论文部分内容阅读
摘 要: 围绕云环境下安全模式与传统安全模式的差异,结合信息安全保障要求,对三种不同的云服务模式(包括IaaS,PaaS和SaaS)进行了安全需求分析,同时对美国云计算联邦风险评估管理计划 (FedRAMP)中的安全控制措施和国内相关信息安全标准中的安全要求进行了对比分析,提出了云计算信息安全测评的基本框架,探讨了云计算信息安全测评需要特别关注的内容。
关键词: 云计算; 云服务模式; 信息安全; 信息安全测评
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2013)10-22-04
0 引言
当前,全球IT产业正在经历着一场声势浩大的“云计算(Cloud Computing)”浪潮。“云”描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。这些组件可以被迅速策划、配置、部署和退役,并且可以迅速扩充或缩减,提供按需的、效用计算类似的分配和消费模式。云计算是技术和商业模式的双重创新。
云计算的出现并非偶然,早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。在20世纪80年代网格计算、90年代公用计算、21世纪初虚拟化技术等的支撑下,云计算作为一种新兴的资源使用和交付模式逐渐为学界和产业界所认知。然而一些实际问题仍然可能会把“祥云”变成“乌云”。正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算在带给我们规模经济、高应用可用性益处的同时,其核心技术特点也决定了它在安全性上存在着天然隐患,其特有的数据和服务外包、虚拟化、多租户和跨域共享等特点,带来了前所未有的安全挑战。在已经实现的云计算服务中,安全和个人信息保护问题已经成为阻碍云计算普及和推广的主要因素之一。
1 云计算概况
如同人们用水不需要考虑如何建设水厂和管网、用电不需要自行建设电力基础设施一样,云计算使人们在处理业务、保存数据时,不需要自建应用系统、自购服务器和存储设备,转而通过利用云计算服务提供商的资源实现事务处理和数据保存,消费者只需要为使用这些资源支付费用。
NIST(美国国家标准技术研究院)定义云计算是一个提供便捷的通过互联网访问一个可定制的IT资源共享池能力的按使用量付费模式(IT资源包括网络,服务器,存储,应用,服务),这些资源能够快速部署,并只需要很少的管理工作或很少的与服务供应商的交互[1]。
1.1 云参考架构
当前,NIST定义的云架构得到普遍认同,包括五个关键特征、三个服务模式和四个部署模型[2]。五个关键特征代表了云计算与传统计算模式的关系与差异,分别是①按需自服务、② 宽带接入、③虚拟化的资源池、④快速弹性架构、⑤可测量的服务;云服务的交付可以分为三种基本模式以及不同的衍生组合,三种基本模式分别是①IaaS(Infrastructure as a service):基础设施即服务、②PaaS(Platform as a service):平台即服务、③ SaaS (Software as a service):软件即服务;根据云计算基础设施拥有、管理、使用和部署场所等不同,云计算的四个部署模型是私有云、社区云、公共云和混合云。具体如图1所示。
1.2 云服务参考模型
云计算可以把计算资源(如处理器、硬盘等)提供给用户远程使用;也可把一个运行平台环境提供给用户,用户可以在此平台环境上构建并运行自己的应用;还可把应用软件提供给用户直接使用。对应上述不同层次的服务,云计算的主要服务模式包括:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
在IaaS模式下,云计算提供的资源涵盖了机房设备、硬件平台、将资源抽象化并交付连接、一组应用程序接口等层面,用户不仅可以租用数据计算服务、数据存储服务、网络和其他基本计算资源,还能够在上面部署和运行任意软件,包括操作系统和应用程序。用户并不管理或控制底层的处理器、存储、网络等云基础设施,但拥有对操作系统、数据和所部署应用的控制权限。
PaaS位于IaaS之上,又增加了一个层面用以与应用开发框架、中间件、数据库、消息和队列等功能集成,用户可基于此平台开发、测试、部署和管理自己的应用。用户并不管理或控制底层的云基础设施,但可以控制用户自己的应用以及应用程序运行环境的配置。
SaaS位于底层的IaaS和PaaS之上,能够给用户提供某些特定应用功能的软件服务,用户可以获得完整的用户体验,包括内容、展现、应用和管理等。用户通过浏览器等方式访问应用软件,但并不控制应用程序和底层的云基础设施。具体如图2所示。
2 云计算安全分析
在不同的云服务模式中,服务提供商和用户所承担的安全责任是不同的。IaaS涵盖了机房设备、硬件平台、网络、资源虚拟化等层面,IaaS服务提供商需要负责物理和环境安全、网络安全、虚拟化安全等,用户则负责操作系统部署和管理、数据安全和应用安全;PaaS服务提供商除了要解决IaaS层的安全问题之外,还要负责由中间件、数据库、消息队列等功能集成后的平台安全,用户则负责数据安全、应用的部署和管理;SaaS服务提供商除了要解决PaaS层的安全问题之外,还要负责数据安全和应用安全,用户则负责客户端自身的安全。
从上述分析可以看出,云计算的IaaS、PaaS和SaaS服务提供商涉及的信息安全问题包括物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全,其中物理和环境安全、网络安全、平台安全与传统信息系统的相应安全问题基本类似,对于这一类问题,原有的研究相对比较充分,并有相应的安全防范管理机制和技术机制(身份鉴别、访问控制、安全监测、安全审计等),同时也有比较成熟的安全防护产品(防火墙、入侵检测系统、防病毒产品等);而由于云计算采用服务计算模式、动态虚拟化管理方式和多租户共享运营模式,产出了许多传统信息系统未曾面临的安全问题,突出表现在虚拟化安全、数据安全和应用安全等层面。 ⑴ 虚拟化安全
虚拟化作为云计算的核心技术,是将硬件、操作系统和应用程序一同装入一个可迁移的虚拟机文件中,从而提高资源利用率。基于存储资源和服务器资源的高度整合,云计算服务商在向用户提供各项服务的时候,存储计算资源的按需分配、数据之间的安全隔离成为基础要求,这也是虚拟化成为云计算中心关键技术的原因。在这种情况下,安全设备如何适应云计算中心基础网络架构和应用服务的虚拟化,实现基础架构和安全的统一虚拟交付,是云计算环境下安全建设关注的重点[3]。虚拟化安全涉及虚拟化软件安全、虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。
⑵ 数据安全
作为目前对云安全研究最为活跃的组织,云安全联盟(CSA:Cloud Security Alliance)在其《2013年云计算最大威胁》研究报告中指出,前九大云计算安全威胁分别是:数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术漏洞。排名前二位的都是数据安全问题,数据安全涉及数据传输安全、数据存储安全、数据删除安全以及数据备份和恢复、数据访问控制、数据隔离等。
⑶ 应用安全
与传统的操作系统、数据库、C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对信息安全意味着巨大的挑战,因此在云计算中对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初充分考虑到安全性,应该制定并遵循适合SaaS模式的SDL(安全开发生命周期)规范和流程,从整个生命周期来考虑应用安全[4]。云计算应用安全涉及云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等。
3 云计算安全测评框架
3.1 国内外云计算安全实践
近年来,欧美等信息化发达地区和国家在云计算安全治理上进行了有益的探索和实践,如欧盟网络与信息安全局发布了《云计算中信息安全的优势、风险和建议》、《政府云的安全和弹性》、《云计算信息保证框架》三本白皮书[4];并于2012年4月制定出台了《云计算合同安全服务水平监测指南》,从服务的可用性、事故响应、服务弹性与负载公差、数据生命周期管理、技术合规性和漏洞管理、变更管理、数据隔离、日志管理和取证等八个方面对云计算服务提供商的服务水平和质量进行评价。
美国针对云计算启动了联邦风险评估管理计划 (FedRAMP),成立了云计算安全主管部门,授权独立的、有资质的第三方评估机构对云计算服务提供商按不同等级从访问控制、审计和可追溯性、评估和授权、配置管理、身份识别和认证、系统和通信保障、系统和信息完整性等十七个方面进行测评,验证其是否符合相应等级的要求,对符合要求的云计算服务提供商进行认证[5]。到目前为止已有二十二家第三方评估机构获得授权,八个云计算服务提供商已通过第三方评估机构的测评并获得认证。
我国相关部门也高度重视云计算安全问题,目前全国信息安全标准化委员会(TC260)在开展云计算安全方面的研究,承担了多项云计算安全相关的项目,在信安标委内部立了专门对云计算及安全进行研究的课题,并于2011年9月完成《云计算安全及标准研究报告V1.0》。目前正在研究的标准项目为《政府部门云计算安全》和《基于云计算的因特网数据中心安全指南》等[4]。
3.2 云计算安全测评框架的提出
从国内外已开展的云计算安全实践来看,组建由政府主管部门、云计算服务提供商、云计算用户、第三方测评机构等共同参与的云计算安全组织管理体系,组织制定相应的云计算安全标准规范,委托有资质的独立第三方测评机构按照相应的要求进行测评,验证安全防护措施是否到位,对通过测评的云计算服务提供商进行认证,用户从获得认证的名录中选择适合自己的服务提供商,是一种较为有效的云计算安全管理机制。而云计算安全测评标准的制定、测评的实施是其重要组成部分。
从美国启动的云计算联邦风险评估管理计划(FedRAMP)来看,其主要根据NIST SP 800-53定义的安全控制措施,加上解决云计算环境下独特风险的额外控制措施,从管理、操作、技术三个方面测评云计算安全防护的有效性。其中管理包括评估和授权、规划、风险评估、系统和服务采购4个测评大项;操作包括意识和培训、配置管理、应急计划、事件响应、维护、介质保护、物理和环境保护、人员安全、系统和信息完整性9个测评大项;技术包括访问控制、审计和问责、识别和验证、系统和通信保障4个测评大项。
我国尽管还没有正式开展云计算安全测评工作,但近几年在传统信息系统中推行的信息安全风险评估、等级保护测评、分级保护测评工作为云计算安全测评相关标准规范的制定和测评工作的开展奠定了较好的基础。以等级保护测评为例,信息系统按其重要程度分为五级,每一级都从技术和管理两方面进行测评,技术包括物理安全、网络安全、主机系统安全、应用安全和数据安全,安全技术机制主要涉及身份鉴别、访问控制、安全审计、加密和密钥安全等;管理包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
首先,通过对美国将安全措施分为管理、操作、技术三个方面和国内相关信息安全标准将安全措施分为管理和技术二个方面进行对比分析,按照我国自身的思维和实践特点,NIST SP 800-53“操作”类中的大部分内容可归并至“管理”类中,因此总体上考虑云计算信息安全从技术和管理两个方面进行测评。
其次,通过综合分析NIST云服务参考模型以及我国已有的信息安全测评标准对测评内容的层次划分,将云计算安全分为物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全六个层面,其中IaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全三个层面,PaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全、平台安全四个层面,SaaS服务模式涵盖所有六个层面的安全。 第三,通过分析NIST SP 800-53技术类中的识别和验证、访问控制、审计和问责、系统和通信保障四个测评大项,其中“系统和通信保障”中主要考虑的是密码使用和密钥管理等问题,与国内相关信息安全标准中的主要安全技术机制身份鉴别、访问控制、安全审计、加密与密钥安全相对应。因此,身份鉴别、访问控制、安全审计、加密与密钥安全也是云计算安全测评框架中的主要安全技术机制。
第四,通过综合分析NIST SP 800-53中“管理”类、“操作”类测评项以及国内相关信息安全标准关于管理方面的测评内容,将NIST SP 800-53 “操作”类中的“物理和环境保护”归并至物理和环境安全,其他测评项按照我们的思维和工作逻辑归类至安全管理机构、安全管理制度、人员安全管理、风险评估管理、系统运维管理、应急响应管理;同时考虑到云计算的多用户、泛在接入的特点,增加了服务流程管理测评项。
第五,上述技术、管理措施的基础是国家的相关政策、法规和标准。
综上所述,云计算安全测评框架具体如图3所示。
需要强调的是,与传统信息系统安全测评相比,云计算安全测评应特别关注以下几点。
⑴ 虚拟化安全要求
虚拟化为IaaS的核心技术,实现了服务器、存储等的虚拟化,是实现云计算架构的关键基础。云计算服务提供商应制定包含虚拟化服务器及其镜像安全加固、虚拟化服务器隔离、虚拟服务器的迁移、数据销毁、日常运营建设在内的完整流程,其中虚拟化服务器及其镜像安全加固流程应定义为:在虚拟服务器镜像生产流程上加入安全审核环节,以保证虚拟服务器镜像能满足最新的安全要求;虚拟化服务器隔离宜采用具有自主知识产权的虚拟化隔离技术实现不同用户虚拟服务器之间、虚拟服务器和物理服务器之间、虚拟服务器对外部公共网络的访问控制;虚拟服务器的迁移、数据销毁、日常运营建设流程应定义虚拟机服务器在不同物理服务器间迁移时实现对迁移过程实时审计、监控和告警,并采用虚拟服务器自动化故障诊断技术和虚拟服务器自动化迁移技术保证其迁移过程中的数据完整性。
⑵ 数据安全要求
云计算服务提供商应制定数据安全保护策略,定义对数据生命周期中的机密性、完整性、可用性的保护手段。应区分数据所有权和管理权,必须保证云计算服务提供商的系统管理员不得具有私自窃取用户数据的能力。
数据存储必须保证所有的数据包括副本和备份,存储在合同、服务水平协议和法规允许的地理位置,应采用数据分散存储技术来提供高可用性和数据安全保障,如采用数据强制分片和多机架分布存储技术;数据的访问应定义云计算服务提供商访问包含用户数据的云产品的安全访问流程,如采用实时审计、双因素认证等手段实现安全防护和审计追溯;数据备份和恢复必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏;数据隔离必须定期进行隔离控制测试,尤其是随着云平台不断演变,功能和配置变更或病毒库变更;数据的销毁必须采用云端逻辑层面的内存释放和物理层面的磁盘消磁才被视为销毁,云端数据的销毁流程应定义用户退出云端服务或产品后自动销毁用户数据的要求。
⑶ 应用安全要求
云计算服务提供商应制定应用安全开发程序来保证所交付或提供的云产品应用安全,该程序应包含安全需求分析、安全设计、安全编码、代码审计、应用渗透测试、量化改进等流程,其中安全需求分析流程应根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》。通过在开发中使用数据隐私处理等技术来避免应用开发和维护过程中可能出现的数据泄露和非授权访问;安全设计流程应根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》;安全编码流程应参考例如OWASP指南、CERT安全编码等材料编写各类《安全开发规范》,避免开发人员出现不安全的代码;代码审计流程应尽可能使用代码扫描工具并结合人工代码审核,对产品代码进行白盒、黑盒扫描;应用渗透测试流程应在上线前参照例如OWASP标准进行额外的渗透测试;量化改进流程应建立安全运营平台,定期检测应用漏洞、并量化漏洞修复时效。
4 结束语
云计算代表ICT领域向集约化、规模化和专业化道路发展的趋势,是ICT领域正在发生的重大变革。云计算通过软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等模式为用户提供便利、高效、低成本服务的同时,信息安全问题日益突显,已成为制约其发展的重要因素之一。
研究云计算信息安全测评,有助于加速国内云计算基础设施、云计算平台和云计算应用的技术研发和推广。云计算的迅速发展和普及应用,无论是对政府数据,还是对企业数据的安全问题,都会产生极大影响。凡事预则立,不预则废。面对汹涌而来的云计算安全问题,我们有必要未雨绸缪。
参考文献:
[1] Cloud Security Alliance.Security Guidance For Critical Areas of Focus in Cloud Computing,V3.0[R/OL]. [2011-11-20].https://cloudsecurityalliance.org/csaguide.pdf.
[2] 刘戈舟,杨泽明,许俊峰.云计算安全架构、战略、标准与运营[M].机械工业出版社,2013.
[3] 裴小燕,张尼.浅析云计算安全[J].信息通信技术,2012.1:24-28
[4] 王惠莅,杨晨,杨建军.云计算安全和标准研究[J].信息技术与标准化,2012.5:16-19
[5] 王惠莅,杨晨,杨建军.美国云计算安全FedRAMP项目研究[J].信息技术与标准化,2012.8:34-37
关键词: 云计算; 云服务模式; 信息安全; 信息安全测评
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2013)10-22-04
0 引言
当前,全球IT产业正在经历着一场声势浩大的“云计算(Cloud Computing)”浪潮。“云”描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。这些组件可以被迅速策划、配置、部署和退役,并且可以迅速扩充或缩减,提供按需的、效用计算类似的分配和消费模式。云计算是技术和商业模式的双重创新。
云计算的出现并非偶然,早在上世纪60年代,麦卡锡就提出了把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这成为云计算思想的起源。在20世纪80年代网格计算、90年代公用计算、21世纪初虚拟化技术等的支撑下,云计算作为一种新兴的资源使用和交付模式逐渐为学界和产业界所认知。然而一些实际问题仍然可能会把“祥云”变成“乌云”。正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算在带给我们规模经济、高应用可用性益处的同时,其核心技术特点也决定了它在安全性上存在着天然隐患,其特有的数据和服务外包、虚拟化、多租户和跨域共享等特点,带来了前所未有的安全挑战。在已经实现的云计算服务中,安全和个人信息保护问题已经成为阻碍云计算普及和推广的主要因素之一。
1 云计算概况
如同人们用水不需要考虑如何建设水厂和管网、用电不需要自行建设电力基础设施一样,云计算使人们在处理业务、保存数据时,不需要自建应用系统、自购服务器和存储设备,转而通过利用云计算服务提供商的资源实现事务处理和数据保存,消费者只需要为使用这些资源支付费用。
NIST(美国国家标准技术研究院)定义云计算是一个提供便捷的通过互联网访问一个可定制的IT资源共享池能力的按使用量付费模式(IT资源包括网络,服务器,存储,应用,服务),这些资源能够快速部署,并只需要很少的管理工作或很少的与服务供应商的交互[1]。
1.1 云参考架构
当前,NIST定义的云架构得到普遍认同,包括五个关键特征、三个服务模式和四个部署模型[2]。五个关键特征代表了云计算与传统计算模式的关系与差异,分别是①按需自服务、② 宽带接入、③虚拟化的资源池、④快速弹性架构、⑤可测量的服务;云服务的交付可以分为三种基本模式以及不同的衍生组合,三种基本模式分别是①IaaS(Infrastructure as a service):基础设施即服务、②PaaS(Platform as a service):平台即服务、③ SaaS (Software as a service):软件即服务;根据云计算基础设施拥有、管理、使用和部署场所等不同,云计算的四个部署模型是私有云、社区云、公共云和混合云。具体如图1所示。
1.2 云服务参考模型
云计算可以把计算资源(如处理器、硬盘等)提供给用户远程使用;也可把一个运行平台环境提供给用户,用户可以在此平台环境上构建并运行自己的应用;还可把应用软件提供给用户直接使用。对应上述不同层次的服务,云计算的主要服务模式包括:基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。
在IaaS模式下,云计算提供的资源涵盖了机房设备、硬件平台、将资源抽象化并交付连接、一组应用程序接口等层面,用户不仅可以租用数据计算服务、数据存储服务、网络和其他基本计算资源,还能够在上面部署和运行任意软件,包括操作系统和应用程序。用户并不管理或控制底层的处理器、存储、网络等云基础设施,但拥有对操作系统、数据和所部署应用的控制权限。
PaaS位于IaaS之上,又增加了一个层面用以与应用开发框架、中间件、数据库、消息和队列等功能集成,用户可基于此平台开发、测试、部署和管理自己的应用。用户并不管理或控制底层的云基础设施,但可以控制用户自己的应用以及应用程序运行环境的配置。
SaaS位于底层的IaaS和PaaS之上,能够给用户提供某些特定应用功能的软件服务,用户可以获得完整的用户体验,包括内容、展现、应用和管理等。用户通过浏览器等方式访问应用软件,但并不控制应用程序和底层的云基础设施。具体如图2所示。
2 云计算安全分析
在不同的云服务模式中,服务提供商和用户所承担的安全责任是不同的。IaaS涵盖了机房设备、硬件平台、网络、资源虚拟化等层面,IaaS服务提供商需要负责物理和环境安全、网络安全、虚拟化安全等,用户则负责操作系统部署和管理、数据安全和应用安全;PaaS服务提供商除了要解决IaaS层的安全问题之外,还要负责由中间件、数据库、消息队列等功能集成后的平台安全,用户则负责数据安全、应用的部署和管理;SaaS服务提供商除了要解决PaaS层的安全问题之外,还要负责数据安全和应用安全,用户则负责客户端自身的安全。
从上述分析可以看出,云计算的IaaS、PaaS和SaaS服务提供商涉及的信息安全问题包括物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全,其中物理和环境安全、网络安全、平台安全与传统信息系统的相应安全问题基本类似,对于这一类问题,原有的研究相对比较充分,并有相应的安全防范管理机制和技术机制(身份鉴别、访问控制、安全监测、安全审计等),同时也有比较成熟的安全防护产品(防火墙、入侵检测系统、防病毒产品等);而由于云计算采用服务计算模式、动态虚拟化管理方式和多租户共享运营模式,产出了许多传统信息系统未曾面临的安全问题,突出表现在虚拟化安全、数据安全和应用安全等层面。 ⑴ 虚拟化安全
虚拟化作为云计算的核心技术,是将硬件、操作系统和应用程序一同装入一个可迁移的虚拟机文件中,从而提高资源利用率。基于存储资源和服务器资源的高度整合,云计算服务商在向用户提供各项服务的时候,存储计算资源的按需分配、数据之间的安全隔离成为基础要求,这也是虚拟化成为云计算中心关键技术的原因。在这种情况下,安全设备如何适应云计算中心基础网络架构和应用服务的虚拟化,实现基础架构和安全的统一虚拟交付,是云计算环境下安全建设关注的重点[3]。虚拟化安全涉及虚拟化软件安全、虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。
⑵ 数据安全
作为目前对云安全研究最为活跃的组织,云安全联盟(CSA:Cloud Security Alliance)在其《2013年云计算最大威胁》研究报告中指出,前九大云计算安全威胁分别是:数据泄露、数据丢失、账户或服务流量劫持、不安全的接口和API、拒绝服务、恶意的内部人员、云服务的滥用、不够充分的审查、共享技术漏洞。排名前二位的都是数据安全问题,数据安全涉及数据传输安全、数据存储安全、数据删除安全以及数据备份和恢复、数据访问控制、数据隔离等。
⑶ 应用安全
与传统的操作系统、数据库、C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对信息安全意味着巨大的挑战,因此在云计算中对于应用安全,尤其需要注意的是Web应用的安全。要保证SaaS的应用安全,就要在应用的设计开发之初充分考虑到安全性,应该制定并遵循适合SaaS模式的SDL(安全开发生命周期)规范和流程,从整个生命周期来考虑应用安全[4]。云计算应用安全涉及云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等。
3 云计算安全测评框架
3.1 国内外云计算安全实践
近年来,欧美等信息化发达地区和国家在云计算安全治理上进行了有益的探索和实践,如欧盟网络与信息安全局发布了《云计算中信息安全的优势、风险和建议》、《政府云的安全和弹性》、《云计算信息保证框架》三本白皮书[4];并于2012年4月制定出台了《云计算合同安全服务水平监测指南》,从服务的可用性、事故响应、服务弹性与负载公差、数据生命周期管理、技术合规性和漏洞管理、变更管理、数据隔离、日志管理和取证等八个方面对云计算服务提供商的服务水平和质量进行评价。
美国针对云计算启动了联邦风险评估管理计划 (FedRAMP),成立了云计算安全主管部门,授权独立的、有资质的第三方评估机构对云计算服务提供商按不同等级从访问控制、审计和可追溯性、评估和授权、配置管理、身份识别和认证、系统和通信保障、系统和信息完整性等十七个方面进行测评,验证其是否符合相应等级的要求,对符合要求的云计算服务提供商进行认证[5]。到目前为止已有二十二家第三方评估机构获得授权,八个云计算服务提供商已通过第三方评估机构的测评并获得认证。
我国相关部门也高度重视云计算安全问题,目前全国信息安全标准化委员会(TC260)在开展云计算安全方面的研究,承担了多项云计算安全相关的项目,在信安标委内部立了专门对云计算及安全进行研究的课题,并于2011年9月完成《云计算安全及标准研究报告V1.0》。目前正在研究的标准项目为《政府部门云计算安全》和《基于云计算的因特网数据中心安全指南》等[4]。
3.2 云计算安全测评框架的提出
从国内外已开展的云计算安全实践来看,组建由政府主管部门、云计算服务提供商、云计算用户、第三方测评机构等共同参与的云计算安全组织管理体系,组织制定相应的云计算安全标准规范,委托有资质的独立第三方测评机构按照相应的要求进行测评,验证安全防护措施是否到位,对通过测评的云计算服务提供商进行认证,用户从获得认证的名录中选择适合自己的服务提供商,是一种较为有效的云计算安全管理机制。而云计算安全测评标准的制定、测评的实施是其重要组成部分。
从美国启动的云计算联邦风险评估管理计划(FedRAMP)来看,其主要根据NIST SP 800-53定义的安全控制措施,加上解决云计算环境下独特风险的额外控制措施,从管理、操作、技术三个方面测评云计算安全防护的有效性。其中管理包括评估和授权、规划、风险评估、系统和服务采购4个测评大项;操作包括意识和培训、配置管理、应急计划、事件响应、维护、介质保护、物理和环境保护、人员安全、系统和信息完整性9个测评大项;技术包括访问控制、审计和问责、识别和验证、系统和通信保障4个测评大项。
我国尽管还没有正式开展云计算安全测评工作,但近几年在传统信息系统中推行的信息安全风险评估、等级保护测评、分级保护测评工作为云计算安全测评相关标准规范的制定和测评工作的开展奠定了较好的基础。以等级保护测评为例,信息系统按其重要程度分为五级,每一级都从技术和管理两方面进行测评,技术包括物理安全、网络安全、主机系统安全、应用安全和数据安全,安全技术机制主要涉及身份鉴别、访问控制、安全审计、加密和密钥安全等;管理包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
首先,通过对美国将安全措施分为管理、操作、技术三个方面和国内相关信息安全标准将安全措施分为管理和技术二个方面进行对比分析,按照我国自身的思维和实践特点,NIST SP 800-53“操作”类中的大部分内容可归并至“管理”类中,因此总体上考虑云计算信息安全从技术和管理两个方面进行测评。
其次,通过综合分析NIST云服务参考模型以及我国已有的信息安全测评标准对测评内容的层次划分,将云计算安全分为物理和环境安全、网络安全、虚拟化安全、平台安全、数据安全和应用安全六个层面,其中IaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全三个层面,PaaS服务模式涵盖物理和环境安全、网络安全、虚拟化安全、平台安全四个层面,SaaS服务模式涵盖所有六个层面的安全。 第三,通过分析NIST SP 800-53技术类中的识别和验证、访问控制、审计和问责、系统和通信保障四个测评大项,其中“系统和通信保障”中主要考虑的是密码使用和密钥管理等问题,与国内相关信息安全标准中的主要安全技术机制身份鉴别、访问控制、安全审计、加密与密钥安全相对应。因此,身份鉴别、访问控制、安全审计、加密与密钥安全也是云计算安全测评框架中的主要安全技术机制。
第四,通过综合分析NIST SP 800-53中“管理”类、“操作”类测评项以及国内相关信息安全标准关于管理方面的测评内容,将NIST SP 800-53 “操作”类中的“物理和环境保护”归并至物理和环境安全,其他测评项按照我们的思维和工作逻辑归类至安全管理机构、安全管理制度、人员安全管理、风险评估管理、系统运维管理、应急响应管理;同时考虑到云计算的多用户、泛在接入的特点,增加了服务流程管理测评项。
第五,上述技术、管理措施的基础是国家的相关政策、法规和标准。
综上所述,云计算安全测评框架具体如图3所示。
需要强调的是,与传统信息系统安全测评相比,云计算安全测评应特别关注以下几点。
⑴ 虚拟化安全要求
虚拟化为IaaS的核心技术,实现了服务器、存储等的虚拟化,是实现云计算架构的关键基础。云计算服务提供商应制定包含虚拟化服务器及其镜像安全加固、虚拟化服务器隔离、虚拟服务器的迁移、数据销毁、日常运营建设在内的完整流程,其中虚拟化服务器及其镜像安全加固流程应定义为:在虚拟服务器镜像生产流程上加入安全审核环节,以保证虚拟服务器镜像能满足最新的安全要求;虚拟化服务器隔离宜采用具有自主知识产权的虚拟化隔离技术实现不同用户虚拟服务器之间、虚拟服务器和物理服务器之间、虚拟服务器对外部公共网络的访问控制;虚拟服务器的迁移、数据销毁、日常运营建设流程应定义虚拟机服务器在不同物理服务器间迁移时实现对迁移过程实时审计、监控和告警,并采用虚拟服务器自动化故障诊断技术和虚拟服务器自动化迁移技术保证其迁移过程中的数据完整性。
⑵ 数据安全要求
云计算服务提供商应制定数据安全保护策略,定义对数据生命周期中的机密性、完整性、可用性的保护手段。应区分数据所有权和管理权,必须保证云计算服务提供商的系统管理员不得具有私自窃取用户数据的能力。
数据存储必须保证所有的数据包括副本和备份,存储在合同、服务水平协议和法规允许的地理位置,应采用数据分散存储技术来提供高可用性和数据安全保障,如采用数据强制分片和多机架分布存储技术;数据的访问应定义云计算服务提供商访问包含用户数据的云产品的安全访问流程,如采用实时审计、双因素认证等手段实现安全防护和审计追溯;数据备份和恢复必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏;数据隔离必须定期进行隔离控制测试,尤其是随着云平台不断演变,功能和配置变更或病毒库变更;数据的销毁必须采用云端逻辑层面的内存释放和物理层面的磁盘消磁才被视为销毁,云端数据的销毁流程应定义用户退出云端服务或产品后自动销毁用户数据的要求。
⑶ 应用安全要求
云计算服务提供商应制定应用安全开发程序来保证所交付或提供的云产品应用安全,该程序应包含安全需求分析、安全设计、安全编码、代码审计、应用渗透测试、量化改进等流程,其中安全需求分析流程应根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》。通过在开发中使用数据隐私处理等技术来避免应用开发和维护过程中可能出现的数据泄露和非授权访问;安全设计流程应根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》;安全编码流程应参考例如OWASP指南、CERT安全编码等材料编写各类《安全开发规范》,避免开发人员出现不安全的代码;代码审计流程应尽可能使用代码扫描工具并结合人工代码审核,对产品代码进行白盒、黑盒扫描;应用渗透测试流程应在上线前参照例如OWASP标准进行额外的渗透测试;量化改进流程应建立安全运营平台,定期检测应用漏洞、并量化漏洞修复时效。
4 结束语
云计算代表ICT领域向集约化、规模化和专业化道路发展的趋势,是ICT领域正在发生的重大变革。云计算通过软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)等模式为用户提供便利、高效、低成本服务的同时,信息安全问题日益突显,已成为制约其发展的重要因素之一。
研究云计算信息安全测评,有助于加速国内云计算基础设施、云计算平台和云计算应用的技术研发和推广。云计算的迅速发展和普及应用,无论是对政府数据,还是对企业数据的安全问题,都会产生极大影响。凡事预则立,不预则废。面对汹涌而来的云计算安全问题,我们有必要未雨绸缪。
参考文献:
[1] Cloud Security Alliance.Security Guidance For Critical Areas of Focus in Cloud Computing,V3.0[R/OL]. [2011-11-20].https://cloudsecurityalliance.org/csaguide.pdf.
[2] 刘戈舟,杨泽明,许俊峰.云计算安全架构、战略、标准与运营[M].机械工业出版社,2013.
[3] 裴小燕,张尼.浅析云计算安全[J].信息通信技术,2012.1:24-28
[4] 王惠莅,杨晨,杨建军.云计算安全和标准研究[J].信息技术与标准化,2012.5:16-19
[5] 王惠莅,杨晨,杨建军.美国云计算安全FedRAMP项目研究[J].信息技术与标准化,2012.8:34-37