在传统信息化环境下,谈起安全合规问题,大家一般会想到ISO 27001、等级保护、分级保护,以及针对具体行业环境下的第三方支付安全合规、支付卡行业 (PCI) 数据安全标准 (DSS)、非金融机构支付服务业务系统检测规范、网络借贷信息中介机构业务活动管理暂行办法、移动金融检测认证体系等等。
但随着信息化环境由传统向云计算的演变,云平台的部署模式、服务模式、基础资源的物理位置和资源的管理等方面,都呈现出不同的形态和消费模式,从而使云计算具有不同的安全风险特征、不同的安全控制职责与安全控制范围。
因此,迫切需要一个新的安全模型来指导在云环境下实现风险识别、风险分析以及风险处置的过程,实现云服务架构到安全架构之间的映射,实现云计算环境下的安全合规。下面,信服君就来介绍目前国际和国内最流行的四类云计算安全合规模型。
1、CSA 云计算关键领域安全指南
云安全联盟(Cloud Security Alliance,CSA)是业内最受认可的云安全研究论坛。2009年12月17日,该联盟发布了一份云计算服务的安全实践手册——《云计算安全指南》。该指南根据资源或服务的管理权、所有权和资源位置的不同,提出了不同的云部署模型下,实现方式达成一致的可能方法。
该指南从12个方面突出了云计算安全的关注领域,包括治理和运行两部分。其中治理方面包括:治理和企业风险管理、法律和电子证据发现、合规和审计、信息生命周期管理、可移植性和互操作性;运行方面包括:传统安全以及业务连续性和灾难恢复、数据中心运行、应急响应以及通告和补救、应用安全、加密和密钥管理、身份和访问控制、虚拟化。
其中治理方面的内容主要解决云计算环境的战略和策略,运行方面的内容则更关注具体的安全架构的实现以及解决方案。
CSA 云计算关键领域安全指南适用于指导组织开展云计算安全治理和管理工作。
2、云立方体模型
云立方体模型从安全系统的角度,在数据的物理位置、云相关技术和服务的所有关系状态、应用资源和服务时的边界状态、云服务的运行和管理者4个影响安全系统的维度上分成了16种可能的云计算形态,如下图所示:
纬度1:内部/外部,这个维度主要指的是数据物理位置相关的安全特性;
维度2:隐私/开放,这个维度表达的是技术路线;
维度3:便捷化/去便捷化架构,这个维度表达的是体系理念,即边界的变化;
维度4:自供/外包,这个维度表达的是运维管理;
云立方体定义的云形态维度主要用于商业决策,但对技术的概述还相对薄弱。
3、云计算服务安全指南和云计算服务安全能力要求
美国政府为了安全的采用云计算服务,于2012年6月启动了“联邦风险和授权管理项目”,其核心思想是由联邦政府统一对那些计划为联邦政府部门提供云计算的云服务商进行安全评估。同时,将评估结果保存到统一的信息库中,供需要采购云计算服务的联邦政府部门使用,大大减少重复安全评估的工作。
出于同样的目的,我国政府也在2014年组织人员编写并发布了GB/T 31167《信息安全技术云计算服务安全指南》和GB/T 31168《信息安全技术云计算服务安全能力要求》两个国家标准。其中,GB/T 31167《信息安全技术云计算服务安全指南》面向政府部门,提出了使用云计算服务时信息安全管理和技术要求,尤其是使用社会化的云计算服务时,应特别关注的安全问题。
包括:指导政府部门做好采用云计算服务的前期分析和规划,从而选择合适的云服务商;指导政府部门对云计算服务进行运行监管;指导政府部门考虑退出云计算服务和更换云计算服务商的风险;指导政府部门在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全使用云计算服务;GB/T 31168《信息安全技术云计算服务安全能力要求》面向云服务商,提出云服务商向政府部门提供服务时应具备的安全能力要求,要求分为一般要求和增强要求。
4、等级保护对采用云计算技术的信息系统的扩展安全要求
谈及云计算安全标准就不能不探讨一下基于云计算的等级保护工作。等级保护是我国对重要信息系统进行安全评估和建设的主要依据,从2014年起,公安部就陆续组织相关研究单位开始编写针对云计算的等级保护扩展要求标准,到现在为止,已经基本编写完成,并下发到全国测评机构参考执行。
云计算环境下的等级保护把实施对象分成了云平台和租户业务系统两个部分,云平台的等级不低于承载的租户业务系统的等级。那么对于云平台建设方、云平台运营方和租户方分别要做哪些事情,来保障云平台和业务系统满足等级保护的要求呢?
总体来说,云平台不仅需要建设自身符合要求的保护能力,还需要建设一套能够提供租户业务系统相关要求的保护能力,当租户需要时,可以向云平台运营方申请购买相关安全保护措施。
首先,云平台的建设方应该保障基础设施和网络架构满足等级保护基本要求中的条款和云计算扩展要求中的所有条款,比如供业务运行和数据处理及存储的物理设备位于中国境内;登录Hypervisor、云管理平台等的管理用户进行相应等级身份鉴别;进行远程管理时,管理终端和云平台边界设备之间应建立双向身份验证机制等。
其次,云平台运营方应该建设一套能够提供租户业务系统需要的保护能力,这包括可以让租户在虚拟化网络边界、不同等级的网络区域边界部署访问控制机制,设置访问控制规则;允许云租户设置不同虚拟机之间的访问控制策略;租户远程管理时,管理终端和云计算平台边界设备之间应建立双向身份验证机制;根据云服务方和云租户的职责划分,租户能够收集其自控制部分的审计数据,实现租户控制部分的集中审计等。
最后,租户应该根据其云上业务系统的安全等级要求,向云平台运营方要求获得相应的安全防护措施,这些安全措施应该能够很好的满足等级保护标准的具体要求,并要求云平台运营方协助租户在本地保存其业务数据的备份。
深信服不仅是业内领先的云计算技术提供商,在云安全方面也积极进行技术创新,同时结合业内最先进的云安全模型和标准,提出了针对云平台和云上业务系统的整体解决方案。 针对云平台的基础设施和网络架构的安全要求,深信服提出了以下一代防火墙、上网行为管理、应用交付、SSL VPN等产品为核心构建的整体解决方案,帮助云平台的建设方建设一套满足等级保护标准要求的云计算数据中心;针对租户业务系统的安全要求,深信服和云平台运营方共同建设的安全资源池可以向租户提供满足等级保护三级的安全保护措施,租户只要根据自己的需求向云平台运营方申请即可。
等级保护2.0系列标准即将发布,等级保护将全面保障关键信息基础设施安全,相信随着这样的变化,会有越来越多的实践经验出现。深信服将会在未来跟大家分享更多的云计算环境下的等级保护实践经验。
