KMS AK在阿里云上的管理方案

目录 SOLUTION

身份认证是所有系统和应用的基础功能,也是安全首要关注的风险场景,如果身份认证出问题,其它安全机制都形同虚设。

身份认证有很多形式,用户身份认证已经大批量用上了生物识别技术,但在服务和接口调用的身份认证一般还是使用账密和AK。服务器上的账密或AK需要妥善保管,通常安全团队会建议使用KMS解决敏感数据存储的问题,而访问KMS也需要认证,在阿里云上KMS访问使用AK,那么就有一个鸡生蛋蛋生鸡的问题,访问KMS的AK怎么存储。此文以阿里云为例,描述阿里云上服务认证管理的方案和实现原理。

继续阅读 “KMS AK在阿里云上的管理方案”

安全水位评估思路总结

目录 HACK, SOLUTION

近一年不断在做安全水位评估,包括公司层面的安全水位评估和业务层面的安全水位评估,投前、投后,内部、外部,站在发现真实风险非合规和安全建设者的角度,不断完善各个场景的安全水位评估方案,整理了一些思路。

安全水位评估,我认为和安全测试、渗透测试的差别是,安全水位评估要找出全链路的风险点,找出所有短板,而其中很多风险要站在安全建设者的角度去看,要可行且有价值,不然容易陷入只破不立的尴尬境地。

首先要做的是,梳理资产,也就是评估目标,有哪些机房、哪些环境、哪些办公区,之后再针对不同环境去评估,生产环境、测试环境(开发环境、预发环境等算在测试环境里)、办公环境的评估方法是完全不同的。

继续阅读 “安全水位评估思路总结”

Microsoft Azure实现可信计算中的数据处理时加密

目录 SOLUTION

在可信计算的全链路加密中,数据处理时的加密一直非常困难,因为不管数据怎么加密存储,必须要解密成明文才能处理,而在数据处理的解密过程中,就有可能会造成数据泄露,如以下途径:

1、解密后的明文数据会在内存中,可能会被恶意App获取

2、解密的操作权限一般是root,攻击者可能会获取到root权限,从而执行解密操作,获取明文数据

 

所以在数据处理时,如果要避免明文数据泄露,这个操作不能放在OS里,需要放在更底层。Azure通过2种方式实现可信的执行环境(TEE, Trusted Execution Environment),分别是Virtual Secure Mode (VSM) 和 Intel SGX。VSM是基于软件的TEE,由Windows 10和Windows Server 2016中的Hyper-V实现,Hyper-V可防止本地管理员、云服务管理员或以这些权限执行的代码,对VMS中的数据执行增删查改;Intel SGX是一种基于硬件的TEE,对于OS它就是一个黑盒子,待处理的密文进去,处理后的密文出来,这也是首个在公有云中支持Intel SGX技术的云厂商。

如果云能解决数据私密性问题,将得到更广泛的应用。

参考:https://span.eu/en/2017/10/microsoft-azure-youll-be-even-more-secure-in-the-cloud-now/

OWASP Application Security Verification Standard 3.1中文翻译

目录 SOLUTION

闲来看看ASVS,竟然有更新,要上3.1了,仍在整理中,还没打好版本。

大致过了一遍更新的内容,整体感觉是ASVS的角度更加全面,也更加实用了,之前的版本感觉主要是在架构师和开发者的角度,怎么去规避常见风险,给我一种合规的感觉。这个版本加入的内容添加了很多攻击者视角的内容,从常见或最新攻击方式,逆向推导出verification standard,更适合作为一个实用的checklist去用了;另外也看到更多的考虑开发流程上的事了,比如CI/CD;移动端部分的内容从ASVS移出去了,应该会有个专门的项目讲移动:OWASP Mobile Application Security Verification Standard

等官方版本打出来后,再翻一波:https://www.gitbook.com/book/m4skm0b/owasp_asvs_3-1_zh-cn

OWASP Application Security Verification Standard 3.0.1中文翻译

目录 SOLUTION

心血来潮,计划翻译一下ASVS,加强理解,也便于后期翻阅。

ASVS 3.0.1总共有19大类检查项,暂只翻译检查项即表格中的内容,乱序更新。

已整理至GitBook:https://www.gitbook.com/book/m4skm0b/owasp_asvs_zh-cn/details

PS:Markdown解决一切格式强迫症问题!

继续阅读 “OWASP Application Security Verification Standard 3.0.1中文翻译”