云计算服务普及的一大障碍就是用户对于敏感数据可能泄露的担心,企事业单位常常对关键数据采取符合法律法规以及满足自身需求的安全防护措施,但使用云计算以后,用户对数据的控制力度减弱了,而云计算服务提供商常常又不能满足数据安全防护的需求,使得云中的敏感数据面临种种风险。为了保持对敏感数据的控制,一些单位采取对云计算服务的严格限制措施,如禁止使用云计算等,但这种方法不仅限制了员工生产效率,也并不能完全阻止恶意内部人员泄露敏感信息。
大部分云计算服务使用HTTP作为传输协议,由于HTTP提供良好的文件传输方法定义,通过对HTTP消息的检测便可检测到用户和云服务之间的数据扩散,而不用去关心云服务是怎么实现的。为了在使用云计算服务的同时确保对敏感数据的控制,截获用户和云计算服务之间的文件传输并进行记录,同时严格执行数据扩散的预制策略。在文件被上传到云后控制文件的传播,让只有经过授权的用户可以访问。在实现方法上,主要采取两个思路:首先,利用内嵌安全标签将数据传播策略和文件绑定,由于内嵌安全标签和文件相关联,可以在这个文件第一次被上传到云时就能判定该文件可以被怎样传播,并且在接下来的操作中始终贯穿这一策略,这个功能不需要云计算服务商做出任何额外的改动。其次,需要对用户的浏览器进行修改,以获取用户信息,如是谁提交了什么样的文件等,这样就避免了对云计算服务系统的修改,同时也不用和某一个具体的云计算服务提供商绑定起来。
在用户上传文件到云计算服务提供商时,该技术可以确保:操作是被记录的;操作可以被定位到具体用户;其他用户只能通过制定的网络访问此文件。
1、相关工作
对于政府以及一些商业用户,保持对自身数据的有效控制是非常重要的,目前常见的技术有信息版权管理(IRM,Information Rights Management)和信息流控制(IFC,Information Flow Control)以及数据防泄露(DLP,Data Loss Prevention)技术。IRM又叫数字权限管理,通常由服务器存储未加密的文档版本,当一个文档从服务器下载后,得到的是一个加密后的版本,文件接收者需要访问服务器获得解密密钥才能得到文件内容。IRM需要文件客户端并需要共享信任的服务器,在云环境几乎无法使用。IFC是一种将安全标签附加在文件的强制访问控制模型,可以确保在处理过程中数据得到保护,但通常需要修改操作系统或者用户的应用程序,使其很难应用于云环境。DLP通常使用一个代理来监控分析所有用户单位的外发流量,代理通过文件特征值识别敏感数据,阻止敏感信息外泄,但DLP不会关注文件通过代理检测发布出去的后继操作。文中的技术使用了标签技术并且在单位边界设置流量检测,同时还将对文件的控制延续到上传之后,使其可以应用于云计算环境。
2、系统设计
整个系统构架如图1所示,由客户端和服务端代理、策略库、浏览器插件组成。客户端和服务端代理截获组织机构和云服务代理提供商之间的HTTP流量,每个代理代表其所在的网络域检测通过的数据,服务代理可能会执行提供商的客户指定的策略。代理还要负责对数据的标记。每个代理维护一个策略库,每个策略库存储了一系列“事件——条件——动作”(ECA)规则,ECA规则指定了数据传播的策略,当文件传输时可以控制代理的行为。ECA采取比较容易理解的格式,使得代理间的通信难度降低。浏览器插件收集用户信息并用来对上传文件做标记,插件和客户端代理通信并在代理检测到文件上传时明确地告知用户。
图1展示了一个文件在组织机构和云服务提供商之间的文件传输流程:
1)用户通过Web表单提交文件,浏览器插件将一系列标识信息附加在外发HTTP请求上,如当前用户信息、文件元数据信息以及文件的本地存储位置信息等。
2)代理服务器截获请求,检测其内容以及取回用户标识信息,然后和策略库里的ECA规则匹配,当满足规则时代理执行请求动作。
3)动作查询上传文件的用户认证信息,根据用户的反馈将标签加入文件,再将这个请求进行记录以供今后审计,代理将请求转发到云计算服务提供商。
4)服务代理根据请求的标签检测其内容,并根据ECA规则处理客户端传过来的文件,如一个云计算服务提供商可能根据规则拒绝保存和处理从某个企业传来的敏感文件,如果上传文件被接收,请求被转发到存储服务。
5)取回1)-4)上传文件的请求,服务代理截获存储服务的响应,使用附着在文件上的标签决定怎样响应请求。服务代理还有可能联系客户端代理来获取策略执行,如避免发布数据给一个不在企业内网的用户。
2.1标签
在控制文件时使用的标签由3部分组成:标识符、标识参数、标签对应的代理地址。标识符是一个文本,以易读的命名数据传输策略,如标识符user-private可能用来限制云计算存储服务里的文件共享。标识参数可以对数据传输策略进行具体的制定和规定,如user-private的参数user=-[ip108,prp]可以用来指定文件只能在某些特定用户之间共享。标签对应的代理地址用来确保标签和数据传输策略的唯一绑定。
2.2 ECA规则
每个ECA规则都根据相应的事件触发,假如事件的条件满足规则,则执行相应的动作。事件:由于云计算存储服务中HTTP是主要传输协议,所以触发ECA规则的事件也是HTTP方法的调用。一个规则可能被外部域进入的HTTP请求触发,也可能被内部域外发的HTTP请求触发,管理员可以指定什么样的HTTP方法调用可以触发什么样的事件。比如,事件euploads:{out}{put out}{(.*\.)*dropbox.com(/.*)*},这个事件和所有外发到Dropbox服务器的PUT、POST请求匹配,它使用了正则表达式来匹配HTTP的URI。一个组织机构可能使用这样的规则来阻止任意文件上传到Dropbox。
条件:系统使用条件来表示触发动作的前提,每个条件都要被HTTP请求或响应里的文件标记满足。条件可以是服务无关和服务指定的,对于服务无关的条件,服务的HTTP API被忽略,这类条件被已有的文件标签满足;而服务指定的条件需要有指定的参数或部分请求来满足。由于HTTP请求或响应有可能以不同的参数存储不同的文件,这使得每个文件都有可能被打上不同的标记,服务指定条件指定了一系列HTTP参数,标记还必须对每个参数赋值。比如,服务指定条件Cbank:file=>{secret}{cf\.bank\.com},这个条件匹配所有在代理cd.bank.com的标记为secret的包含参数file的HTTP请求,可以用来在服务端代理阻止包含秘密信息的文件上传。
动作:动作指定了组织机构或云计算服务提供商的数据传播策略,即什么样的数据分类对应哪些具体的规则。动作是一些由代理执行的具体的脚本,如表1所示。
Issue、Return和Log是3个基本操作,这3个方法分别用于创建、回复以及存储HTTP请求。一个动作脚本可使用这些方法达到传统防火墙规则里的allow/deny功能。getLabels、attLabel、detLabel这3个方法用于操作传输中文件里的标签。决定是否将标签附着到文件可能需要看具体传输的数据,这个可以通过getContent以及ask方法实现。
2.3标签嵌入
为了将标签嵌入文件,使用原数据的概念,在原型系统中,使用了Adobe的XMP(Extensible Metadata Platform)。XMP是一种以XML表达任意原数据的规范,可以将自己存储在多种文件格式内。目前的SDK支持pdf、eps以及Jpeg等常见的文件格式。下面展示了一个标签user-private的XMP表达形式:
3、系统实现
为验证系统对云中数据流转的控制,以Dropbox为云计算服务提供商搭建了原型系统,Dropbox是目前最为流行的在线存储云,通常使用本地客户端来同步文件。服务支持HTTP API并提供Web接口。由于Dropbox的本地客户端不依赖H1TrP API,故本原型系统目前只能在Web版的Dropbox使用。
首先设置最简单的策略Policy 1:阻止任何内部文件上传到Dropbox,对应的ECA规则为:
这个规则只会影响Dropbox的使用,用户可以正常进行其他文件交互。
Policy2:只允许公开文件上传到Dropbox,对应的ECA规则为:
4、结语
文中采用新的防泄露技术来保护敏感数据,利用HTTP提供的良好定义文件传输方法,通过对HTTP消息的检测便可检测到用户和云服务之间的数据扩散,而不用修改云服务API。为了在使用云计算服务的同时确保对敏感数据的控制,截获用户和云计算服务之间的文件传输并进行记录,同时严格执行数据扩散的预制策略。在文件被上传到云后控制文件的传播,让只有经过授权的用户可以访问,并通过在Dropbox搭建原型系统证实了技术的有效性。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:云计算敏感数据防泄露技术
本文网址:http://www.toberp.com/html/consultation/10839513669.html
相关文章
