詳解雲安全“紅寶書”——“雲安全等保合規”
阿新 • • 發佈:2019-02-17
《資訊保安技術 資訊系統安全等級保護 第二分冊 雲端計算安全技術要求》(下文簡稱“雲安全等保合規”)是由公安部發布的國家級安全標準檔案,此標準是在國內參照執行度最高的安全標準。“雲端計算安全技術要求”分冊針對雲端計算資訊系統的特點,提出了雲端計算資訊系統安全等級保護的安全要求(其範圍暫不包括雲端儲存、雲桌面和大資料服務),其中包括技術要求和管理要求,適用於指導分等級的雲端計算資訊系統的安全建設和監督管理。
《資訊系統安全等級保護》目前規劃了五個分冊,第一分冊是“基本要求”,第二個分冊是“雲端計算安全技術要求”,其餘分冊的內容如圖1所示,第一分冊是其他分冊的基礎,其他四個分冊都是針對不同領域,對第一分冊的更新和補充。
圖1 資訊保安技術 資訊保安等級保護標準整體結構圖
圖2 雲端計算安全技術要求框架圖 從雲端計算安全技術要求框架圖中可以看出,整體框架與《第一分冊 基本要求》保持一致,並且在技術要求中,“物理安全”內容參照《第一分冊 基本要求》執行,包括它技術要求和管理要求內容。從內容條款中也可以看出,《第二分冊 雲端計算安全技術要求》本身不是一項新的雲端計算安全標準,只是對《第一分冊 基本要求》的補充。 《第二分冊 雲端計算安全技術要求》(下文簡稱“雲安全等保合規”的編寫工作主要是在2015年1月至7月完成的,新華三作為主要參與方參加了整個編寫過程。新華三集團針對在雲端計算環境中應用到的主機虛擬化技術安全、軟體定義網路技術安全、NFV技術安全和服務鏈技術安全等方面提出了相關的安全技術要求;在雲端計算環境中,雲平臺運維及運營管理方面也給出相關安全管理要求。 “雲安全等保合規”主要包括三個方面的內容:雲端計算環境下的安全威脅、雲端計算安全等級保護評測流程以及雲端計算安全等級保護要求。下文將對“雲端計算安全等級保護要求“做詳細解讀。 雲端計算安全等級保護要求根據實現方式的不同,分為基本技術要求和基本管理要求兩大類。技術類安全要求與雲端計算資訊系統提供的技術安全機制有關,主要通過在雲端計算資訊系統中部署軟硬體並正確的配置其安全功能來實現;管理類安全要求與雲端計算資訊系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規範、流程以及記錄等方面做出規定來實現。
技術要求
雲端計算資訊系統的核心是採用虛擬化技術實現計算資源的池化和動態分配。虛擬化技術也是雲端計算系統諸多優勢得以實現的關鍵因素。虛擬化技術為雲平臺增加了額外的一層安全要求,雲端計算資訊系統的安全防護需要著眼於虛擬化技術所帶來的安全風險。包括:虛擬化平臺的安全風險、虛擬資源共享風險、多雲租戶環境中的資料安全風險。各層面主要關注點如下:
在網路安全層面,在等級保護基本要求技術的基礎上,雲端計算資訊系統的安全技術要求增加了虛擬網路的網路裝置防護和訪問控制,虛擬網路流量的監控管理和安全審計,虛擬網路中的入侵檢測等安全技術要求;
在主機安全層面,在等級保護基本技術要求的基礎上,雲端計算資訊系統的主機安全要求增加了虛擬機器之間以及虛擬機器與宿主機之間的安全防護、虛擬機器映象、快照安全保護等安全技要求;
在應用安全層面,在等級保護基本技術要求的基礎上,雲端計算資訊系統應用安全層面增加了介面安全等安全技術要求;
在資料安全層面,在等級保護基本技術要求的基礎上,雲端計算資訊系統的資料安全層面增加了對虛擬機器遷移、資料的許可權控制等安全技術要求。
下面將分別針對“網路安全”、“主機安全”、“應用安全”和“資料安全及備份恢復”四個層面中重點內容進行講解。
網路安全
(1)安全要求:
1)應保證雲平臺管理流量與雲租戶業務流量分離
2)應根據雲租戶的業務需求自定義安全訪問路徑
3)應在虛擬網路邊界部署訪問控制裝置,並設定訪問控制規則
4)應依據安全策略控制虛擬機器間的訪問
5)應能識別、監控虛擬機器之間、虛擬機器與物理機之間、虛擬機器與宿主機之間的流量
6)應根據雲服務方和雲租戶的職責劃分,實現各自控制部分的集中審計
(2)解讀:
1)雲平臺的管理流量和雲租戶的業務應用系統的業務處理流量需要分離,這裡的“分離”是在說明業務流程和管理流量採用不同物理交換網路裝置來承載。
2)根據雲租戶的業務需求自定義安全訪問路徑,這裡的“自定義訪問路徑”是在說明租戶業務的安全訪問控制不是由雲服務商來負責的,應該是由雲租戶自身來負責的,雲服務商只需要提供雲租戶所需要安全服務,而這些安全服務具體在業務應用系統安全訪問控制如何使用,及策略如何設定,都是由雲租戶來決定。
3)在雲端計算環境中,會涉及大量的虛擬網路,這時就需要能夠有效控制虛擬網路間及虛擬網路和物理網路間有清晰的安全邊界,從安全邊界安全裝置實現安全控制。
4)安全策略控制虛擬機器間的訪問,這點說明要實現對虛擬機器的安全防護,並且這些安全防護策略可以在虛擬機器移動過程中和移動後都能實現實時的、持續的安全防護。
5)在雲端計算環境中,監控和識別的流量內容包含虛擬機器之間、虛擬機器與物理機之間、虛擬機器與宿主機之間的流量,這裡重點要強調的是,虛擬機器間的流量,因為在同一臺宿主機(安裝虛擬化引擎的物理主機)多個虛擬機器間通訊時,通訊流量是不出物理伺服器的,所以無法進行監控,為了保證可以監控,就需要將流量從宿主機中引出到外部網路中來實現。
6)審計,要求雲服務商和雲租戶負責及控制各自IT系統的審計裝置、許可權和審計資料。
主機安全
(1)安全要求:
1)應保證虛擬機器之間、虛擬機器與宿主機之間的安全隔離;
2)應確保雲平臺運維管理員、雲服務管理員和雲租戶管理員的許可權分離;
3)應提供雲平臺管理使用者許可權分離機制,為網路管理員、系統管理員建立不同賬戶並分配相應的許可權。
4)應保證虛擬機器僅能遷移至相同安全保護等級的資源池;
5)應確保僅雲租戶擁有其資料庫的最高管理許可權;
6)應保證分配給虛擬機器的記憶體空間僅供其獨佔訪問;
7)應保證虛擬機器所使用的記憶體和儲存空間回收時得到完全清除;
8)應根據雲服務方和雲租戶的職責劃分,實現各自控制部分的集中審計。
(2)解讀:
1)虛擬機器之間、虛擬機器與宿主機之間的安全隔離,這點是要說明要保證虛擬機器間、虛擬機器和宿主機間的安全,這裡的安全主要是系統從層面和資源層面的安全。
2)針對雲平臺運營管理,應設定不同的角色,不同的角色有不同的許可權,從而保證雲平臺及租戶業務系統執行安全。例如,滿足三員分立要求。
3)虛擬機器僅能遷移至相同安全保護等級的資源池;這點說明,如果雲平臺是三級雲平臺,但是在整個雲平臺上既有二級業務應用系統,又有三級業務應用系統時,承載二級業務應用系統和三級業務應用系統需要各自使用獨立的物理伺服器資源池和儲存資源池。
4)應確保僅雲租戶擁有其資料庫的最高管理許可權;這單說明租戶間不同共享資料庫系統。
5)記憶體獨佔和記憶體、儲存空間完全清空,這兩點是說明要保證資訊不能通過記憶體或者儲存遭到洩露。
6)審計,要求雲服務商和雲租戶負責及控制各自IT系統的審計裝置、許可權和審計資料。
應用安全
(1)安全要求:
應根據雲服務方和雲租戶的職責劃分,實現各自控制部分的集中審計
(2)解讀:
審計,要求雲服務商和雲租戶負責及控制各自IT系統的審計裝置、許可權和審計資料。
資料安全及備份恢復
(1)安全要求:
1)雲租戶應在本地儲存其業務資料的備份;
2)應保證雲租戶業務及資料能移植到其他雲平臺或者遷移到本地資訊系統。
(2)解讀
1)雲租戶應在本地儲存其業務資料的備份;這點是說明要求租戶的業務資料無2)論在其它地方是否有備份資料,但是在租戶自己辦公場地本地始終需要有一份雲平臺上執行的業務資料備份。
3)應保證雲租戶業務及資料能移植到其他雲平臺或者遷移到本地資訊系統;這點是要說明,要求租戶能夠將雲平臺上執行的業務資訊系統遷移到自身辦公場地,並繼續執行的能力。
管理要求
雲端計算資訊系統的安全管理要求與資訊系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規範、流程以及記錄等方面做出規定來實現。安全管理要求從系統建設管理、系統運維管理兩個方面提出。
系統建設管理應根據不同的雲端計算資訊系統安全保護等級分別從系統定級和備案、測試驗收、雲服務商選擇、供應鏈管理等幾個方面提出要求。系統運維管理應根據不同的雲端計算資訊系統安全保護等級從監控和審計管理方面提出要求。
雲服務商的選擇
(1)安全要求:
1)應確保雲服務商的選擇符合國家的有關規定;
2)應根據資訊系統的安全保護等級選擇能夠提供相應安全等級保護能力的雲服務商;
3)應以書面方式約定雲服務的各項服務內容和具體技術指標;
4)應以書面方式約定雲服務商的許可權與責任,包括管理範圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
5)應以書面方式約定服務合約到期時,完整地返還雲租戶資訊,並承諾相關資訊均已在雲平臺上清除;
6)應與選定的雲服務商簽署保密協議,要求其不得洩露雲租戶資料和業務系統的相關重要資訊;
7)應與雲服務商的可接觸到雲租戶資料的員工簽訂保密協議;
8)應對雲服務商和雲服務商的可接觸到雲租戶敏感資訊的員工進行背景調查;
雲服務商應接受執行監管,提供執行監管介面。
(2)解讀:
以上安全要求是在說明,當用戶不是自建雲平臺,而是選擇其他雲服務商提供的雲服務時,需要對雲服務商提出的安全要求,簽署具有法律約束能力的安全協議及合同。
供應鏈管理
(1)安全要求:
1)應確保供應商的選擇符合國家的有關規定;
2)雲服務方應確保供應鏈安全事件資訊或威脅資訊能夠及時傳達到雲租戶;
3)應保證供應商的重要變更及時傳達到雲租戶,並評估變更帶來的安全風險,採取有關措施對風險進行控制。
(2)解讀:
以上安全要求是在說明,使用者無論是自建私有云,還是租用雲服務商的雲服務時,都要及時瞭解到雲平臺架構主要產品供應資訊,對於雲服務商而言,當雲平臺基礎架構組成產品的供應鏈出現變化時,要及時通知到雲租戶,雲租戶有知情權。
監控和審計管理
(1)安全要求:
1)應確保資訊系統的監控活動符合關於隱私保護的相關政策法規;
2)應確保提供給雲租戶的審計資料的真實性和完整性;
3)應制定相關策略,對安全措施有效性進行持續監控;
4)雲服務方應將安全措施有效性的監控結果定期提供給相關雲租戶。
(2)解讀:
以上安全要求是在說明,在雲端計算環境中,要求能夠對整個雲平臺進行持續的,全面的運營狀態監控。涉及到與租戶相關的監控資訊及監控報告,要定期提供給雲租戶。
圖2 雲端計算安全技術要求框架圖 從雲端計算安全技術要求框架圖中可以看出,整體框架與《第一分冊 基本要求》保持一致,並且在技術要求中,“物理安全”內容參照《第一分冊 基本要求》執行,包括它技術要求和管理要求內容。從內容條款中也可以看出,《第二分冊 雲端計算安全技術要求》本身不是一項新的雲端計算安全標準,只是對《第一分冊 基本要求》的補充。 《第二分冊 雲端計算安全技術要求》(下文簡稱“雲安全等保合規”的編寫工作主要是在2015年1月至7月完成的,新華三作為主要參與方參加了整個編寫過程。新華三集團針對在雲端計算環境中應用到的主機虛擬化技術安全、軟體定義網路技術安全、NFV技術安全和服務鏈技術安全等方面提出了相關的安全技術要求;在雲端計算環境中,雲平臺運維及運營管理方面也給出相關安全管理要求。 “雲安全等保合規”主要包括三個方面的內容:雲端計算環境下的安全威脅、雲端計算安全等級保護評測流程以及雲端計算安全等級保護要求。下文將對“雲端計算安全等級保護要求“做詳細解讀。 雲端計算安全等級保護要求根據實現方式的不同,分為基本技術要求和基本管理要求兩大類。技術類安全要求與雲端計算資訊系統提供的技術安全機制有關,主要通過在雲端計算資訊系統中部署軟硬體並正確的配置其安全功能來實現;管理類安全要求與雲端計算資訊系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規範、流程以及記錄等方面做出規定來實現。