域名預(yù)訂/競價，好“米”不錯過

導(dǎo)語：2016 ISC中國互聯(lián)網(wǎng)安全大會上，沃通CA(www.wosign.com)首次發(fā)布“基于CA體系的云安全框架”并分享云安全證書應(yīng)用實踐經(jīng)驗。

在剛剛結(jié)束的2016 ISC中國互聯(lián)網(wǎng)安全大會“云計算與大數(shù)據(jù)安全論壇”上，沃通CA創(chuàng)始人王高華先生發(fā)表了《云安全證書應(yīng)用實踐》主題演講，首次向業(yè)界發(fā)布“基于CA體系的云安全框架”以及沃通CA與阿里云、微軟Auzre云之間的合作模式和應(yīng)用實踐經(jīng)驗，為業(yè)界云服務(wù)安全體系與CA體系的融合提供示范和參考。

云計算安全的重要性

云計算是一種新型的計算模型，是一種新興的共享基礎(chǔ)框架的方法，它面對的是超大規(guī)模的分布式環(huán)境，核心是提供數(shù)據(jù)存儲和網(wǎng)絡(luò)服務(wù)。云計算通過IaaS、PaaS和SaaS三種服務(wù)模型，為用戶提供更加強大的計算能力、擴展能力和反應(yīng)速度，同時大大降低部署成本和運營成本，云計算模式正在引發(fā)各行業(yè)的深刻變革。在云服務(wù)模式下，用戶最擔心的問題就是托管于服務(wù)商處的數(shù)據(jù)是否會被泄露、篡改或丟失，未來人們在本地硬盤上幾乎不保存數(shù)據(jù)，所有的數(shù)據(jù)都在“云”里，而一旦發(fā)生數(shù)據(jù)泄露，將對用戶造成致命的打擊。因此，云服務(wù)的安全直接關(guān)系到云計算的未來。

基于CA體系的云安全框架

基于PKI/CA體系的應(yīng)用產(chǎn)品——數(shù)字證書，是構(gòu)建云計算安全與可信的重要手段。PKI技術(shù)是國際公認的實現(xiàn)互聯(lián)網(wǎng)安全與可信的核心技術(shù)，通過數(shù)字證書(公鑰和私鑰、加密算法和摘要算法)、證書頒發(fā)機構(gòu)(CA機構(gòu))、證書鏈(受信任的根證書頒發(fā)機構(gòu)-中級根證書頒發(fā)機構(gòu)-用戶證書)、證書管理(申請、頒發(fā)、吊銷、重新頒發(fā)、續(xù)期)等幾大元素，實現(xiàn)各種網(wǎng)絡(luò)應(yīng)用中的安全加密和可信認證問題。沃通CA發(fā)布基于CA體系的云安全框架，針對云服務(wù)端、客戶端及中間傳輸?shù)奈募⒋a程序等互聯(lián)網(wǎng)三大元素，實現(xiàn)數(shù)據(jù)的機密性和完整性、通信各方的身份真實性以及行為不可抵賴性。

·SSL證書

當提到云計算安全的時候，我們常常想到的是抗D攻擊、云WAF、漏洞掃描、入侵檢測等安全服務(wù)，而HTTPS加密卻常常被忽略。利用HTTPS加密機制保護數(shù)據(jù)傳輸安全，從而確保數(shù)據(jù)完整性及保密性已經(jīng)相當普遍的安全措施，但在云安全應(yīng)用體系中，并沒有得到廣泛應(yīng)用。

云服務(wù)未啟用HTTPS加密，用戶訪問云服務(wù)時的所有通信數(shù)據(jù)，都在網(wǎng)絡(luò)中明文“裸奔”，無需攻擊或拖庫，就能輕松攔截到用戶敏感數(shù)據(jù);HTTP協(xié)議無法驗證通信方身份，任何人都可以偽造虛假服務(wù)器欺騙用戶，實現(xiàn)“釣魚攻擊”，用戶根本無法察覺。HTTP明文協(xié)議的缺陷，是導(dǎo)致數(shù)據(jù)竊取、數(shù)據(jù)篡改、流量劫持、身份冒用、釣魚攻擊等安全問題的重要原因。

為云服務(wù)部署SSL證書，能夠確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài)，同時驗證服務(wù)器身份的真實性，防止云服務(wù)器被假冒，有效解決常見的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚攻擊等安全事件，確保用戶和云服務(wù)端之間的信息交互始終安全。

·代碼簽名證書

不管是SaaS、PaaS還是IaaS都存在應(yīng)用程序安全和信任問題。在PaaS服務(wù)中，服務(wù)商需要審查用戶上傳的應(yīng)用程序是否為惡意程序;在IaaS服務(wù)中，服務(wù)商云平臺上也容易被放置惡意攻擊程序;SaaS服務(wù)商所提供的在線軟件類應(yīng)用程序也需要對代碼的安全和可信進行驗證。

使用代碼簽名證書，可以認證云內(nèi)應(yīng)用程序開發(fā)者真實身份，確保程序來源可信;對程序進行數(shù)字簽名，確保程序在云端沒有被非法篡改或植入病毒木馬，從而保護云平臺應(yīng)用程序安全。

·客戶端證書

云服務(wù)模式下，用戶身份認證與訪問控制面臨新挑戰(zhàn)：用戶數(shù)可能少則10萬，多則100萬、1000萬，甚至上億。用戶帳號加弱口令密碼的身份認證方式容易被泄露、被冒用或被“撞庫攻擊”。

云計算系統(tǒng)應(yīng)建立基于數(shù)字證書的統(tǒng)一、集中的認證和授權(quán)系統(tǒng)，以滿足云計算多租戶環(huán)境下復(fù)雜的用戶權(quán)限策略管理和海量訪問認證要求，提高云計算系統(tǒng)身份管理和認證的安全性。云平臺用戶可以通過沃通WoSign的API接口獲取數(shù)字證書，為用戶實現(xiàn)強身份認證登錄、權(quán)限管理、行為追溯及文件加密。

安全訪問：采用客戶端認證，對不同類型和等級的系統(tǒng)、服務(wù)、端口采用強身份認證登錄。

權(quán)限劃分：根據(jù)用戶、用戶組、用戶級別的定義來對云計算系統(tǒng)資源的訪問進行集中授權(quán)。

行為追溯：基于客戶端證書的用戶訪問日志記錄，追溯訪問行為。

文件加密：基于客戶端PDF證書，簽名加密放在云中的所有文件，不是簡單的自編算法加密，必須用用戶的客戶端證書加密各種文件保存在云端，用戶下載到自己的電腦用證書私鑰解密。

沃通CA云安全證書應(yīng)用實踐

沃通CA(www.wosign.com)發(fā)布的“基于CA體系的云安全框架”，不僅對云安全體系中的證書應(yīng)用提供了清晰的思路，而且分享了成熟的應(yīng)用實踐。沃通CA已經(jīng)和阿里云、微軟Azure云等國內(nèi)外知名的云服務(wù)廠商進行合作，將CA體系融入到云安全體系中。

以阿里云為例，沃通CA(www.wosign.com)為阿里云定制開發(fā)SSL證書API接口，將證書申請服務(wù)集成到阿里云平臺，用戶可以直接在阿里云平臺上，在線申請沃通SSL證書，進行提交驗證材料、管理證書狀態(tài)、自動部署證書、在線吊銷證書等操作。阿里云盾證書服務(wù)和阿里云產(chǎn)品打通，可一鍵部署SSL證書到阿里云產(chǎn)品中，縮短SSL證書申請時間，降低HTTPS實施難度，幫助云平臺用戶快速將所持云服務(wù)從HTTP自動轉(zhuǎn)換成HTTPS。目前阿里云盾高防產(chǎn)品的SSL證書推送服務(wù)已率先打通，CDN/SLB/云郵箱等云產(chǎn)品也將陸續(xù)開啟。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！