划分;系系统中用户访问策略的设置;目目录、文件的权限设置;最终体现:主体(进程)对客体(文件、目录、设备、消息队列最终体现:主体(进程)对客体(文件、目录、设备、消息队列、共共享内存等)的访问控制关系;••••••••••••••如何如何做好系统安全借借助工具对系统进行安全扫描发现系统漏洞;系系统安全加固;定定期系统安全补丁;必必须的最小的用户数量、最小用户权限;无无缺省的用户名和用户密码;安安装系统防病毒软件;安安装系统入侵检测系统,及时发现问题;••••••••••••••••数数据往往是系统中重要资产,如:重要业务数据、个人隐私保保护数据,在安全架构设计中需要重点考虑用用户认证、鉴权相关数据,如用户名、口令、证书、授权信息等及秘钥因子等日日志相关数据:业务日志、安全审计日志••••••••••如何如何做好数据安全在安全架构设计之中,需要识别关键数据,定义关键数据的生在安全架构设计之中,需要识别关键数据,定义关键数据的生命命周期,并设计相应保护措施多(租)用户环境下应该采用怎样的数据隔离方多(租)用户环境下应该采用怎样的数据隔离方式数据和应用的隔数据和应用的隔离数据与代码的隔数据与代码的隔离不同租户用户之间的据隔离(多种隔离方式)•不同租户用户之间的据隔离(多种隔离方式)•)秘钥的分层机制(避免秘钥的•)秘钥的分层机制(避免秘钥的•如何如何做好数据安全重要数据重要数据的加密保护及完整性保护••••••加加密算法的选取(安全强度、性能的考虑)秘秘钥的随机算法、随机种子的选取根根秘钥的伪随机数的发生器的算法选取,相关因子安全保存的设计秘秘钥管理系统的设计,如:秘钥的更新、秘钥的分发等保证数据保证数据完整性的Hash算法的选取等•••••sshwss•、、、、IPSec…)•Web••,以及安全协议的版本考虑•••••sshwss•、、、、IPSec…)•Web••,以及安全协议的版本考虑应用层的安全的来源和因素复杂,需要从多方位设计出发,重点包括应用层的安全的来源和因素复杂,需要从多方位设计出发,重点包括:如何实现2管理面管理面和业务面的隔离应用应用访问控制粒度如何考虑页面访问控制、接页面访问控制、接口访问控制保保证应用之间、应用和数据库之间的安全连接(会话安全的会话安全的保障应应用层越来越多运用到开源组件及中间件,开源组件及中间件安全性不不容忽视。如:容器、数据库等自身的安全加固••••••之间可依赖每个设置网络白名单••••IPS、、、••••••之间可依赖每个设置网络白名单••••IPS、、、以以当前主流WEB应用为例,网络安全往往包含两大部分外外网接入内网及应用接入安全以基于以基于开放的云计算的SaaS服务为例内网内网安全可以从以下几个方面进行考虑VPCVPC–内网网络安全边界节节点之间实现相互认证网网络及应用接入安全云云平台自身、云商店、或独立部署在DMZ区的网络安全防护,如:等等••••••••••••••••平平台安全-般包括,平台自身安全和平台能够对外提供的安全服务。以以开放的云平台为例:本身应具备的安全保护云服务提供商免受外来攻保护云服务提供商免受外来攻击满足满足云计算环境中不同租户之间数据独立性。租户之间的数据不能互相干扰。在未经授授权的情况下,-个用户不能访问另外-个用户的数据云云服务提供商自身平台安全,比如访问控制、身份认证等基础性的要求只只有满足这三方面的需求,企业才能放心将应用转移到云平台上云平台通常能够对外云平台通常能够对外提供的安全服务AntiAnti-DDoS,FW,IPS,Anti-Virus,IDS,WAF等;•应用的安全架构设计中,平台自身和平台对外能提供的安全都应考虑••••传统的机房部署或者基于私有云的物理部署方式,物理安传统的机房部署或者基于私有云的物理部署方式,物理安全备安全、网络对外的网络接口安全等;络对外的网络接口安全等;开开放云计算的物理安全更多的由云提供商来解决,边界模糊化化;具具体应用是否有关键的单元需要特殊的物理安全考虑,如:加加密机;保护等;护等;••••••••••安安全运维是相对独立的-部分,但同样会依赖安全架构本身的的支撑,如,系统各层面产生相关日志为安全运维的安全分析提供数据来源;析提供数据来源;)(PBACACLRBAC,,,,)(TLSSSLIDS…,,,••(对称加密,非对称加密,数字签名,秘钥分层管•理…)XML防火墙,(应用防火墙,WS•(安全的三层结构模型,安全适配器模型…)••)(PBACACLRBAC,,,,)(TLSSSLIDS…,,,••(对称加密,非对称加密,数字签名,秘钥分层管•理…)XML防火墙,(应用防火墙,WS•(安全的三层结构模型,安全适配器模型…)••在在安全设计中应该尽量考虑使用业界成熟的安全设计模式,例如:CredentialsCredentials模式…)•访问控访问控制模式CAPCAP…•IPSeIPSec密码学模式密码学模式))WebWeb服务安全模式全中间件模式在在实现的过程中,尽量考虑使用已有的安全框架进行落地((基基于角色的访问控制模式))••••••••••••••••••