目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,在《信息安全技术 网络安全等级保护基本要求 第1部分:安全通用要求》进行了扩展,形成了云计算安全扩展要求(以下简称“云等保”)。
本文将对云等保涉及的相关概念、云环境下责任归属、云等保定级/备案的相关要求、建设流程和建设要点进行全面的梳理。
云等保涉及概念定义
云计算:云计算本质是一种服务模式,是指通过网络提供计算资源服务的模式,在该模式下,用户按需动态自助供给、管理各类计算资源。
云服务方:云计算服务的供应方,如各类公有云、行业云的服务商;
云租户:租用或使用云计算资源的客户;
云计算平台:云服务方提供的云计算基础设施及其上的服务软件的集合;
云环境系统:云租户在平台之上部署的软件及相关组件的集合。
而云计算平台和云环境系统共同组成了云计算环境;
云计算的服务模式
云计算分为三种云服务模式:IaaS、PaaS、SaaS;
IaaS 基础设施即服务
云服务方向云租户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式
PaaS 平台即服务
云服务方向云租户提供应用软件所需的支撑平台,包括用户应用程序的运行环境和开发环境,供云租户在此基础上开发和提供相关应用的服务模式;
SaaS 软件即服务
云服务方向云租户提供运行在云基础设施之上的应用软件的服务模式。
云等保的责任归属
在不同的云计算服务模式中,云服务方和云租户拥有不同的控制范围,控制范围则决定了安全责任的边界。
这里列举了不同服务模式下云服务方和云租户的安全责任;
云等保的定级要求
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
而对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
同时云计算平台不承载高于其安全保护等级的业务应用系统;
云等保的备案要求
云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云租户不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址;对于云租户来说,应当在云租户云环境系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
云等保的建设流程
我们梳理了云等保的整个流程,并给出了各个角色的职责和阶段任务。
其中对于云服务商,一方面需要对自己的云平台进行定级、备案、建设整改、测评等一系列流程,还需给云租户提供必要的支撑,包括云服务商安全资质、通过测评的证明材料等。
云等保的建设要点
物理位置的要求:
前面也提到,对于大型云计算平台,很难确定云平台的具体物理地址,虽然按照云计算的定义,云客户(云租户)通常不必知晓和控制资源的确切物理位置,但应能够在一个更高的抽象层次上(比如说国家、州或者数据中心)指定资源位置。
在云等保中也明确要求:
基础设施位于境内:云计算基础设施位于中国境内;
数据存储于境内:云等保数据保密性要求从二级开始加入“确保云租户账户信息、鉴别、系统信息存储于中国境内。”
云平台安全的要求:
云平台的安全是云计算环境安全稳定运行的基础,云等保对于云平台的安全要求,总结有三点:
- 满足等保安全通用要求:云计算基础设施、云管理平台(云操作系统,Hypervisor )的组件自身安全应遵循《安全通用要求》;
- 需做好身份鉴别和权限控制:登录云管理平台( Hypervisor)等的管理用户进行相应等级的身份鉴别,确保云平台运维管理员和云服务管理员权限分离
- 远程管理实现双向的身份验证:登录云管理平台( Hypervisor)等的管理用户进行相应等级的身份鉴别,确保云平台运维管理员和云服务管理员权限分离;
资源隔离的要求:
云计算运用了虚拟化等技术将资源量化进行重新分配并交付给用户,资源的有效隔离非常重要,之前影响全球的Intel处理器Meltdown及Spectre漏洞在云环境下就会产生极大的影响;
云等保对于云计算环境下资源隔离的要求,总结如下:
1、应对虚拟机逃逸行为进行检测和告警;
2、禁止虚拟实例直接访问宿主机上的物理硬件;
3、不同虚拟机之间的虚拟CPU指令隔离;
4、应保证分配给虚拟机的内存空间仅供其独占访问;
5、应根据云租户业务系统的重安全等级划分网络安全区域并设置区域间访问控制规则;
6、应保证云平台管理流量与云租户业务流量分离;
7、应保证虚拟机仅能迁移至相同安全保护等级的资源池
访问控制
- 依据访问控制策略控制虚拟机之间访问;
- 实现云平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限
- 确保只有在云租户授权下,云服务方或第三方才具有云租户数据的管理权限
- 云计算平台应提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安全服务
审计与监控
- 审计按职责划分执行
应根据云服务方和云租户的职责划分实现各自控制部分的集中审计 - 审计云服务方所有操作
应保证云服务方对云租户系统和数据的操作可被云租户审计 - 全面审计
等保0对安全审计提出了全新要求,审计需覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
在云等保中也不例外,要求安全审计应可以监控到所有虚拟机之间、虚拟机与宿主机之间的通信流量。 - 支持第三方审计
应为安全审计数据的汇集提供接口,可供第三方审计;
数据安全
数据安全是网络安全永恒的话题,云计算环境中数据存储在云平台中,对数据的感知、迁移及数据保密性、可用性、完整性都有更高层次的要求:
1、用户可感知
应提供查询云租户数据及备份存储位置的方式;
2、用户可迁移
应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统;
3、虚拟机安全
确保虚拟机迁移过程中的完整性保护和信息防泄漏
4、镜像安全
对虚拟机镜像文件进行完整性保护,可检测到非授权修改;
- 快照安全
对虚拟机快照文件进行保密性保护
安全管理
- 应根据业务系统的安全保护等级选择能够提供相应安全等级保护能力的云服务商;
- 应以书面方式约定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
- 签订服务水平协议SLA和签订隐私保护协议,并可向第三方提供相关证明。
云等保测评要点:
传统系统在进行等级保护测评时依据《安全通用要求》,云系统依据《安全通用要求》+《云计算安全扩展要求》,在测云服务方的云计算平台上的定级系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云计算平台的部分指标;在测云租户业务应用系统时,应选择 全部《安全通用要求》+《云计算安全扩展要求》中适用于云租户业务系统的部分指标。也从机制上鼓励云服务方努力加强云平台自身的安全防护,也使得云租户在选择云平台的时候不要只考量经济成本,尽量选择安全防护更好的云计算平台。