目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,在《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》进行了扩展,形成了云计算安全扩展要求(以下简称“云等保”)。
云计算:云计算本质是一种服务模式,是指通过网络提供计算资源服务的模式,在该模式下,用户按需动态自助供给、管理各类计算资源。
云服务方:云计算服务的供应方,如各类公有云、行业云的服务商;
云租户:租用或使用云计算资源的客户;
云计算平台:云服务方提供的云计算基础设施及其上的服务软件的集合;
而云计算平台和云环境系统共同组成了云计算环境;
云计算分为三种云服务模式:IaaS、PaaS、SaaS;
IaaS基础设施即服务
云服务方向云租户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式
PaaS平台即服务
SaaS软件即服务
云服务方向云租户提供运行在云基础设施之上的应用软件的服务模式。
在不同的云计算服务模式中,云服务方和云租户拥有不同的控制范围,控制范围则决定了安全责任的边界。
这里列举了不同服务模式下云服务方和云租户的安全责任;
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
而对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
同时云计算平台不承载高于其安全保护等级的业务应用系统;
云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云租户不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址;对于云租户来说,应当在云租户云环境系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
我们梳理了云等保的整个流程,并给出了各个角色的职责和阶段任务。
其中对于云服务商,一方面需要对自己的云平台进行定级、备案、建设整改、测评等一系列流程,还需给云租户提供必要的支撑,包括云服务商安全资质、通过测评的证明材料等。
前面也提到,对于大型云计算平台,很难确定云平台的具体物理地址,虽然按照云计算的定义,云客户(云租户)通常不必知晓和控制资源的确切物理位置,但应能够在一个更高的抽象层次上(比如说国家、州或者数据中心)指定资源位置。
在云等保中也明确要求:
基础设施位于境内:云计算基础设施位于中国境内;
数据存储于境内:云等保数据保密性要求从二级开始加入“确保云租户账户信息、鉴别、系统信息存储于中国境内。”
云平台的安全是云计算环境安全稳定运行的基础,云等保对于云平台的安全要求,总结有三点:
云计算运用了虚拟化等技术将资源量化进行重新分配并交付给用户,资源的有效隔离非常重要,之前影响全球的Intel处理器Meltdown及Spectre漏洞在云环境下就会产生极大的影响;
云等保对于云计算环境下资源隔离的要求,总结如下:
1、应对虚拟机逃逸行为进行检测和告警;
2、禁止虚拟实例直接访问宿主机上的物理硬件;
3、不同虚拟机之间的虚拟CPU指令隔离;
4、应保证分配给虚拟机的内存空间仅供其独占访问;
5、应根据云租户业务系统的重安全等级划分网络安全区域并设置区域间访问控制规则;
6、应保证云平台管理流量与云租户业务流量分离;
7、应保证虚拟机仅能迁移至相同安全保护等级的资源池
数据安全是网络安全永恒的话题,云计算环境中数据存储在云平台中,对数据的感知、迁移及数据保密性、可用性、完整性都有更高层次的要求:
1、用户可感知
应提供查询云租户数据及备份存储位置的方式;
2、用户可迁移
应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统;
3、虚拟机安全
确保虚拟机迁移过程中的完整性保护和信息防泄漏
4、镜像安全
对虚拟机快照文件进行保密性保护
传统系统在进行等级保护测评时依据《安全通用要求》,云系统依据《安全通用要求》+《云计算安全扩展要求》,在测云服务方的云计算平台上的定级系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云计算平台的部分指标;在测云租户业务应用系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云租户业务系统的部分指标。也从机制上鼓励云服务方努力加强云平台自身的安全防护,也使得云租户在选择云平台的时候不要只考量经济成本,尽量选择安全防护更好的云计算平台。