雲計算安全擴展要求
五、安全計算環境
安全計算環境針對雲平台提出了安全控制擴展要求,主要對象為雲平台內部的所有對象,包括網絡設備、安全設備、服務器設備(物理機、虛擬機)、虛擬機鏡像、虛擬機監視器、應用系統、數據對象和其他設備等;涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、鏡像和快照保護、數據完整性、數據保密性、數據備份與恢復、剩余信息保護。
控制點
1.
身份鑒別
雲服務商依據訪問者的身份信息為其賦予相應的權限,從而允許其訪問相應的功能,保護資源不被非法利用。因此,身份鑒別是雲計算環境的首要安全機制,也是用戶進行操作、雲服務商提供服務的基本前提。
a)
安全要求:當遠程管理雲計算平台中設備時,管理終端和雲計算台之間應建立雙向身份驗證機制。
要求解讀:認證是驗證或確定用戶提供的訪問憑證是否有效的過程,是網絡安全第一道防線。在遠程管理雲計算平台中的設備時,雙向認證有助於保證雙向安全,有效地防止重放攻擊和拒絕服務攻擊。雙向認證能夠保證終端不會被偽裝的服務器攻擊,雲計算平台不會被非法入侵,大大地提高了雲計算平台和終端設備連接的安全性。
檢查方法
1.訪談系統管理員,了解在遠程管理雲計算平台的設備時管理終端和雲計算平台之間采用的身份驗證機制是怎樣的。
2.核查並驗證雙向身份驗證機制是否有效。
期望結果
1.認證方式為雙向身份驗證機制;
2.統一身份認證中心對接入網絡的所有用戶進行身份認證。
控制點
2.
訪問控制
安全計算環境中的訪問控制是一種基於預定模型和策略對資源訪問過程進行實時控制的技術。訪問控制為經過身份認證的合法用戶提供所需要的、經過授權的服務,並拒絕用戶的越權服務請求,訪問控制除了負責對資源進行訪問控制,還負責對訪問控制策略的執行過程進行追蹤審計。
a)
安全要求:應保證當虛擬機遷移時,訪問控制策略隨其遷移。
要求解讀:虛擬機遷移包括不同雲平台之間的遷移,以及將雲平台中的服務器、應用和數據遷移至本地。若缺乏安全保障措施,則監聽者不僅可能通過監聽源服務器與目標服務器間的網絡獲得遷移過程中的全部數據,還可能修改傳輸的數據,植入惡意代碼,從而控制虛擬機。因此,為保證虛擬機遷移安全,可以進行加密傳輸,或通過鏈路加密模式同時遷移訪問控制策略,以防止未授權的訪問。
檢查方法
1.訪談管理員,了解是否對虛擬機進行了遷移,以及采取的遷移方式是什么。
2.檢查在虛擬機遷移過程中是否已將控制策略隨遷,查看遷移記錄。
期望結果
能夠提供虛機遷移前后安全組策略的對比截圖。
b)
安全要求:應允許雲服務客戶設置不同虛擬機之間的訪問控制策略。
要求解讀:雲平台在同一時間段內會承載多個或大量的的租戶。若租戶的虛擬機之間沒有有效的訪問控制策略,就可能導致虛擬機之間的非法訪問、租戶數據泄露等。在多租戶環境下,多個用戶共享計算、存儲、網絡等虛擬資源,若共享模塊存在漏洞,租戶就可能對其他租戶的資源發起攻擊,或者對自己的其他資源(例如虛擬機)進行攻擊。因此,在雲計算環境中,多個租戶或同一租戶的不同虛擬機應配置有效的訪問控制策略。
檢查方法
1.訪談系統管理員,了解在不同虛擬機之間是否允許配置訪問控制策略。
2.核查訪問控制策略是否真實、有效。
期望結果
能夠提供安全組、雲防火牆的訪問控制策略。
控制點
3.
入侵防范
入侵防范是一種主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護。安全計算環境層面的入侵防范是指計算環境受到危害之前對入侵行為進行攔截和響應,對虛擬網路、虛擬機進行實時監測和保護,從而提升安全防護能力。
a)
安全要求:應能檢測虛擬機間的資源隔離失效,並進行告警。
要求解讀:虛擬機和宿主機共享資源。若虛擬機間的資源(CPU、內存和存儲空間)隔離失效,雲服務商未采取相應的措施檢測惡意行為且沒有告警措施,就可能導致虛擬機非法占用資源,使其他虛擬機無法正常運行。因此,應對虛擬機間的資源隔離進行實時監控,並在檢測到異常情況時進行告警,從而降低虛擬機出現異常的可能性。
檢查方法
1.訪談系統管理員,了解對虛擬機資源采取的隔離措施。
2.核查是否已對虛擬機資源進行監控,是否能夠檢測到虛擬機資源隔離失效的狀況並進行告警。
期望結果
能夠提供虛擬機資源監控、隔離措施,以及入侵告警方式和記錄。
b)
安全要求:應能檢測非授權新建虛擬機或者重新啟用虛擬機,並進行告警。
要求解讀:規范虛擬機的管理操作,可以強化虛擬化環境的安全性。所有的虛擬機新建或重啟操作都應由系統管理員來進行。若某些用戶(例如開發人員、測試人員)需要重啟虛擬機,則應通過系統管理員進行操作或授權。為避免和及時發現虛擬機的非授權創建或重啟操作,應對所有虛擬機的運行狀態進行檢測,並提供異常告警機制。
檢查方法
1.核查非授權用戶是否有權限新建或重啟虛擬機(應為否)。
2.訪談管理員,了解是否已采取相關措施對虛擬機新建或重啟操作進行監視,並對虛擬機新建或重啟行為進行安全審計。
3.核查安全監視工具是否能對虛擬機新建或重啟等操作進行告警。
期望結果
能夠提供新建或重啟虛擬機的授權機制,已部署安全監視工具對新建或重啟虛擬機等操作進行監視、審計,能夠提供違規啟停客戶虛擬機的數據安全審計記錄,能夠提供告警方式及相關記錄。
c)
安全要求:應能夠檢測惡意代碼感染及在虛擬機間蔓延的情況,並進行告警。
要求解讀:感染惡意代碼可能導致虛擬機無法正常運行或被非法利用。虛擬機被非法利用后,可能被當成跳板機,若未采取有效的虛擬機隔離措施,則可能導致惡意代碼在宿主機或虛擬機之間蔓延,從而破壞整個雲環境。因此,應對整個雲平台進行惡意代碼檢測,防止惡意代碼入侵,並對惡意代碼的感染和蔓延情況進行監測、報警,從而有效降低惡意代碼感染的風險和損失。
檢查方法
1.核查是否部署了用於對虛擬機進行惡意代碼進行檢測、告警的安全產品或服務。
2.核查是否已采取虛擬機隔離或其他技術手段有效防止病毒蔓延至整個雲環境。
3.核查是否已采用相關安全措施檢測惡意代碼在虛擬機之間的蔓延並進行告警。
期望結果
部署了能對惡意代碼感染及蔓延情況進行檢測、記錄、分析、告警的安全防護產品。
控制點
4.
鏡像和快照保護
鏡像是雲服務器(ECS)實例運行環境的模板,一般包括操作系統和預裝軟件。快照是指在某一時間點上某個磁盤的數據備份。當用戶目標數據源損壞或數據丟失時,鏡像可用於迅速恢復所有數據,快照可用於恢復到最近的一個快照上。因此,對鏡像和快照的保護,能夠保證業務的連續性。
a)
安全要求:應針對重要業務系統提供加固的操作系統鏡像或操作系統安全加固服務。
要求解讀:應進行操作系統安全加固,關閉非必要的端口、協議和服務,減少系統的攻擊面。在雲環境中,所有的操作系統均需進行安全加固處理,操作系統僅提供必要的端口、協議和服務以滿足業務需求。防惡意代碼軟件、文件完整性監控機制、日志記錄均應作為基本的操作系統加固需求。通過安全加固,可提升服務器的安全性,防御外來用戶和木馬病毒對服務器的攻擊,保護雲平台和雲用戶的安全。應基於業內最佳實踐,參考國際標准規范,形成操作系統安全加固指南或手冊,應用到鏡像或操作系統中,並及時對訪問權限進行限制。
檢查方法
1.核查雲服務商是否提供了操作系統安全加固基線或相關安全加固服務。
2.核查安全加固基線是否合規,是否定期對安全加固基線進行更新。
期望結果
雲服務商能夠提供經過加固的操作系統鏡像。
b)
安全要求:應提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改。
要求解讀:虛擬機鏡像、快照,無論是在靜止狀態,還是在運行狀態,都有被竊取、篡改或替換的危險,攻擊者可能是黑客,也可能是雲服務商的員工。若虛擬機鏡像、快照的完整性無法得到保證,就可能面臨非法篡改、惡意代碼植入、安全合規配置非授權更改等問題,使系統在虛擬機部署和運行時遭受攻擊。虛擬機鏡像、快照的完整性主要通過哈希校驗的方式實現,一旦發生變化,哈希值就會改變。因此,應在使用虛擬機鏡像或快照前進行完整性校驗,以保證其未遭受非授權的更改。在對虛擬機進行補丁更新或安全配置更改時,都應進行審計記錄並報警。一旦得到虛擬機鏡像、快照的完整性驗證結果,應立即通過短信、電子郵件等方式告知用戶。
檢查方法
1.核查是否已對通過快照功能生成的鏡像文件或快照文件進行完整性校驗,是否有嚴格的校驗記錄機制來防止虛擬機鏡像或快照被惡意篡改。
2.測試驗證是否能夠對鏡像、快照進行完整性驗證。
期望結果
已提供ECS、虛擬機鏡像和快照的完整性校驗機制,並有相關的記錄和結果。
c)
安全要求:應采取密碼技術或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。
要求解讀:數據加密技術是最基本的安全技術,被譽為信息安全的核心。如果采用密碼技術將信息轉換為密文,那么在存儲或傳輸過程中,即使密文被非授權人員獲得,也可以保證信息不為非授權人員所知。采用密碼技術對虛擬機鏡像、快照進行加密,可有效保證鏡像、快照中的敏感數據的安全性。此外,通過訪問控制的方式限制用戶對虛擬機鏡像、快照的非法訪問,也可以保證其安全性。
檢查方法
1.核查是否已對虛擬機鏡像、快照進行加密以及采用何種加密技術。
2.核查是否采用訪問控制或其他措施對虛擬機鏡像、快照進行保護。
期望結果
- 已采用加密技術對虛擬機鏡像、快照進行加密。
- 已通過訪問控制的方式限制虛擬機鏡像、快照被非法訪問。
控制點
5.
數據完整性和保密性
數據完整性要求數據不會受到各種原因造成的破壞,數據保密性要求數據不被泄露給未授權的用戶。雲計算環境中,用戶大量數據集中在雲中,存儲設備是共享的。因此,保證數據安全的基本目標就是要確保數據的安全屬性,即完整性、保密性和可用性。
a)
安全要求:應確保雲服務客戶數據、用戶個人信息等存儲於中國境內,如需出境應遵循國家相關規定。
要求解讀:《網絡安全法》第三十七條規定,基礎設施運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。為滿足《網絡安全法》的要求,雲服務商提供的存儲機制應保證雲服務客戶數據、用戶個人信息等存儲於中國境內;若需出境,則應當符合國家的相關規定。
檢查方法
1.查閱相關文檔,了解雲服務客戶數據的存儲方式,核查用於存儲客戶業務數據、用戶個人信息等的服務器節點及與其存儲相關的設備是否部署在中國境內的機房中。
2.核查客戶業務數據、用戶個人信息等數據是否存在出境的情況,是否依據國家相關規定制定了數據出境的規定。
期望結果
1.機房部署及數據存儲位置均位於中國境內。
2.制定了雲上數據出境的相關規定且內容符合國家相關要求。
b)
安全要求:應確保只有在雲服務客戶授權下,雲服務商或第三方才具有雲服務客戶數據的管理權限。
要求解讀:為避免雲客戶數據被非法訪問,應對數據的管理權限進行控制,僅允許雲服務客戶管理員訪問。若其他用戶(雲服務商或第三方用戶)需對數據進行管理,必須由雲服務客戶進行授權。
檢查方法
1.核查雲服務客戶的數據訪問授權機制,例如授權流程、授權方式及授權內容。
2.核查雲計算平台是否有雲服務客戶數據的管理權限,以及是否具有相關的授權證明。
期望結果
雲服務客戶根據根賬戶創建子賬號供雲服務商或第三方使用,雲服務客戶可以對子賬號進行授權和收回。
c)
安全要求:應使用校驗碼或密碼技術確保虛擬機遷移過程中重要數據的完整性,並在檢測到完整性受到破壞時采取必要的恢復措施。
要求解讀:為確保虛擬機遷移后業務能夠正常切換和迅速運行,必須確保數據在遷移過程中的完整性。因此,雲服務商應對遷移過程中的數據提供完整性校驗措施或手段,並在發現數據完整性遭到破壞時提供恢復措施,以保證遷移后虛擬機的正常運行。
檢查方法
1.核查在虛擬機遷移過程中是否使用了校驗碼或密碼技術。
2.測試驗證所使用的校驗碼或密碼技術是否能夠保證數據在遷移過程中的完整性。
3.核查是否能在數據完整性受到破壞時提供相應的恢復手段以保證業務正常運行。
期望結果
雲服務商提供的虛擬機遷移技術,能保證遷移過程通過密碼機加密傳輸、實現源機與目標機的數據同步及業務的正常切換。
d)
安全要求:應支持雲服務客戶部署密鑰管理解決方案,保證雲服務客戶自行實現數據的加解密過程。
要求解讀:在雲計算環境中,雲服務商和和用戶對密鑰管理系統具有不同的所有權和控制權。在雲服務中,數據的所有權屬於雲服務客戶,而數據保存在由雲服務商控制的存儲資源內。為保證雲用戶數據的機密性,雲服務客戶可自行部署或采用雲服務商提供的密鑰管理解決方案實現數據加解密。雲服務商應支持雲客戶部署密鑰管理解決方案,保證雲服務客戶能夠自行實現數據的加解密過程。
檢查方法
1.核查雲服務客戶是否已部署密鑰管理解決方案。
2.核查雲服商為雲服務客戶提供的密鑰管理解決方案。
3.查閱密鑰管理解決方案的相關文檔,核查部署的密鑰解決管理方案是否能夠保證雲服務客戶自行實現數據的加解密過程。
期望結果
雲服務商或雲服務客戶部署了經國家密碼管理局檢測認證的硬件加密機,雲服務客戶借助此服務實現對加密密鑰的完全控制及數據加解密操作。
控制點
6.
數據備份與恢復
數據丟失會對客戶業務造成重大影響,在雲服務中,用戶數據存儲在雲中,會增加用戶對這一安全問題的憂慮。數據的丟失,后果可能是災難性的,甚至引發社會工程學問題。因此,在雲計算環境中,數據備份恢復尤為重要。數據能否快速恢復關系到企業業務能否正常運行。為避免數據無法及時恢復給企業帶來的損失,不僅需要定期備份數據,還需進行定期進行數據恢復演練。
a)
安全要求:雲服務客戶應在本地保存其業務數據的備份。
要求解讀:在雲服務中,大部分用戶數據存儲在雲中,存在一定的安全風險。因此,雲用戶(租戶)應將業務數據備份保存在本地,以防止數據意外丟失。
檢查方法
1.核查雲服務商是否支持雲服務客戶將數據備份保存在本地。
2.核查雲服務客戶是否已在本地保存業務數據備份。
期望結果
-
雲服務商能夠提供支持雲客戶將數據備份保存在本地的開放API的說明。
-
雲服務商支持雲服務客戶在本地保存業務數據備份和進行轉存,並有數據備份的相關記錄。
b)
安全要求:應提供查詢雲服務客戶數據及備份存儲位置的能力。
要求解讀:在雲環境中,大量用戶數據存儲在不同的物理位置,供應用程序及操作系統使用。在公有雲、私有雲、混合雲中,數據都可能發生移動,其存儲地點可能位於同一數據中心的不同服務器或不同的數據中心。因此,雲服務商應為雲服務客戶提供數據及備份存儲位置查詢服務。
檢查方法
1.核查雲服務商是否提供了查詢數據及備份存儲位置的接口。
2.測試驗證是否能夠查詢用戶數據及備份的儲存位置。
期望結果
-
能夠提供ECS查詢實例所在物理機房的截圖。
-
能夠提供RDS(關系型數據庫服務)查詢實例所在宿主機的機房位置的截圖
-
能夠提供OSS(運營支撐系統)查詢Buket所在服務器和資產系統查詢此服務器所在機房地址的說明。
c)
安全要求:雲服務商的雲存儲服務應保證雲服務客戶數據存在若干個可用的副本,各副本之間的內容應保持一致。
要求解讀:雲服務商為雲服務客戶提供雲存儲服務模式對用戶數據進行備份,並將多個副本存在不同的服務節點。為降低成本,雲服務商可能會減少數據備份量。網絡攻擊則可能使多副本出現數據不一致的問題。為了確保備份數據的可用性、正確性和一致性,應定期核查數據是否由多個副本存儲,並對多個副本數據的完整性進行檢測,確保各副本數據的完整性和一致性。
檢查方法
1.核查雲服務商為雲服務客戶提供的雲存儲模式是否由多個副本存儲,以及各副本是否均可用。
2.核查是否對多個副本進行了一致性比對,以及是否有比對記錄。
期望結果
有雲服務商提供的數據存儲說明,以及副本一致性比對機制及比對記錄和結果。
d)
安全要求:應為雲服務客戶將業務系統及數據遷移到其他雲計算平台和本地系統提供技術手段,並協助完成遷移過程。
要求解讀:雲服務商應為雲服務客戶提供遷移服務,以保證雲服務客戶的業務系統和有關數據能夠遷移到新的服務器上正常運行。雲服務商應為雲服務客戶提供遷移全程協助,保證遷移活動順利完成,確保數據在遷移過程中的完整性。
檢查方法
1.核查雲服務商是否支持雲服務客戶業務系統及數據的遷移,以及雲服務商是否為雲服務客戶完成遷移提供了幫助。
2.核查雲服務商提供的遷移措施和手段。
期望結果
有關於遷移服務的說明及對雲服務商所提供的協助的說明。
控制點
7.
剩余信息保護
剩余信息是指雲計算資源的殘余信息,其保護是指確保任何資源的任何殘余信息內容在資源分配或釋放時對於所有的客體都是不可再利用的。應及時對剩余信息進行清除,以防止對剩余信息的未授權使用與訪問。
a)
安全要求:應保證虛擬機所使用的內存和存儲空間回收時得到完全清除。
要求解讀:當用戶退出雲服務時,用戶釋放內存和存儲空間后,雲服務商需要徹底刪除用戶的數據,避免發生數據殘留。數據殘留是指存儲介質中的數據被刪除后,並未徹底清除,在存儲介質中留下了數據存儲的痕跡。殘留的數據信息可能被攻擊者非法獲取,造成嚴重損失。一般來說,在數據銷毀時可以采用覆蓋、消磁、物理破壞等方法。雲服務商應保證用戶虛擬機釋放的內存和存儲空間中的數據被完全刪除並采用完全清除機制。
檢查方法
1.核查在遷移或刪除虛擬機后回收內存和存儲空間時采用的刪除機制是否能夠完全清除數據。
2.核查內存清零機制、數據刪除機制,檢測其是否能夠實現數據的完全清除。
期望結果
各雲租戶之間的內存和持久化存儲空間相對獨立,當雲租戶釋放資源時能夠被釋放和清除(內部系統鑒別信息被完全清除),當物理硬盤報廢時使用隨機數據多次寫入的方法進行數據寫入和清除。曾經存儲過用戶數據的內存和磁盤一旦被釋放和回收,其上的殘留信息將被自動填零覆蓋,釋放的存儲空間由分布式文件系統回收,禁止任何用戶訪問,並在被再次使用前進行內容擦除,從而最大限度保證用戶數據的安全性。
b)
安全要求:雲服務客戶刪除業務應用數據時,雲計算平台應將雲存儲中所有副本刪除。
要求解讀:為防止業務數據意外丟失,雲客戶業務數據在雲上一般采用多副本的方式存儲。當雲服務客戶刪除業務數據時,應采取數據清除機制將雲存儲中的所有副本刪除。
檢查方法
核查雲服務客戶在刪除業務數據時采用的刪除機制是否能夠將雲存儲中的所有副本刪除。
期望結果
刪除機制能夠保證雲服務客戶的業務數據被刪除時雲存儲中的所有副本都被刪除。