云計算服務普及的一大障礙就是用戶對于敏感數據可能泄露的擔心,企事業單位常常對關鍵數據采取符合法律法規以及滿足自身需求的安全防護措施,但使用云計算以后,用戶對數據的控制力度減弱了,而云計算服務提供商常常又不能滿足數據安全防護的需求,使得云中的敏感數據面臨種種風險。為了保持對敏感數據的控制,一些單位采取對云計算服務的嚴格限制措施,如禁止使用云計算等,但這種方法不僅限制了員工生產效率,也并不能完全阻止惡意內部人員泄露敏感信息。
大部分云計算服務使用HTTP作為傳輸協議,由于HTTP提供良好的文件傳輸方法定義,通過對HTTP消息的檢測便可檢測到用戶和云服務之間的數據擴散,而不用去關心云服務是怎么實現的。為了在使用云計算服務的同時確保對敏感數據的控制,截獲用戶和云計算服務之間的文件傳輸并進行記錄,同時嚴格執行數據擴散的預制策略。在文件被上傳到云后控制文件的傳播,讓只有經過授權的用戶可以訪問。在實現方法上,主要采取兩個思路:首先,利用內嵌安全標簽將數據傳播策略和文件綁定,由于內嵌安全標簽和文件相關聯,可以在這個文件第一次被上傳到云時就能判定該文件可以被怎樣傳播,并且在接下來的操作中始終貫穿這一策略,這個功能不需要云計算服務商做出任何額外的改動。其次,需要對用戶的瀏覽器進行修改,以獲取用戶信息,如是誰提交了什么樣的文件等,這樣就避免了對云計算服務系統的修改,同時也不用和某一個具體的云計算服務提供商綁定起來。
在用戶上傳文件到云計算服務提供商時,該技術可以確保:操作是被記錄的;操作可以被定位到具體用戶;其他用戶只能通過制定的網絡訪問此文件。
1、相關工作
對于政府以及一些商業用戶,保持對自身數據的有效控制是非常重要的,目前常見的技術有信息版權管理(IRM,Information Rights Management)和信息流控制(IFC,Information Flow Control)以及數據防泄露(DLP,Data Loss Prevention)技術。IRM又叫數字權限管理,通常由服務器存儲未加密的文檔版本,當一個文檔從服務器下載后,得到的是一個加密后的版本,文件接收者需要訪問服務器獲得解密密鑰才能得到文件內容。IRM需要文件客戶端并需要共享信任的服務器,在云環境幾乎無法使用。IFC是一種將安全標簽附加在文件的強制訪問控制模型,可以確保在處理過程中數據得到保護,但通常需要修改操作系統或者用戶的應用程序,使其很難應用于云環境。DLP通常使用一個代理來監控分析所有用戶單位的外發流量,代理通過文件特征值識別敏感數據,阻止敏感信息外泄,但DLP不會關注文件通過代理檢測發布出去的后繼操作。文中的技術使用了標簽技術并且在單位邊界設置流量檢測,同時還將對文件的控制延續到上傳之后,使其可以應用于云計算環境。
2、系統設計
整個系統構架如圖1所示,由客戶端和服務端代理、策略庫、瀏覽器插件組成。客戶端和服務端代理截獲組織機構和云服務代理提供商之間的HTTP流量,每個代理代表其所在的網絡域檢測通過的數據,服務代理可能會執行提供商的客戶指定的策略。代理還要負責對數據的標記。每個代理維護一個策略庫,每個策略庫存儲了一系列“事件——條件——動作”(ECA)規則,ECA規則指定了數據傳播的策略,當文件傳輸時可以控制代理的行為。ECA采取比較容易理解的格式,使得代理間的通信難度降低。瀏覽器插件收集用戶信息并用來對上傳文件做標記,插件和客戶端代理通信并在代理檢測到文件上傳時明確地告知用戶。
圖1展示了一個文件在組織機構和云服務提供商之間的文件傳輸流程:
1)用戶通過Web表單提交文件,瀏覽器插件將一系列標識信息附加在外發HTTP請求上,如當前用戶信息、文件元數據信息以及文件的本地存儲位置信息等。
2)代理服務器截獲請求,檢測其內容以及取回用戶標識信息,然后和策略庫里的ECA規則匹配,當滿足規則時代理執行請求動作。
3)動作查詢上傳文件的用戶認證信息,根據用戶的反饋將標簽加入文件,再將這個請求進行記錄以供今后審計,代理將請求轉發到云計算服務提供商。
4)服務代理根據請求的標簽檢測其內容,并根據ECA規則處理客戶端傳過來的文件,如一個云計算服務提供商可能根據規則拒絕保存和處理從某個企業傳來的敏感文件,如果上傳文件被接收,請求被轉發到存儲服務。
5)取回1)-4)上傳文件的請求,服務代理截獲存儲服務的響應,使用附著在文件上的標簽決定怎樣響應請求。服務代理還有可能聯系客戶端代理來獲取策略執行,如避免發布數據給一個不在企業內網的用戶。
2.1標簽
在控制文件時使用的標簽由3部分組成:標識符、標識參數、標簽對應的代理地址。標識符是一個文本,以易讀的命名數據傳輸策略,如標識符user-private可能用來限制云計算存儲服務里的文件共享。標識參數可以對數據傳輸策略進行具體的制定和規定,如user-private的參數user=-[ip108,prp]可以用來指定文件只能在某些特定用戶之間共享。標簽對應的代理地址用來確保標簽和數據傳輸策略的唯一綁定。
2.2 ECA規則
每個ECA規則都根據相應的事件觸發,假如事件的條件滿足規則,則執行相應的動作。事件:由于云計算存儲服務中HTTP是主要傳輸協議,所以觸發ECA規則的事件也是HTTP方法的調用。一個規則可能被外部域進入的HTTP請求觸發,也可能被內部域外發的HTTP請求觸發,管理員可以指定什么樣的HTTP方法調用可以觸發什么樣的事件。比如,事件euploads:{out}{put out}{(.*\.)*dropbox.com(/.*)*},這個事件和所有外發到Dropbox服務器的PUT、POST請求匹配,它使用了正則表達式來匹配HTTP的URI。一個組織機構可能使用這樣的規則來阻止任意文件上傳到Dropbox。
條件:系統使用條件來表示觸發動作的前提,每個條件都要被HTTP請求或響應里的文件標記滿足。條件可以是服務無關和服務指定的,對于服務無關的條件,服務的HTTP API被忽略,這類條件被已有的文件標簽滿足;而服務指定的條件需要有指定的參數或部分請求來滿足。由于HTTP請求或響應有可能以不同的參數存儲不同的文件,這使得每個文件都有可能被打上不同的標記,服務指定條件指定了一系列HTTP參數,標記還必須對每個參數賦值。比如,服務指定條件Cbank:file=>{secret}{cf\.bank\.com},這個條件匹配所有在代理cd.bank.com的標記為secret的包含參數file的HTTP請求,可以用來在服務端代理阻止包含秘密信息的文件上傳。
動作:動作指定了組織機構或云計算服務提供商的數據傳播策略,即什么樣的數據分類對應哪些具體的規則。動作是一些由代理執行的具體的腳本,如表1所示。
Issue、Return和Log是3個基本操作,這3個方法分別用于創建、回復以及存儲HTTP請求。一個動作腳本可使用這些方法達到傳統防火墻規則里的allow/deny功能。getLabels、attLabel、detLabel這3個方法用于操作傳輸中文件里的標簽。決定是否將標簽附著到文件可能需要看具體傳輸的數據,這個可以通過getContent以及ask方法實現。
2.3標簽嵌入
為了將標簽嵌入文件,使用原數據的概念,在原型系統中,使用了Adobe的XMP(Extensible Metadata Platform)。XMP是一種以XML表達任意原數據的規范,可以將自己存儲在多種文件格式內。目前的SDK支持pdf、eps以及Jpeg等常見的文件格式。下面展示了一個標簽user-private的XMP表達形式:
3、系統實現
為驗證系統對云中數據流轉的控制,以Dropbox為云計算服務提供商搭建了原型系統,Dropbox是目前最為流行的在線存儲云,通常使用本地客戶端來同步文件。服務支持HTTP API并提供Web接口。由于Dropbox的本地客戶端不依賴H1TrP API,故本原型系統目前只能在Web版的Dropbox使用。
首先設置最簡單的策略Policy 1:阻止任何內部文件上傳到Dropbox,對應的ECA規則為:
這個規則只會影響Dropbox的使用,用戶可以正常進行其他文件交互。
Policy2:只允許公開文件上傳到Dropbox,對應的ECA規則為:
4、結語
文中采用新的防泄露技術來保護敏感數據,利用HTTP提供的良好定義文件傳輸方法,通過對HTTP消息的檢測便可檢測到用戶和云服務之間的數據擴散,而不用修改云服務API。為了在使用云計算服務的同時確保對敏感數據的控制,截獲用戶和云計算服務之間的文件傳輸并進行記錄,同時嚴格執行數據擴散的預制策略。在文件被上傳到云后控制文件的傳播,讓只有經過授權的用戶可以訪問,并通過在Dropbox搭建原型系統證實了技術的有效性。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:云計算敏感數據防泄露技術
本文網址:http://www.guhuozai8.cn/html/consultation/10839513669.html