域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

導(dǎo)語(yǔ)：2016 ISC中國(guó)互聯(lián)網(wǎng)安全大會(huì)上，沃通CA(www.wosign.com)首次發(fā)布“基于CA體系的云安全框架”并分享云安全證書(shū)應(yīng)用實(shí)踐經(jīng)驗(yàn)。

在剛剛結(jié)束的2016 ISC中國(guó)互聯(lián)網(wǎng)安全大會(huì)“云計(jì)算與大數(shù)據(jù)安全論壇”上，沃通CA創(chuàng)始人王高華先生發(fā)表了《云安全證書(shū)應(yīng)用實(shí)踐》主題演講，首次向業(yè)界發(fā)布“基于CA體系的云安全框架”以及沃通CA與阿里云、微軟Auzre云之間的合作模式和應(yīng)用實(shí)踐經(jīng)驗(yàn)，為業(yè)界云服務(wù)安全體系與CA體系的融合提供示范和參考。

云計(jì)算安全的重要性

云計(jì)算是一種新型的計(jì)算模型，是一種新興的共享基礎(chǔ)框架的方法，它面對(duì)的是超大規(guī)模的分布式環(huán)境，核心是提供數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)服務(wù)。云計(jì)算通過(guò)IaaS、PaaS和SaaS三種服務(wù)模型，為用戶提供更加強(qiáng)大的計(jì)算能力、擴(kuò)展能力和反應(yīng)速度，同時(shí)大大降低部署成本和運(yùn)營(yíng)成本，云計(jì)算模式正在引發(fā)各行業(yè)的深刻變革。在云服務(wù)模式下，用戶最擔(dān)心的問(wèn)題就是托管于服務(wù)商處的數(shù)據(jù)是否會(huì)被泄露、篡改或丟失，未來(lái)人們?cè)诒镜赜脖P上幾乎不保存數(shù)據(jù)，所有的數(shù)據(jù)都在“云”里，而一旦發(fā)生數(shù)據(jù)泄露，將對(duì)用戶造成致命的打擊。因此，云服務(wù)的安全直接關(guān)系到云計(jì)算的未來(lái)。

基于CA體系的云安全框架

基于PKI/CA體系的應(yīng)用產(chǎn)品——數(shù)字證書(shū)，是構(gòu)建云計(jì)算安全與可信的重要手段。PKI技術(shù)是國(guó)際公認(rèn)的實(shí)現(xiàn)互聯(lián)網(wǎng)安全與可信的核心技術(shù)，通過(guò)數(shù)字證書(shū)(公鑰和私鑰、加密算法和摘要算法)、證書(shū)頒發(fā)機(jī)構(gòu)(CA機(jī)構(gòu))、證書(shū)鏈(受信任的根證書(shū)頒發(fā)機(jī)構(gòu)-中級(jí)根證書(shū)頒發(fā)機(jī)構(gòu)-用戶證書(shū))、證書(shū)管理(申請(qǐng)、頒發(fā)、吊銷、重新頒發(fā)、續(xù)期)等幾大元素，實(shí)現(xiàn)各種網(wǎng)絡(luò)應(yīng)用中的安全加密和可信認(rèn)證問(wèn)題。沃通CA發(fā)布基于CA體系的云安全框架，針對(duì)云服務(wù)端、客戶端及中間傳輸?shù)奈募?、代碼程序等互聯(lián)網(wǎng)三大元素，實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性和完整性、通信各方的身份真實(shí)性以及行為不可抵賴性。

·SSL證書(shū)

當(dāng)提到云計(jì)算安全的時(shí)候，我們常常想到的是抗D攻擊、云WAF、漏洞掃描、入侵檢測(cè)等安全服務(wù)，而HTTPS加密卻常常被忽略。利用HTTPS加密機(jī)制保護(hù)數(shù)據(jù)傳輸安全，從而確保數(shù)據(jù)完整性及保密性已經(jīng)相當(dāng)普遍的安全措施，但在云安全應(yīng)用體系中，并沒(méi)有得到廣泛應(yīng)用。

云服務(wù)未啟用HTTPS加密，用戶訪問(wèn)云服務(wù)時(shí)的所有通信數(shù)據(jù)，都在網(wǎng)絡(luò)中明文“裸奔”，無(wú)需攻擊或拖庫(kù)，就能輕松攔截到用戶敏感數(shù)據(jù);HTTP協(xié)議無(wú)法驗(yàn)證通信方身份，任何人都可以偽造虛假服務(wù)器欺騙用戶，實(shí)現(xiàn)“釣魚(yú)攻擊”，用戶根本無(wú)法察覺(jué)。HTTP明文協(xié)議的缺陷，是導(dǎo)致數(shù)據(jù)竊取、數(shù)據(jù)篡改、流量劫持、身份冒用、釣魚(yú)攻擊等安全問(wèn)題的重要原因。

為云服務(wù)部署SSL證書(shū)，能夠確保用戶數(shù)據(jù)在傳輸過(guò)程中處于加密狀態(tài)，同時(shí)驗(yàn)證服務(wù)器身份的真實(shí)性，防止云服務(wù)器被假冒，有效解決常見(jiàn)的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚(yú)攻擊等安全事件，確保用戶和云服務(wù)端之間的信息交互始終安全。

·代碼簽名證書(shū)

不管是SaaS、PaaS還是IaaS都存在應(yīng)用程序安全和信任問(wèn)題。在PaaS服務(wù)中，服務(wù)商需要審查用戶上傳的應(yīng)用程序是否為惡意程序;在IaaS服務(wù)中，服務(wù)商云平臺(tái)上也容易被放置惡意攻擊程序;SaaS服務(wù)商所提供的在線軟件類應(yīng)用程序也需要對(duì)代碼的安全和可信進(jìn)行驗(yàn)證。

使用代碼簽名證書(shū)，可以認(rèn)證云內(nèi)應(yīng)用程序開(kāi)發(fā)者真實(shí)身份，確保程序來(lái)源可信;對(duì)程序進(jìn)行數(shù)字簽名，確保程序在云端沒(méi)有被非法篡改或植入病毒木馬，從而保護(hù)云平臺(tái)應(yīng)用程序安全。

·客戶端證書(shū)

云服務(wù)模式下，用戶身份認(rèn)證與訪問(wèn)控制面臨新挑戰(zhàn)：用戶數(shù)可能少則10萬(wàn)，多則100萬(wàn)、1000萬(wàn)，甚至上億。用戶帳號(hào)加弱口令密碼的身份認(rèn)證方式容易被泄露、被冒用或被“撞庫(kù)攻擊”。

云計(jì)算系統(tǒng)應(yīng)建立基于數(shù)字證書(shū)的統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng)，以滿足云計(jì)算多租戶環(huán)境下復(fù)雜的用戶權(quán)限策略管理和海量訪問(wèn)認(rèn)證要求，提高云計(jì)算系統(tǒng)身份管理和認(rèn)證的安全性。云平臺(tái)用戶可以通過(guò)沃通WoSign的API接口獲取數(shù)字證書(shū)，為用戶實(shí)現(xiàn)強(qiáng)身份認(rèn)證登錄、權(quán)限管理、行為追溯及文件加密。

安全訪問(wèn)：采用客戶端認(rèn)證，對(duì)不同類型和等級(jí)的系統(tǒng)、服務(wù)、端口采用強(qiáng)身份認(rèn)證登錄。

權(quán)限劃分：根據(jù)用戶、用戶組、用戶級(jí)別的定義來(lái)對(duì)云計(jì)算系統(tǒng)資源的訪問(wèn)進(jìn)行集中授權(quán)。

行為追溯：基于客戶端證書(shū)的用戶訪問(wèn)日志記錄，追溯訪問(wèn)行為。

文件加密：基于客戶端PDF證書(shū)，簽名加密放在云中的所有文件，不是簡(jiǎn)單的自編算法加密，必須用用戶的客戶端證書(shū)加密各種文件保存在云端，用戶下載到自己的電腦用證書(shū)私鑰解密。

沃通CA云安全證書(shū)應(yīng)用實(shí)踐

沃通CA(www.wosign.com)發(fā)布的“基于CA體系的云安全框架”，不僅對(duì)云安全體系中的證書(shū)應(yīng)用提供了清晰的思路，而且分享了成熟的應(yīng)用實(shí)踐。沃通CA已經(jīng)和阿里云、微軟Azure云等國(guó)內(nèi)外知名的云服務(wù)廠商進(jìn)行合作，將CA體系融入到云安全體系中。

以阿里云為例，沃通CA(www.wosign.com)為阿里云定制開(kāi)發(fā)SSL證書(shū)API接口，將證書(shū)申請(qǐng)服務(wù)集成到阿里云平臺(tái)，用戶可以直接在阿里云平臺(tái)上，在線申請(qǐng)沃通SSL證書(shū)，進(jìn)行提交驗(yàn)證材料、管理證書(shū)狀態(tài)、自動(dòng)部署證書(shū)、在線吊銷證書(shū)等操作。阿里云盾證書(shū)服務(wù)和阿里云產(chǎn)品打通，可一鍵部署SSL證書(shū)到阿里云產(chǎn)品中，縮短SSL證書(shū)申請(qǐng)時(shí)間，降低HTTPS實(shí)施難度，幫助云平臺(tái)用戶快速將所持云服務(wù)從HTTP自動(dòng)轉(zhuǎn)換成HTTPS。目前阿里云盾高防產(chǎn)品的SSL證書(shū)推送服務(wù)已率先打通，CDN/SLB/云郵箱等云產(chǎn)品也將陸續(xù)開(kāi)啟。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！