云計(jì)算服務(wù)普及的一大障礙就是用戶對(duì)于敏感數(shù)據(jù)可能泄露的擔(dān)心,企事業(yè)單位常常對(duì)關(guān)鍵數(shù)據(jù)采取符合法律法規(guī)以及滿足自身需求的安全防護(hù)措施,但使用云計(jì)算以后,用戶對(duì)數(shù)據(jù)的控制力度減弱了,而云計(jì)算服務(wù)提供商常常又不能滿足數(shù)據(jù)安全防護(hù)的需求,使得云中的敏感數(shù)據(jù)面臨種種風(fēng)險(xiǎn)。為了保持對(duì)敏感數(shù)據(jù)的控制,一些單位采取對(duì)云計(jì)算服務(wù)的嚴(yán)格限制措施,如禁止使用云計(jì)算等,但這種方法不僅限制了員工生產(chǎn)效率,也并不能完全阻止惡意內(nèi)部人員泄露敏感信息。
大部分云計(jì)算服務(wù)使用HTTP作為傳輸協(xié)議,由于HTTP提供良好的文件傳輸方法定義,通過對(duì)HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴(kuò)散,而不用去關(guān)心云服務(wù)是怎么實(shí)現(xiàn)的。為了在使用云計(jì)算服務(wù)的同時(shí)確保對(duì)敏感數(shù)據(jù)的控制,截獲用戶和云計(jì)算服務(wù)之間的文件傳輸并進(jìn)行記錄,同時(shí)嚴(yán)格執(zhí)行數(shù)據(jù)擴(kuò)散的預(yù)制策略。在文件被上傳到云后控制文件的傳播,讓只有經(jīng)過授權(quán)的用戶可以訪問。在實(shí)現(xiàn)方法上,主要采取兩個(gè)思路:首先,利用內(nèi)嵌安全標(biāo)簽將數(shù)據(jù)傳播策略和文件綁定,由于內(nèi)嵌安全標(biāo)簽和文件相關(guān)聯(lián),可以在這個(gè)文件第一次被上傳到云時(shí)就能判定該文件可以被怎樣傳播,并且在接下來的操作中始終貫穿這一策略,這個(gè)功能不需要云計(jì)算服務(wù)商做出任何額外的改動(dòng)。其次,需要對(duì)用戶的瀏覽器進(jìn)行修改,以獲取用戶信息,如是誰提交了什么樣的文件等,這樣就避免了對(duì)云計(jì)算服務(wù)系統(tǒng)的修改,同時(shí)也不用和某一個(gè)具體的云計(jì)算服務(wù)提供商綁定起來。
在用戶上傳文件到云計(jì)算服務(wù)提供商時(shí),該技術(shù)可以確保:操作是被記錄的;操作可以被定位到具體用戶;其他用戶只能通過制定的網(wǎng)絡(luò)訪問此文件。
1、相關(guān)工作
對(duì)于政府以及一些商業(yè)用戶,保持對(duì)自身數(shù)據(jù)的有效控制是非常重要的,目前常見的技術(shù)有信息版權(quán)管理(IRM,Information Rights Management)和信息流控制(IFC,Information Flow Control)以及數(shù)據(jù)防泄露(DLP,Data Loss Prevention)技術(shù)。IRM又叫數(shù)字權(quán)限管理,通常由服務(wù)器存儲(chǔ)未加密的文檔版本,當(dāng)一個(gè)文檔從服務(wù)器下載后,得到的是一個(gè)加密后的版本,文件接收者需要訪問服務(wù)器獲得解密密鑰才能得到文件內(nèi)容。IRM需要文件客戶端并需要共享信任的服務(wù)器,在云環(huán)境幾乎無法使用。IFC是一種將安全標(biāo)簽附加在文件的強(qiáng)制訪問控制模型,可以確保在處理過程中數(shù)據(jù)得到保護(hù),但通常需要修改操作系統(tǒng)或者用戶的應(yīng)用程序,使其很難應(yīng)用于云環(huán)境。DLP通常使用一個(gè)代理來監(jiān)控分析所有用戶單位的外發(fā)流量,代理通過文件特征值識(shí)別敏感數(shù)據(jù),阻止敏感信息外泄,但DLP不會(huì)關(guān)注文件通過代理檢測發(fā)布出去的后繼操作。文中的技術(shù)使用了標(biāo)簽技術(shù)并且在單位邊界設(shè)置流量檢測,同時(shí)還將對(duì)文件的控制延續(xù)到上傳之后,使其可以應(yīng)用于云計(jì)算環(huán)境。
2、系統(tǒng)設(shè)計(jì)
整個(gè)系統(tǒng)構(gòu)架如圖1所示,由客戶端和服務(wù)端代理、策略庫、瀏覽器插件組成。客戶端和服務(wù)端代理截獲組織機(jī)構(gòu)和云服務(wù)代理提供商之間的HTTP流量,每個(gè)代理代表其所在的網(wǎng)絡(luò)域檢測通過的數(shù)據(jù),服務(wù)代理可能會(huì)執(zhí)行提供商的客戶指定的策略。代理還要負(fù)責(zé)對(duì)數(shù)據(jù)的標(biāo)記。每個(gè)代理維護(hù)一個(gè)策略庫,每個(gè)策略庫存儲(chǔ)了一系列“事件——條件——動(dòng)作”(ECA)規(guī)則,ECA規(guī)則指定了數(shù)據(jù)傳播的策略,當(dāng)文件傳輸時(shí)可以控制代理的行為。ECA采取比較容易理解的格式,使得代理間的通信難度降低。瀏覽器插件收集用戶信息并用來對(duì)上傳文件做標(biāo)記,插件和客戶端代理通信并在代理檢測到文件上傳時(shí)明確地告知用戶。
圖1展示了一個(gè)文件在組織機(jī)構(gòu)和云服務(wù)提供商之間的文件傳輸流程:
1)用戶通過Web表單提交文件,瀏覽器插件將一系列標(biāo)識(shí)信息附加在外發(fā)HTTP請求上,如當(dāng)前用戶信息、文件元數(shù)據(jù)信息以及文件的本地存儲(chǔ)位置信息等。
2)代理服務(wù)器截獲請求,檢測其內(nèi)容以及取回用戶標(biāo)識(shí)信息,然后和策略庫里的ECA規(guī)則匹配,當(dāng)滿足規(guī)則時(shí)代理執(zhí)行請求動(dòng)作。
3)動(dòng)作查詢上傳文件的用戶認(rèn)證信息,根據(jù)用戶的反饋將標(biāo)簽加入文件,再將這個(gè)請求進(jìn)行記錄以供今后審計(jì),代理將請求轉(zhuǎn)發(fā)到云計(jì)算服務(wù)提供商。
4)服務(wù)代理根據(jù)請求的標(biāo)簽檢測其內(nèi)容,并根據(jù)ECA規(guī)則處理客戶端傳過來的文件,如一個(gè)云計(jì)算服務(wù)提供商可能根據(jù)規(guī)則拒絕保存和處理從某個(gè)企業(yè)傳來的敏感文件,如果上傳文件被接收,請求被轉(zhuǎn)發(fā)到存儲(chǔ)服務(wù)。
5)取回1)-4)上傳文件的請求,服務(wù)代理截獲存儲(chǔ)服務(wù)的響應(yīng),使用附著在文件上的標(biāo)簽決定怎樣響應(yīng)請求。服務(wù)代理還有可能聯(lián)系客戶端代理來獲取策略執(zhí)行,如避免發(fā)布數(shù)據(jù)給一個(gè)不在企業(yè)內(nèi)網(wǎng)的用戶。
2.1標(biāo)簽
在控制文件時(shí)使用的標(biāo)簽由3部分組成:標(biāo)識(shí)符、標(biāo)識(shí)參數(shù)、標(biāo)簽對(duì)應(yīng)的代理地址。標(biāo)識(shí)符是一個(gè)文本,以易讀的命名數(shù)據(jù)傳輸策略,如標(biāo)識(shí)符user-private可能用來限制云計(jì)算存儲(chǔ)服務(wù)里的文件共享。標(biāo)識(shí)參數(shù)可以對(duì)數(shù)據(jù)傳輸策略進(jìn)行具體的制定和規(guī)定,如user-private的參數(shù)user=-[ip108,prp]可以用來指定文件只能在某些特定用戶之間共享。標(biāo)簽對(duì)應(yīng)的代理地址用來確保標(biāo)簽和數(shù)據(jù)傳輸策略的唯一綁定。
2.2 ECA規(guī)則
每個(gè)ECA規(guī)則都根據(jù)相應(yīng)的事件觸發(fā),假如事件的條件滿足規(guī)則,則執(zhí)行相應(yīng)的動(dòng)作。事件:由于云計(jì)算存儲(chǔ)服務(wù)中HTTP是主要傳輸協(xié)議,所以觸發(fā)ECA規(guī)則的事件也是HTTP方法的調(diào)用。一個(gè)規(guī)則可能被外部域進(jìn)入的HTTP請求觸發(fā),也可能被內(nèi)部域外發(fā)的HTTP請求觸發(fā),管理員可以指定什么樣的HTTP方法調(diào)用可以觸發(fā)什么樣的事件。比如,事件euploads:{out}{put out}{(.*\.)*dropbox.com(/.*)*},這個(gè)事件和所有外發(fā)到Dropbox服務(wù)器的PUT、POST請求匹配,它使用了正則表達(dá)式來匹配HTTP的URI。一個(gè)組織機(jī)構(gòu)可能使用這樣的規(guī)則來阻止任意文件上傳到Dropbox。
條件:系統(tǒng)使用條件來表示觸發(fā)動(dòng)作的前提,每個(gè)條件都要被HTTP請求或響應(yīng)里的文件標(biāo)記滿足。條件可以是服務(wù)無關(guān)和服務(wù)指定的,對(duì)于服務(wù)無關(guān)的條件,服務(wù)的HTTP API被忽略,這類條件被已有的文件標(biāo)簽滿足;而服務(wù)指定的條件需要有指定的參數(shù)或部分請求來滿足。由于HTTP請求或響應(yīng)有可能以不同的參數(shù)存儲(chǔ)不同的文件,這使得每個(gè)文件都有可能被打上不同的標(biāo)記,服務(wù)指定條件指定了一系列HTTP參數(shù),標(biāo)記還必須對(duì)每個(gè)參數(shù)賦值。比如,服務(wù)指定條件Cbank:file=>{secret}{cf\.bank\.com},這個(gè)條件匹配所有在代理cd.bank.com的標(biāo)記為secret的包含參數(shù)file的HTTP請求,可以用來在服務(wù)端代理阻止包含秘密信息的文件上傳。
動(dòng)作:動(dòng)作指定了組織機(jī)構(gòu)或云計(jì)算服務(wù)提供商的數(shù)據(jù)傳播策略,即什么樣的數(shù)據(jù)分類對(duì)應(yīng)哪些具體的規(guī)則。動(dòng)作是一些由代理執(zhí)行的具體的腳本,如表1所示。
Issue、Return和Log是3個(gè)基本操作,這3個(gè)方法分別用于創(chuàng)建、回復(fù)以及存儲(chǔ)HTTP請求。一個(gè)動(dòng)作腳本可使用這些方法達(dá)到傳統(tǒng)防火墻規(guī)則里的allow/deny功能。getLabels、attLabel、detLabel這3個(gè)方法用于操作傳輸中文件里的標(biāo)簽。決定是否將標(biāo)簽附著到文件可能需要看具體傳輸?shù)臄?shù)據(jù),這個(gè)可以通過getContent以及ask方法實(shí)現(xiàn)。
2.3標(biāo)簽嵌入
為了將標(biāo)簽嵌入文件,使用原數(shù)據(jù)的概念,在原型系統(tǒng)中,使用了Adobe的XMP(Extensible Metadata Platform)。XMP是一種以XML表達(dá)任意原數(shù)據(jù)的規(guī)范,可以將自己存儲(chǔ)在多種文件格式內(nèi)。目前的SDK支持pdf、eps以及Jpeg等常見的文件格式。下面展示了一個(gè)標(biāo)簽user-private的XMP表達(dá)形式:
3、系統(tǒng)實(shí)現(xiàn)
為驗(yàn)證系統(tǒng)對(duì)云中數(shù)據(jù)流轉(zhuǎn)的控制,以Dropbox為云計(jì)算服務(wù)提供商搭建了原型系統(tǒng),Dropbox是目前最為流行的在線存儲(chǔ)云,通常使用本地客戶端來同步文件。服務(wù)支持HTTP API并提供Web接口。由于Dropbox的本地客戶端不依賴H1TrP API,故本原型系統(tǒng)目前只能在Web版的Dropbox使用。
首先設(shè)置最簡單的策略Policy 1:阻止任何內(nèi)部文件上傳到Dropbox,對(duì)應(yīng)的ECA規(guī)則為:
這個(gè)規(guī)則只會(huì)影響Dropbox的使用,用戶可以正常進(jìn)行其他文件交互。
Policy2:只允許公開文件上傳到Dropbox,對(duì)應(yīng)的ECA規(guī)則為:
4、結(jié)語
文中采用新的防泄露技術(shù)來保護(hù)敏感數(shù)據(jù),利用HTTP提供的良好定義文件傳輸方法,通過對(duì)HTTP消息的檢測便可檢測到用戶和云服務(wù)之間的數(shù)據(jù)擴(kuò)散,而不用修改云服務(wù)API。為了在使用云計(jì)算服務(wù)的同時(shí)確保對(duì)敏感數(shù)據(jù)的控制,截獲用戶和云計(jì)算服務(wù)之間的文件傳輸并進(jìn)行記錄,同時(shí)嚴(yán)格執(zhí)行數(shù)據(jù)擴(kuò)散的預(yù)制策略。在文件被上傳到云后控制文件的傳播,讓只有經(jīng)過授權(quán)的用戶可以訪問,并通過在Dropbox搭建原型系統(tǒng)證實(shí)了技術(shù)的有效性。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:云計(jì)算敏感數(shù)據(jù)防泄露技術(shù)
本文網(wǎng)址:http://www.guhuozai8.cn/html/consultation/10839513669.html