隨著越來越多的政府部門將數據和信息遷移到云計算平臺,為了防范其中的風險,網絡安全主管部門正在建立政府部門云計算安全審查制度,并啟動了云計算安全國家標準的編制工作。根據國家標準委的項目安排,中國電子下屬的中國信息安全研究院牽頭起草該標準。經過一年多的努力,標準報批稿已經完成并報國家標準委。
1 國外云計算安全標準研究制定情況
美國已要求為聯邦政府提供的云計算服務必須通過安全審查。為此美國啟動了FedRAMP(聯邦風險及授權管理)項目,其審查標準是《云計算安全基線》[1]。該基線來源于NIST SP800-53《美國聯邦系統安全控制的建議》,共提出了17類安全要求。截至2014年6月,美國已有17項云計算服務通過了安全審查,29項在審查過程中,7項在等待審查。
國際標準化組織ISO下的SC27(第27分技術委員會)于2010年10月啟動了“云計算安全和隱私”研究項目。目前,SC27已基本確定了云計算安全和隱私的概念體系架構,圍繞云安全管理、隱私保護、供應鏈安全提出了國際標準草案[2]。
CSA(云安全聯盟)是近年來成立的一個非盈利性組織,目前已獲得業界廣泛認可。CSA于2011年11月發布了《云安全指南》第3版,對云安全的14個關鍵域進行了深入闡述[3]。基于此,CSA已開展了自愿性的云安全認證項目。
此外,ITU(國際電聯)、ENISA(歐洲網絡與信息安全局)也都提出了云安全研究報告,對云計算安全標準化工作產生了積極影響。
2 云計算安全風險分析
對云計算的安全風險分析報告已有很多,以美國NIST(國家標準和技術研究院)的研究最具代表性[4]。我們的研究是立足于國家網絡安全審查背景,主要關注攻擊者通過云計算平臺控制、破壞政府部門敏感數據和重要業務的風險。我們在標準中總結了云計算給政府客戶帶來的7類安全風險。
(1)客戶對數據和業務系統的控制能力減弱
傳統模式下,客戶的數據和業務系統都位于客戶的數據中心,在客戶的直接管理和控制下。在云計算環境里,客戶將自己的數據和業務系統遷移到云計算平臺上,失去了對這些數據和業務的直接控制能力,反而是云服務商擁有了訪問、利用或操控客戶數據的能力。
(2)客戶與云服務商之間的責任難以界定
傳統模式下,按照誰主管誰負責、誰運行誰負責的原則,信息安全責任相對清楚。在云計算模式下,云計算平臺的管理和運行主體與數據安全的責任主體不同,相互之間的責任如何界定,缺乏明確的規定。
(3)可能產生司法管轄權問題
在云計算環境里,數據的實際存儲位置往往不受客戶控制,客戶的數據可能存儲在境外數據中心。一些外國政府可能依據本國法律要求云服務商提供可以訪問這些數據中心的途徑,甚至要求云服務商提供位于他國數據中心的數據。此類事件已經發生多起。
(4)數據所有權保障面臨風險
客戶將數據存放在云計算平臺上,沒有云服務商的配合很難獨自將數據安全遷出。在服務終止或發生糾紛時,云服務商還可能以刪除或不歸還客戶數據為要挾,損害客戶對數據的所有權和支配權。云服務商通過對客戶的資源消耗、通訊流量、繳費等數據的收集統計,可以獲取客戶的大量相關信息,對這些信息的歸屬往往沒有明確規定,容易引起糾紛。
(5)數據保護更加困難
云計算平臺采用虛擬化等技術實現多客戶共享計算資源,虛擬機之間的隔離和防護容易受到攻擊,跨虛擬機的非授權數據訪問風險突出。隨著復雜性的增加,云計算平臺實施有效的數據保護措施將更加困難,客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。
(6)數據殘留
存儲客戶數據的存儲介質由云服務商擁有,客戶不能直接管理和控制存儲介質。當客戶退出云計算服務時,云服務商應該完全刪除客戶的數據,包括備份數據和運行過程中產生的客戶相關數據。目前,還缺乏有效的機制、標準或工具來驗證云服務商是否實施了完全刪除操作,客戶退出云計算服務后其數據仍然可能完整保存或殘留在云計算平臺上。
(7)容易產生對云服務商的過度依賴
由于缺乏統一的標準和接口,不同云計算平臺上的客戶數據和業務難以相互遷移,同樣也難以從云計算平臺遷移回客戶的數據中心。云服務商出于自身利益考慮,往往不愿意為客戶的數據和業務提供可遷移能力。
3 難點及對策
云計算模式的特殊性決定了其安全標準與傳統標準有很大差異,需作出特殊考慮。
3.1 云安全某些問題還沒有形成妥善的解決方案
云計算的發展應用速度顯然快于安全,這也是導致云計算安全事件頻出的原因。特別是,云環境下的加密解決方案仍不成熟。在2013年中美信息安全技術和標準圓桌論壇上,美國一些專家甚至向我們直陳,云加密不可能實現。此外,云遷移也缺少解決方案,目前業界也無一例云遷移的成功案例。在這種情況下,標準要既能規范服務商的責任,又要具有現實可操作性,還應為將來的發展留下空間。為此,標準對此類問題只提出原則性要求,即要求服務商能夠支持相關方案的部署,但不限制具體的實現方式。
3.2 安全措施與安全利益不一致
云服務商的某些安全措施可能與客戶的安全利益不一致。在云環境下,一些看似很自然的安全要求反而可能會有損于安全。如審計要求,這是任何一個系統中的必備安全功能。但如果云平臺上政府機關工作人員利用辦公軟件起草的文件名、通過郵件發送的數據量等都被審計下來,且被云服務商所知,那么這顯然會造成敏感數據的泄露。對此類問題,我們的解決辦法是將安全要求的顆粒度進一步細分,審計內容要經過客戶與云服務商進行協商,且嚴格規范審計管理員行為。同時,還要增加對審計管理員的審計角色,并由客戶擔任。
3.3 安全責任邊界問題
云計算平臺及系統的安全由客戶和服務商共同負責,安全責任邊界在不同模式下不一樣。云計算環境的安全性由云服務商和客戶共同保障。云計算有軟件即服務(SaaS)、平臺即服務(PaaS)、基礎設施即服務(IaaS)3種主要服務模式。不同服務模式下云服務商和客戶對計算資源的控制范圍不同,控制范圍則決定了安全責任的邊界。圖1對此作了分析。
如圖1所示,圖中兩側的箭頭示意了云服務商和客戶的控制范圍,具體為:
(1)在SaaS模式下,客戶僅需要承擔自身數據安全、客戶端安全等相關責任;云服務商承擔其他安全責任。
(2)在PaaS模式下,軟件平臺層的安全責任由客戶和云服務商分擔。客戶負責自己開發和部署的應用及其運行環境的安全,其他安全由云服務商負責。
(3)在IaaS模式下,虛擬化計算資源層的安全責任由客戶和云服務商分擔。客戶負責自己部署的操作系統、運行環境和應用的安全,對這些資源的操作、更新、配置的安全和可靠性負責。云服務商負責虛擬機監視器及底層資源的安全。
通過以上分析,我們在標準中提供了指南,指導客戶根據具體的服務模式選擇不同的安全責任邊界。
4 網絡安全審查要點分析
我們對《云計算安全能力要求》的定位是,這是一部面向云的網絡安全審查標準,而不是一部云計算安全解決方案的白皮書。因此,標準的關注點應該反映國家正在制定的網絡安全審查制度的主旨。
今年5月,我國政府宣布,為維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度[5]。審查的重點在于該產品的安全性和可控性,旨在防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。由此可見,僅僅對產品和服務的功能進行關注,已經難以排除產品和服務供應商可能實施惡意行為的風險。
因此,為了反映國家網絡安全審查關切,標準的重點不是云計算服務的安全功能,而是云服務商的安全保障(Assurance)能力。安全保障最初來源于TCSEC(《可信計算機系統安全評估準則》),指系統中的安全組件能夠按預期運轉的能力[6]。ITSEC(《信息技術安全評估準則》)則指出,安全保障是對安全功能的正確性和有效性的一種度量[7]。CC(《信息技術安全通用評估準則》)則將安全保障分為6類:開發類;指導性文檔類;生命周期支持類;測試類;脆弱性評定類;組合類[8]。
從目前網絡安全對抗形勢看,上述安全保障要求只涉及開發和運行安全,也還不能客觀反映云服務商是否具有主觀惡意。為此,我們重點關注云服務商的背景以及愿意配合審查的意愿,并在標準中重點提出了以下要求:
(1)對云服務商的采購過程提出要求,確保下級供應商在設計開發系統時采用了安全工程方法。
(2)要求云服務商對外部系統服務供應商進行審核,包括實施人員背景調查、關注外部系統服務供應商的資本變化等。
(3)對云服務商或其系統開發商的開發過程、標準和工具提出要求。
(4)要求云服務商對不再受廠商支持的軟硬件提出解決方案。防止Windows XP停止升級服務等事件發生。
(5)要求云服務商不得購買特定地區或企業產品,且優先選擇透明度好的開發商。
5 云計算安全技術對策
針對已分析的云計算安全風險,我們研究并提出了10類安全措施,每一類安全要求包含若干項具體要求。10類安全要求分別是:
(1)系統開發與供應鏈安全:云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供有關安全措施的文檔和信息,配合客戶完成對信息系統和業務的管理。
(2)系統與通信保護:云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信,并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。
(3)訪問控制:云服務商應嚴格保護云計算平臺的客戶數據,在允許人員、進程、設備訪問云計算平臺之前,應對其進行身份標識及鑒別,并限制其可執行的操作和使用的功能。
(4)配置管理:云服務商應對云計算平臺進行配置管理,在系統生命周期內建立和維護云計算平臺(包括硬件、軟件、文檔等)的基線配置和詳細清單,并設置和實現云計算平臺中各類產品的安全配置參數。
(5)維護:云服務商應維護好云計算平臺設施和軟件系統,并對維護所使用的工具、技術、機制以及維護人員進行有效的控制,且做好相關記錄。
(6)應急響應與災備:云服務商應為云計算平臺制定應急響應計劃,并定期演練,確保在緊急情況下重要信息資源的可用性。
(7)審計:云服務商應根據安全需求和客戶要求,制定可審計事件清單,明確審計記錄內容。
(7)風險評估與持續監控:云服務商應定期或在威脅環境發生變化時,對云計算平臺進行風險評估,確保云計算平臺的安全風險處于可接受水平。
(9)安全組織與人員:云服務商應確保能夠接觸客戶信息或業務的各類人員(包括供應商人員)上崗時具備履行其安全責任的素質和能力,還應在授予相關人員訪問權限之前對其進行審查并定期復查,在人員調動或離職時履行安全程序,對于違反安全規定的人員進行處罰。
(10)物理與環境保護:云服務商應確保機房位于中國境內,機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監控,嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸,確需接觸的,需通過云服務商的明確授權。
《云計算服務安全能力要求》的重要意義在于,這不但是我國首部云計算安全國家標準,也是我國首部網絡安全審查的技術支撐文件。這部標準反映了網絡安全審查工作的重點關注:不但涉及安全功能,還涉及保障過程;不但涉及產品和服務自身,還涉及開發商、供應商的背景。其最終是為了全面反映云服務的可信性、可控性和透明性。目前,全國信息安全標準化技術委員會正在組織開展對此標準的試點,試點獲得的經驗將有利于標準的進一步完善。
參考文獻
[1] FedRAMP.Security Controls Baseline Version 1.1[Z].2012.
[2] ISO/IEC 27017—Information technology—Security tech-
niques—Security in cloud computing(Draft)[S].2010.
[3] CSA(Cloud Security Alliance).Guidelines on Security and
Privacy in Public Cloud Computing V3.0[Z].2011.
[4] NIST.SP 800-144:Guidelines on Security and Privacy in
Public Cloud Computing[Z].2011.
[5] 中國將出臺網絡安全審查制度[EB/OL].(2014-05-22)
[2014-06-08].http://news.xinhuanet.com/2014-05/22/
c_1110811034.htm.
[6] National Computer Security Center.Trusted Computer System
Evaluation Criteria,5200.28-STD,1985.
[7] Information Technology Security Evaluation Criteria(ITSEC).
Preliminary Harmonised Criteria[Z].1991.
[8] Common Criteria for Information Technology Security Evalua-
tion,Part 1-Part 3,Version 2.1[Z].CCIMB-99-031,1999.
(收稿日期:2014-06-08)
作者簡介:
姚遠,男,1981年生,工程師,主要研究方向:信息安全。
左曉棟,男,1975年生,高級工程師,主要研究方向:信息安全。
云計算安全國家標準研究