《信息系统安全等级保护》目前规划了五个分册,第一分册是“基本要求”,第二个分册是“云计算安全技术要求”,其余分册的内容如图1所示,第一分册是其他分册的基础,其他四个分册都是针对不同领域,对第一分册的更新和补充。
图1 信息安全技术 信息安全等级保护标准整体结构图
图2 云计算安全技术要求框架图
从云计算安全技术要求框架图中可以看出,整体框架与《第一分册 基本要求》保持一致,并且在技术要求中,“物理安全”内容参照《第一分册 基本要求》执行,包括它技术要求和管理要求内容。从内容条款中也可以看出,《第二分册 云计算安全技术要求》本身不是一项新的云计算安全标准,只是对《第一分册 基本要求》的补充。
《第二分册 云计算安全技术要求》(下文简称“云安全等保合规”的编写工作主要是在2015年1月至7月完成的,新华三作为主要参与方参加了整个编写过程。新华三集团针对在云计算环境中应用到的主机虚拟化技术安全、软件定义网络技术安全、NFV技术安全和服务链技术安全等方面提出了相关的安全技术要求;在云计算环境中,云平台运维及运营管理方面也给出相关安全管理要求。
“云安全等保合规”主要包括三个方面的内容:云计算环境下的安全威胁、云计算安全等级保护评测流程以及云计算安全等级保护要求。下文将对“云计算安全等级保护要求“做详细解读。
云计算安全等级保护要求根据实现方式的不同,分为基本技术要求和基本管理要求两大类。技术类安全要求与云计算信息系统提供的技术安全机制有关,主要通过在云计算信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与云计算信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
技术要求
云计算信息系统的核心是采用虚拟化技术实现计算资源的池化和动态分配。虚拟化技术也是云计算系统诸多优势得以实现的关键因素。虚拟化技术为云平台增加了额外的一层安全要求,云计算信息系统的安全防护需要着眼于虚拟化技术所带来的安全风险。包括:虚拟化平台的安全风险、虚拟资源共享风险、多云租户环境中的数据安全风险。各层面主要关注点如下:
在网络安全层面,在等级保护基本要求技术的基础上,云计算信息系统的安全技术要求增加了虚拟网络的网络设备防护和访问控制,虚拟网络流量的监控管理和安全审计,虚拟网络中的入侵检测等安全技术要求;
在主机安全层面,在等级保护基本技术要求的基础上,云计算信息系统的主机安全要求增加了虚拟机之间以及虚拟机与宿主机之间的安全防护、虚拟机镜像、快照安全保护等安全技要求;
在应用安全层面,在等级保护基本技术要求的基础上,云计算信息系统应用安全层面增加了接口安全等安全技术要求;
在数据安全层面,在等级保护基本技术要求的基础上,云计算信息系统的数据安全层面增加了对虚拟机迁移、数据的权限控制等安全技术要求。
下面将分别针对“网络安全”、“主机安全”、“应用安全”和“数据安全及备份恢复”四个层面中重点内容进行讲解。
网络安全
(1)安全要求:
1)应保证云平台管理流量与云租户业务流量分离
2)应根据云租户的业务需求自定义安全访问路径
3)应在虚拟网络边界部署访问控制设备,并设置访问控制规则
4)应依据安全策略控制虚拟机间的访问
5)应能识别、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量
6)应根据云服务方和云租户的职责划分,实现各自控制部分的集中审计
(2)解读:
1)云平台的管理流量和云租户的业务应用系统的业务处理流量需要分离,这里的“分离”是在说明业务流程和管理流量采用不同物理交换网络设备来承载。
2)根据云租户的业务需求自定义安全访问路径,这里的“自定义访问路径”是在说明租户业务的安全访问控制不是由云服务商来负责的,应该是由云租户自身来负责的,云服务商只需要提供云租户所需要安全服务,而这些安全服务具体在业务应用系统安全访问控制如何使用,及策略如何设置,都是由云租户来决定。
3)在云计算环境中,会涉及大量的虚拟网络,这时就需要能够有效控制虚拟网络间及虚拟网络和物理网络间有清晰的安全边界,从安全边界安全设备实现安全控制。
4)安全策略控制虚拟机间的访问,这点说明要实现对虚拟机的安全防护,并且这些安全防护策略可以在虚拟机移动过程中和移动后都能实现实时的、持续的安全防护。
5)在云计算环境中,监控和识别的流量内容包含虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量,这里重点要强调的是,虚拟机间的流量,因为在同一台宿主机(安装虚拟化引擎的物理主机)多个虚拟机间通信时,通信流量是不出物理服务器的,所以无法进行监控,为了保证可以监控,就需要将流量从宿主机中引出到外部网络中来实现。
6)审计,要求云服务商和云租户负责及控制各自IT系统的审计设备、权限和审计数据。
主机安全
(1)安全要求:
1)应保证虚拟机之间、虚拟机与宿主机之间的安全隔离;
2)应确保云平台运维管理员、云服务管理员和云租户管理员的权限分离;
3)应提供云平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限。
4)应保证虚拟机仅能迁移至相同安全保护等级的资源池;
5)应确保仅云租户拥有其数据库的最高管理权限;
6)应保证分配给虚拟机的内存空间仅供其独占访问;
7)应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
8)应根据云服务方和云租户的职责划分,实现各自控制部分的集中审计。
(2)解读:
1)虚拟机之间、虚拟机与宿主机之间的安全隔离,这点是要说明要保证虚拟机间、虚拟机和宿主机间的安全,这里的安全主要是系统从层面和资源层面的安全。
2)针对云平台运营管理,应设置不同的角色,不同的角色有不同的权限,从而保证云平台及租户业务系统运行安全。例如,满足三员分立要求。
3)虚拟机仅能迁移至相同安全保护等级的资源池;这点说明,如果云平台是三级云平台,但是在整个云平台上既有二级业务应用系统,又有三级业务应用系统时,承载二级业务应用系统和三级业务应用系统需要各自使用独立的物理服务器资源池和存储资源池。
4)应确保仅云租户拥有其数据库的最高管理权限;这单说明租户间不同共享数据库系统。
5)内存独占和内存、存储空间完全清空,这两点是说明要保证信息不能通过内存或者存储遭到泄露。
6)审计,要求云服务商和云租户负责及控制各自IT系统的审计设备、权限和审计数据。
应用安全
(1)安全要求:
应根据云服务方和云租户的职责划分,实现各自控制部分的集中审计
(2)解读:
审计,要求云服务商和云租户负责及控制各自IT系统的审计设备、权限和审计数据。
数据安全及备份恢复
(1)安全要求:
1)云租户应在本地保存其业务数据的备份;
2)应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统。
(2)解读
1)云租户应在本地保存其业务数据的备份;这点是说明要求租户的业务数据无2)论在其它地方是否有备份数据,但是在租户自己办公场地本地始终需要有一份云平台上运行的业务数据备份。
3)应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统;这点是要说明,要求租户能够将云平台上运行的业务信息系统迁移到自身办公场地,并继续运行的能力。
管理要求
云计算信息系统的安全管理要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。安全管理要求从系统建设管理、系统运维管理两个方面提出。
系统建设管理应根据不同的云计算信息系统安全保护等级分别从系统定级和备案、测试验收、云服务商选择、供应链管理等几个方面提出要求。系统运维管理应根据不同的云计算信息系统安全保护等级从监控和审计管理方面提出要求。
云服务商的选择
(1)安全要求:
1)应确保云服务商的选择符合国家的有关规定;
2)应根据信息系统的安全保护等级选择能够提供相应安全等级保护能力的云服务商;
3)应以书面方式约定云服务的各项服务内容和具体技术指标;
4)应以书面方式约定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
5)应以书面方式约定服务合约到期时,完整地返还云租户信息,并承诺相关信息均已在云平台上清除;
6)应与选定的云服务商签署保密协议,要求其不得泄露云租户数据和业务系统的相关重要信息;
7)应与云服务商的可接触到云租户数据的员工签订保密协议;
8)应对云服务商和云服务商的可接触到云租户敏感信息的员工进行背景调查;
云服务商应接受运行监管,提供运行监管接口。
(2)解读:
以上安全要求是在说明,当用户不是自建云平台,而是选择其他云服务商提供的云服务时,需要对云服务商提出的安全要求,签署具有法律约束能力的安全协议及合同。
供应链管理
(1)安全要求:
1)应确保供应商的选择符合国家的有关规定;
2)云服务方应确保供应链安全事件信息或威胁信息能够及时传达到云租户;
3)应保证供应商的重要变更及时传达到云租户,并评估变更带来的安全风险,采取有关措施对风险进行控制。
(2)解读:
以上安全要求是在说明,用户无论是自建私有云,还是租用云服务商的云服务时,都要及时了解到云平台架构主要产品供应信息,对于云服务商而言,当云平台基础架构组成产品的供应链出现变化时,要及时通知到云租户,云租户有知情权。
监控和审计管理
(1)安全要求:
1)应确保信息系统的监控活动符合关于隐私保护的相关政策法规;
2)应确保提供给云租户的审计数据的真实性和完整性;
3)应制定相关策略,对安全措施有效性进行持续监控;
4)云服务方应将安全措施有效性的监控结果定期提供给相关云租户。
(2)解读:
以上安全要求是在说明,在云计算环境中,要求能够对整个云平台进行持续的,全面的运营状态监控。涉及到与租户相关的监控信息及监控报告,要定期提供给云租户。
