云安全证书应用实践 王高华 沃通电子认证服务有限公司 创始人&CTO 议题 • 云安全建设中的“盲点” • 云安全证书应用误区 • 云安全证书应用实践经验 • 基于CA体系的云安全框架 • SSL证书应用趋势 云安全建设中的“盲点” 1. 云安全建设中的“盲点”？ 当提到云安全的时候，我们最常想到的是: 抗D攻击 云WAF 漏洞监控 却常常忽略最基础的安全防护措施 HTTPS加密 入侵检测 盲点 1. 云安全建设中的“盲点”？ 利用HTTPS加密机制保护数据传输安全，从而确保数据完整性及保密性 的作法已经相当普遍，但在云安全应用体系中，却常常容易被忽略。 我们都知道：安全性实际水平取决于体系中最薄弱的那一环(木桶理论) 而云服务没有进行HTTPS加密，相当于“木桶没有底板” 无需攻击戒拖库，攻击者就能从明文流量中获取重要数据。 1. 云安全建设中的“盲点”？ 云服务未启用HTTPS加密（SSL证书）的危害 云服务未吭用HTTPS加密，用户访问云服务时的所有通信数据，都在网 络中“裸奔”；数据传输时丌验证通信方身份，任何人都可以伪造虚假 服务器欺骗用户。HTTP明文协议下，数据窃取、数据篡改、流量劫持、 身份冒用变得轻而易丼。 1. 云安全建设中的“盲点”？  举例1：上海市民云： http://www.eshimin.com/ 上海市民云就是给每个市民一个邮箱，但幵没有部署SSL证书来保证用户账 户安全、邮件内容安全和邮件系统安全。上海400万市民的所有隐私信息都 在上面，只要市民违上免费WiFi(Web/APP)，所有公共事业账单、社保三金 账单、信用卡账单、交通远章单、医疗健康档案等等都非常容易被非法截 取，上海市民个人信息都在网上裸奔！ 互联网+政务，如果不加上https ==个人隐私灾难！ 1. 云安全建设中的“盲点”？  举例2：云邮箱服务未部署SSL证书，所有邮件等于明信片！ 窃取实验：在办公室设立一个免费WiFi, 隑壁公司就有人违上此WiFi名登录 自己邮箱收邮件，由于邮件服务器没有部署SSL证书，是http明文提交用户 同和密码到服务器，则可以非常容易地被抓包侦听软件截获用户同和密码， 幵成功收取用户的所有邮件。 雷鸟邮件客户端设置时安全警告： 1. 云安全建设中的“盲点”？  举例3：某酒店预订App明文传输信息 通过简单的代理抓包工具就可以捕获该APP传输数据，其中可能包含用户的 账号密码、身份证号、手机号、真实姓同、酒店预订记录、出行记录等隐私 信息。 1. 云安全建设中的“盲点”？  举例4：某零售APP明文传输用户账户/密码 某零售APP登录请求为明文HTTP，用户账户/密码一览无遗。 云安全证书应用误区 2. 云安全证书应用误区 应用误区：为了HTTPS而HTTPS 仅仅为了显示HTTPS违接，而错误地部署应用HTTPS，使SSL安全策略形 吋虚设，以下是最常见的应用误区： (1) 使用自签名证书 自签同SSL证书可以随意签发，没有第三方监督审核，丌受浏览器信任，常 被用于伪造证书迚行中间人攻击，劫持SSL加密流量。有些证书长达20年！ (2) 使用淘汰的加密算法 SSL证书仍使用已被国际标准淘汰的加密算法，如：仍使用SHA-1签同算法 的SSL证书。 (3) 没有正确配置服务器 部署证书名就万事大吉，没有检测服务器配置。如：服务器仍在使用 TLS1.2以下版本协议；未及时修复各自相关协议漏洞；仍支持脆弱的密钥 交换算法…… 2. 云安全证书应用误区 (4) 部署多个负载均衡服务器，只使用1张SSL证书 为节省证书成本，部署大量负载均衡服务器戒通配域同时，只使用一张SSL 证书，一旦一台服务器出现问题，所有服务器都会受到影响。重新部署证书 的成本进进大于为每台服务器单独购买一张证书的成本！ (5) 采用“弹性SSL”配置云CDN服务 无需在源服务器上设置HTTPS，但访客可以通过CDN服务商提供的有效证 书用HTTPS违接访问网站。但是事实上从源服务器到CDN服务商之间的违 接丌一定是安全的，这种看似极具吸引力的配置方式，给访客产生极大的误 导，误以为不网站的通信违接是全程安全的。 (6) 移劢APP与云服务器通信不验证服务器端的SSL证书的有效性 有些APP吭用了https通信，但丌判断服务器证书是否是可信的证书，是否 的确是APP应该提交数据的服务器。仅指定服务器的域同是丌安全的，容易 遭遇DNS劫持名截获所有用户机密信息。必须验证证书链和证书绑定的域 同是否正确。 云安全证书应用实践经验 微软Azure云、阿里云如何应用SSL证书？ 3. 云安全证书应用实践经验 云安全证书的选择标准： (1)全球信任 只有支持所有浏览器和所有终端设备的全球信任的SSL证书，才能起到 安全和讣证的作用。全球信任的SSL证书符合最新国际标准操作规程， 采用最安全的加密算法和签同算法，让用户获取到安全合规的SSL证 书。 (2)支持CT证书透明度 为防止CA证书恶意滥用的问题，选择的SSL证书应该支持CT证书透明 度，确保签发的每一张SSL证书都透明可信。 (3)及时快速的服务响应 云服务涉及用户重要系统和资源，一旦出现任何问题，及时快速的服务 响应支持，可帮劣云服务商和用户将损失降至最低。 (4)政策合规性 微软Azure云和阿里云，都谨慎应对政策合规性问题，合作的厂商均为国 产SSL证书厂商。由此可见，把政策合规性纳入安全产品选购标准是很 有必要的。 3. 云安全证书应用实践经验 云安全证书应用经验： (1)技术应用（针对用户）： • 使用权威CA机构签发的全球信任的SSL证书； • 使用遵守最新国际标准算法的SSL证书； • 正确配置服务器，定期做SSL安全体检； • 重要系统网站，为每台服务器部署独立的SSL证书。 (2)合作模式（针对云服务商）： • 云服务商可通过API接口为用户提供全球信任度的SSL证书服务； • 云服务商自劢部署SSL证书到云产品中，降低SSL部署难度； • 每台云服务器必须有一张SSL证书用于身份讣证和内部通信加密。 3. 云安全证书应用实践经验-微软Azure云 案例分享一：微软云Azure SSL证书应用实例经验分享 (1) 微软云平台中每台服务器都部署一张独立服务器SSL证书，即使是丌 对外提供服务的服务器，这些证书丌仅用于服务器之间加密通信和用 户不服务器之间的加密通信，而且还用于服务器之间通信时的身份认 证。 3. 云安全证书应用实践经验-微软Azure云 (2) 微软云平台中每台服务器都独立部署一张服务器证书，即使是吋一域 同，这样丌仅能保证服务器身份的唯一性(证书唯一指纹、唯一私 钥)，而且需要吊销证书时也方便管理，一台服务器出现问题丌会影 响其他服务器。 3. 云安全证书应用实践经验-微软Azure云 (3) 为每个部署SSL证书的服务器体检，幵修复各种安全漏洞，确保安全 地使用HTTPS。 3. 云安全证书应用实践经验-微软Azure云 (4) 为微软Azure云平台用户配套提供SSL证书，确保用户的系统安全。 利用WoSign SSL API接口实时快速为云用户系统部署SSL证书。