讲解人:评估中心苏艳芳老师
什么是云?
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。(GB/T 31167-2014《信息安全技术 云计算服务安全指南》)
云的五大特征
按需自助:无需人工干预,客户能根据需要获得所需计算资源,如自主确定资源占用的时间和数量;
泛在接入:无处不在的网络接入,利用计算机、移动电话、平板等各种终端通过网络随时随地使用网络服务;
资源池化:集中化的设备,对资源进行集中池化后,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配;
快速弹性:动态的业务性能弹性,客户可以根据需要快速、灵活、方便地获取和释放计算资源,能够在任何时候获得所需资源量;
可计量服务器:可按照多种计量方式,自助控制或量化资源,计量的对象可以是存储空间、计算能力、网络带宽或活跃的账户等;
【资源池->资源管控的运维平台->供用户使用的前端运营模块】
相关重要概念
部署模式:公有云、私有云、社区云、混合云等;
云计算服务模式:基础设施即服务(IaaS)、平台即服务(PaaS)、应用即服务(SaaS);
云计算技术构建的信息系统:云计算平台、云服务客户业务应用系统、使用云计算技术构建的业务应用系统(业务应用和为此业务应用独立提供底层云计算服务、硬件资源的集合,此类系统中无云服务客户【eg:某云平台仅为单个业务系统提供服务】);
安全责任主体:云服务商、云服务客户;
云系统定级
云服务商和云服务客户各单独进行定级;
云服务商:在云计算环境中,应将云服务商侧的云计算平台作为单独的定级对象定级,并根据不同服务模式将云计算平台划分为不同的定级对象【eg:提供IaaS、PaaS、SaaS服务应分开独立定级和测评】;云计算平台应不低于其承载的等级保护对象的安全保护等级;
云服务客户:在云计算环境中,应将云服务客户侧的等级保护对象作为单独的定级对象定级;
云安全责任划分
| IaaS | PaaS | SaaS | |
|---|---|---|---|
| 云服务商 | 基础架构层硬件、虚拟化以及云服务层的防护 | 基础架构层硬件、虚拟化、云服务层、虚拟机、数据库的防护 | 基础架构层硬件、虚拟化、云服务层、虚拟机、数据库、中间件、业务应用 |
| 云服务客户 | 虚拟机、数据库、中间件、业务应用和数据的安全防护等 | 软件开发平台中间件以及应用和数据的安全防护 | 业务应用相关的安全配置、用户访问、用户账户以及数据安全的防护 |
测评指标抽选原则
以IaaS模式进行举例:
原则1:用户保障云平台自身安全能力,或云平台提供给云服务客户使用但无需云服务客户进行自主配置的安全能力的基本要求条款,只适用于云平台;
原则2:云平台为云客户提供的云计算服务,为保障云计算服务能够提供其相应的安全能力,且需云服务客户自主进行配置的基本要求条款,同时适用于云平台和云服务客户业务系统;
原则3:用户保障云平台和云服务客户业务系统对各自保护对象进行安全防护的基本要求条款,适用于云平台和云服务客户业务系统;
原则4:针对云服务商选择的基本要求条款,只适用于云服务客户业务系统;
老师以三级IaaS系统测评进行了举例:
| 安全层面 | 控制点 | 要求项 | 适用性 |
| 安全物理环境 | 基础设施位置 | a)应保证云计算基础设施位于中国境内。 | 云服务商 |
| 安全通信网络 | 网络架构 | a)应保证云计算平台不承载高于其安全保护等级的业务应用系统; | 云服务商 |
| b)应实现不同云服务客户虚拟网络之间的隔离; | 云服务商 | ||
| c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力; | 云服务商 | ||
| d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略; | 云服务商 | ||
| e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。 | 云服务商 | ||
| 安全区域边界 | 访问控制 | a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则; | 云服务商、云服务客户 |
| b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。 | 云服务商、云服务客户 | ||
| 入侵防范 | a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; | 云服务商 | |
| b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等; | 云服务商、云服务客户 | ||
| c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量; | 云服务商、云服务客户 | ||
| d)应在检测到网络攻击行为、异常流量情况时进行告警。 | 云服务商、云服务客户 | ||
| 安全审计 | a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启; | 云服务商、云服务客户 | |
| b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。 | 云服务商、云服务客户 | ||
| 安全计算环境 | 身份鉴别 | a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。 | 云服务商、云服务客户 |
| 访问控制 | a)应保证当虚拟机迁移时,访问控制策略随其迁移; | 云服务商 | |
| b)应允许云服务客户设置不同虚拟机之间的访问控制策略。 | 云服务商 | ||
| 入侵防范 | a)应能检测虚拟机之间的资源隔离失效,并进行告警; | 云服务商 | |
| b)应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警; | 云服务商、云服务客户 | ||
| c)应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。 | 云服务商、云服务客户 | ||
| 镜像和快照保护 | a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务; | 云服务商 | |
| b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改; | 云服务商 | ||
| c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。 | 云服务商 | ||
| 数据完整性和保密性 | a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定; | 云服务商、云服务客户 | |
| b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限; | 云服务商 | ||
| c)应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施; | 云服务商 | ||
| d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。 | 云服务商 | ||
| 数据备份恢复 | a)云服务客户应在本地保存其业务数据的备份; | 云服务客户 | |
| b)应提供查询云服务客户数据及备份存储位置的能力; | 云服务商 | ||
| c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致; | 云服务商 | ||
| d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。 | 云服务商 | ||
| 剩余信息保护 | a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除; | 云服务商 | |
| b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。 | 云服务商 | ||
| 安全管理中心 | 集中管控 | a)应能对物理资源和虚拟资源按照策略做统一管理调度与分配; | 云服务商 |
| b)应保证云计算平台管理流量与云服务客户业务流量分离; | 云服务商 | ||
| c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计; | 云服务商、云服务客户 | ||
| d)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。 | 云服务商、云服务客户 | ||
| 安全建设管理 | 服务商选择 | a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力; | 云服务客户 |
| b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标; | 云服务客户 | ||
| c)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等; | 云服务客户 | ||
| d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除; | 云服务客户 | ||
| e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。 | 云服务客户 | ||
| 供应链管理 | a)应确保供应商的选择符合国家有关规定; | 云服务商、云服务客户 | |
| b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户; | 云服务商 | ||
| c)应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。 | 云服务商 | ||
| 安全运维管理 | 云计算环境管理 | a)云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。 | 云服务商 |
标准中“中国境内”定义:中国大陆,不包含港澳台;
安全计算环境,数据备份恢复a)项中“本地”定义:脱离云环境保存数据;
安全计算环境,身份鉴别a)“双向身份验证”定义:当云服务商或云服务客户进行远程设备管理时,应在管理终端和云计算平台边界控制器(或接入网关)之间基于双向身份验证机制建立合法、有效的连接。比如管理终端和云计算平台采用https协议,这个协议支持基于数字证书进行双向认证的,就需要服务器和客户端都持有数字证书。【这块不是很理解,是https协议自带双向身份验证机制还是可以通过额外手段来实现?】;
安全区域边界,访问控制b)“不同等级”定义:系统定级的等级;
安全区域边界,入侵防范a)“云服务客户发起的网络攻击行为”解释:云计算平台需针对云服务客户的业务应用发起的访问进行入口流量镜像分析,对东西向、南北向的攻击行为进行深入分析;
虚拟网络边界
虚拟网络中的边界可分为以下几类:
1云服务客户虚拟网络与外网之间的边界;
2不同虚拟专有官网(VPC)之间的边界;
3同一虚拟专有官网(VPC)不同虚拟子网之间的边界;
标准要求“应实现不同云服务客户虚拟网络之间的隔离”,针对边界2,由云服务商负责,云租户不适用处理;
标准要求“应在虚拟化网络边界部署访问控制机制,并设置访问控制规则”,针对边界123,云服务客户自行配置;
Q1:只要用虚拟化技术就要用云扩展?
A:建议不能直接套用全部的云扩展安全要求指标,可以针对云扩展指标中针对虚拟化的要求,提取出来,在报告里作为其他安全要求写进去。【也就说自建虚拟化技术可以不抽选云扩展,可以把与虚拟化相关的测评项作为其他安全要求即可?指标如何抽选,是否有规范或者指导?】
Q2:云上业务应用系统如何测评?
A:IaaS系统测试原则:测评对象是云服务客户所在的虚拟网络的安全,例如安全防护机制,隔离是否生效等【说了很多,和目前工作情况类似】;
Q3:一个云平台有不同服务模式,怎么出报告?
A:每个服务模式分别出报告,注意,不同服务模式下云扩展指标抽选有区别【仅提到IaaS模式抽选了】;
818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
