云端运算-安全-国立高雄大学资讯工程学系.ppt

* * * * * * * * 20/40分鐘完成 US $ 35/17 依字元集與長度 US $ 34~102 上傳到WPA CRACKER 我們所擔心的密碼破解雲端服務已經誕生 400個節點的雲 2億8千4百萬字典 常見密碼長度與字元集均有風險 解決方法 密碼選用安全守則(避免用英文單字…等) 基於實體Token的登入 EC2 密碼暴力破解成本 (小寫字母密碼長度,USD) (10,2300) (11,6萬) (12,150萬) 參考資料： WPA Cracker cracking Passwords in the Cloud: Insights on Password Policies *  * * 匿名訪問和/或可重複使用的憑證或密碼，明文認證或傳輸的內容，不靈活的存取控制或不當的授權，有限的監測和記錄功能，未知服務或原料藥的依賴。  * 整治  *  * *  * ? * * * 非法的行為 IaaS,PaaS 嚴格省查/資安監控 不安全的介面與APIs IaaS,PaaS,SaaS 遵循開發安全準則/白箱測試(Source Code Scanning) 惡意的內部人員 IaaS,PaaS,SaaS ISMS認證 資料遺失或外洩 IaaS,PaaS,SaaS ISMS認證/雲資料解密金鑰由用戶單獨持有/金鑰由第三方管理/稽核/資料完整性 共享環境造成的議題(新興資安議題) IaaS 1.CPU/RAM資源實體獨立 2.虛擬化環境安全與VLAN確保網路隔離 3.資安監控 帳號或服務竊取 IaaS,PaaS,SaaS 1.ISMS認證 2.安全的登入機制(安全碼、帳號鎖定、…)/基於實體Token的登入 未知的風險(需密切注意) IaaS,PaaS,SaaS 1.各國法規不同(資料存放位置) 2.資安專業能力與持續注意與追蹤分析 6.帳號或服務被竊取 (Account or Service Hijacking)  無 雲端運算的七大安全威脅 範例 6.帳號或服務被竊取 (Account or Service Hijacking)  1.客戶和服務之間禁止共享帳戶憑據。2.在可能的情況下，利用強大的雙因素認證技術。3.採用主動監測，以發現未經授權的活動。4.了解雲端服務供應商的安全政策和SLA。 雲端運算的七大安全威脅 整治 7.未知的風險模型 (Unknown Risk Profile) 如我在前面所述，以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。以雲端運算來說，不管是 IaaS、PaaS、SaaS 都是將服務包裝成一個使用者不需了解也無法了解的系統，讓使用者專注於如何”使用”該系統。但是這樣的方便性，也讓使用者無法了解這些服務所使用的網路架構、安全架構、軟體版本等等各式各樣的重要資訊。這些資訊對於評估安全狀態是很有幫助的，欠缺這些資訊將使得這樣的評估行為無法被有效地進行。 雲端運算的七大安全威脅 7.未知的風險模型 (Unknown Risk Profile)  IRS asked Amazon EC2 to perform a CA; Amazon refused. /newsblog/forrester-cloud-computingqa. html Heartland Data Breach: Heartland’s payment processing systems were using known-vulnerable software and actually infected, but Heartland was “willing to do only the bare minimum and comply with state laws instead of taking the extra effort to notify every single customer, regardless of law, about whether their data has been stolen.” /article/158038/heartland_has_no_hea rt_for_violated_customers.html 雲端運算的七大安全威脅 範例 7.未知的風險模型 (Unknown Risk Profile)  1.公開適時的資料。2.公開部分/完全基礎設施的詳細資料（例如，補丁級別，防火牆等）。3.監視必要的資訊。 雲端運算的七大安全威脅 整治 非法的行為 IaaS,PaaS 嚴格省查/資安監控 不安全的介面與APIs IaaS,PaaS,SaaS 遵