雲計算安全擴展要求
四、安全區域邊界
盡管雲計算環境具有無邊界性、分布式的特性,但每一個雲數據中心的服務器仍然是局部規模化集中部署的。通過對每個雲數據中心分別進行安全防護,可以實現雲基礎設施邊界安全。通過在雲計算服務的關鍵節點和服務入口處實施重點防護,可以實現從局部到整體的嚴密聯防。
安全區域邊界針對雲計算環境物理網絡邊界和虛擬網絡邊界提出了安全控制擴展要求,主要對象為物理網絡邊界、虛擬網絡邊界等;涉及的安全控制點包括訪問控制、入侵防范和安全審計。
控制點
1.
訪問控制
安全區域邊界側的訪問控制是指通過技術措施防止越過網絡安全邊界進行未授權的訪問,確保通過網絡邊界的訪問都是合法訪問。在雲計算網絡邊界安全方面,訪問控制主要是通過在網絡邊界及各網絡區域間部署訪問控制設備(如VPC、雲防火牆、邊界防火牆等),在訪問控制設備上制定特定的訪問控制策略,依據策略執行連接操作來實現。
a)
安全要求:應在虛擬化網絡邊界部署訪問控制機制,並設置訪問控制規則;
要求解讀:位於雲平台邊界外、雲平台缺乏或缺失控制和管理的網絡環境,被認為是不可信網絡,與之對應的是雲平台所管理和控制的內部可信網絡,在可信與不可信網絡間實施有效的安全控制,對於網絡安全來說至關重要。通常使用虛擬防火牆進行可信與不可信網絡間的連接控制,通過防火牆的訪問控制策略配置,僅允許必要的流量通過,而其他流量均被禁止。虛擬網絡邊界主要包括雲計算平台和雲服務客戶業務系統虛擬網絡邊界、不同雲服務客戶間的網絡訪問邊界、雲服務客戶不同安全保護等級業務系統間的網絡邊界。可以防止攻擊者通過未授權的IP地址訪問可信網絡,或者以未授權的方式訪問服務、協議或端口。
檢查方法
1.了解雲計算平台的虛擬網絡邊界采用的訪問控制機制,並核查訪問控制規則;
2.核查並測試驗證訪問控制規則是否有效。
期望結果
1.通過VPC設置訪問控制規則,安全組能夠實現靈活的訪問控制規則;
2.雲防火牆提供了針對應用層訪問的檢測能力,內置威脅入侵防御模塊(IPS),支持失陷主機檢測、主動外聯行為阻斷、業務間訪問關系可視,集中管理EIP,支持基於IP和端口的訪問控制,支持基於域名和應用的策略。
b)
安全要求:應在不同等級的網絡區域邊界部署訪問控制機制,設置訪問控制規則。
要求解讀:雲平台邊界、雲平台內網絡區域邊界、雲服務客戶不同業務邊界將網絡划分為不同等級的安全域,結合邊界訪問控制技術可以實現整個系統的縱深防御,可以降低未授權訪問或運行環境變更的風險。因此應在不同等級的網絡區域邊界部署訪問控制設備,設置訪問控制規則。
檢查方法
1.查閱網絡拓撲圖,核查網絡安全區域划分情況;
2.核查各網絡區域邊界采用的安全控制機制,查看訪問控制列表;
3.核查訪問控制規則是否有效,測試驗證是否能夠拒絕不同區域間的非法訪問。
期望結果
1. 在不同等級的網絡區域邊界部署了邊界防火牆、雲防火牆和VPC,並且設置了訪問控制規則。2. 在雲平台的內部采用VPC進行隔離,在VPC之間通過雲防火牆實現了東西向流量的隔離。
控制點
2.
入侵防范
入侵防范技術可以保障網絡環境的安全,入侵檢測技術是一種積極主動的安全防護技術,能夠及時發現各種攻擊企圖、攻擊行為或攻擊后果,以保證網絡系統資源的機密性、完整性和可用性,入侵檢測技術應用於雲計算環境中,能夠為雲計算的安全性和可靠性提供強大的保護。
a)
安全要求:應能檢測到雲服務客戶發起的網絡攻擊行為,並能記錄攻擊類型、攻擊時間、攻擊流量等;
要求解讀:雲平台應能夠對雲服務客戶端發起的訪問進行入口流量鏡像分析,對東西向、南北向的攻擊行為進行深入分析,並結合相關的雲安全產品對異常流量進行處理,記錄攻擊類型、攻擊時間、攻擊流量等。
檢查方法
1.訪談雲服務商,了解雲平台是否已采取入侵防范措施(如部署抗APT攻擊系統、網絡回溯系統、網絡入侵保護系統等入侵防范設備或相關組件),是否能夠對雲服務客戶發起的網絡攻擊行為進行檢測和報警。
2.檢查相關入侵檢測產品規則庫的更新是否及時,對異常流量和未知威脅的監控策略、報警策略是否有效。
3.檢查相關入侵檢測產品的技術白皮書及銷售許可證。
期望結果
1.雲平台部署了流量安全監控設備,能通過對雲入口鏡像流量包的深度解析實時檢測各種攻擊和異常行為。
2.在虛擬機層面,部署了防惡意代碼軟件(如阿里雲安騎士)進行基線檢查,已對惡意文件進行掃描、對惡意進程進行查殺,提供了入侵檢測功能,規則庫定期更新。
3.部署了主機入侵檢測系統,能實時檢測雲環境中的所有物理服務器主機,並能及時發現文件篡改、異常進程、網絡連接異常、可疑端口監聽等情況,規則庫定期更新。
4.部署了態勢感知系統,能從攻擊者的角度有效地捕捉高級攻擊者使用的0Day及新型病毒攻擊事件,展示正在發生的攻擊行為,實現了業務安全的可視化和可感知,解決了因網絡攻擊導致的數據泄露問題,並能通過溯源服務追蹤攻擊者的身份。
b)
安全要求:應能檢測到對虛擬網絡節點的網絡攻擊行為,並能記錄攻擊類型、攻擊時間、攻擊流量等。
要求解讀:在雲計算服務的關鍵節點(例如虛擬網絡節點的出入口)實施安全防護,部署應用層防火牆、入侵檢測和防御設備、流量清洗設備(提升對網絡攻擊防范能力),對虛擬網絡節點的網絡攻擊行為進行檢測,並記錄攻擊類型、攻擊時間、攻擊流量等。
檢查方法
1.檢查是否部署了網絡攻擊行為檢測設備,或者相關組件能否對虛擬網絡節點的網絡攻擊行為進行防范,是否能記錄了攻擊類型、攻擊時間、攻擊流量等。
2.檢查網絡攻擊行為檢測設備或相關組件的規則庫是否為最新版本。
3.測試驗證網絡攻擊行為檢測設備或相關組件對異常流量和未知威脅的監控策略是否有效。
期望結果
1.能夠通過部署的流量安全監控設備對雲入口鏡像流量包進行深度解析,實時檢測各種攻擊和異常行為。
2.部署了入侵檢測設備並有相關攻擊行為的原始日志,當檢測到攻擊行為時能在本地生成告警日志並將其保存至日志服務(Log Service)。
c)
安全要求:應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。
要求解讀:為避免異常流量影響虛擬機與宿主機的正常運行,及虛擬機與宿主機、虛擬機與虛擬機間的通信,應部署流量監測設備、入侵防護系統等,對虛擬機與宿主機、虛擬機與虛擬機之間的流量進行實時監測。
檢查方法
1.了解雲計算平台是否具備虛擬機與宿主機、虛擬機與虛擬機之間的異常流量監測功能;
2.查看異常流量的監測策略,測試驗證對異常流量的監測策略是否有效。
期望結果
虛擬機與虛擬機之間通過雲防火牆,虛擬機與宿主機之間通過流量安全監控系統對流量進行監測,在發現異常流量時能進行告警,並將告警日志同步到日志管理平台進行統一分析。
d)
安全要求:應在檢測到網絡攻擊行為、異常流量情況時進行告警。
要求解讀:應部署流量監測設備、入侵防護系統等對網絡流量進行分析、檢測,在檢測到網絡攻擊行為、異常流量時提供告警機制,及時告知相關人員,避免網絡攻擊行為、異常流量影響系統的正常運行。
檢查方法
1.檢查網絡入侵檢測設備有哪些。
2.檢查在檢測到網絡攻擊行為、異常流量時是否能進行告警,查看相關告警記錄。
3.測試驗證異常流量監測策略是否有效。
期望結果
1.流量安全監控系統具備相關告警功能,包括本地日志告警、短信告警、郵件告警等。
2.主機入侵檢測系統能實時檢測雲環境中的所有物理服務器主機,及時發現文件篡改、異常進程、異常網絡連接、可疑端口監聽等行為。
3.雲防火牆通過流量的可視化來甄別出端口濫用情況、協助甄別流量是否安全,在檢測到異常情況時可以進行短信或郵件告警。
控制點
3.
安全審計
在雲計算環境下,建立完善的日志系統和審計系統,可以實現對資源分配、角色授權、角色登錄后的操作行為的審計,提高系統對安全事故的審查和恢復能力。
a)
安全要求:應對雲服務商和雲服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟;
要求解讀:特權命令的操作可能超越系統、實體、網絡、虛擬機和應用的控制,因而,針對特權命令,應對其執行進行嚴格控制,對其使用加以限制並嚴格控制,對其操作進行審計,防止出現濫用特權命令的情況。
檢查方法
1.了解是否已對特權命令的執行進行授權,是否已部署審計工具對雲服務商和雲服務客戶執行特權命令的行為進行審計。
2.核查審計記錄是否有效,以及審計記錄是否包括虛擬機刪除、虛擬機重啟。
3.測試驗證刪除或重啟測試虛擬機的行為是否能夠被審計。
期望結果
能夠提供完整的審計回放和權限控制服務,能夠對操作過程進行實時監控,支持以切斷操作會話的方式阻斷違規操作等異常行為。
b)
安全要求:應保證雲服務商對雲服務客戶系統和數據的操作可被雲服務客戶審計。
要求解讀:雲服務商應在雲服務客戶授權后才能夠訪問雲服務客戶的系統和數據。為避免雲服務商的惡意訪問,規避和及時發現違規操作,雲服務客戶應對雲服務商的操作行為進行審計。
檢查方法
1.訪談雲服務商,了解其是否能訪問雲服務客戶的系統和數據。
2.了解是否采取了相關的審計機制,以及是否能夠記錄雲服務商對雲服務客戶的系統和數據的操作,並核查審計記錄的有效性。
期望結果
如果雲服務商要對雲服務客戶的系統進行操作,就需要提交工單並使用雲服務客戶提供的賬戶,且相關操作行為能夠通過雲服務客戶的管理平台進行審計。