云计算环境与等级保护探讨*
2015-02-24黄锐
黄锐
(广西南宁市公安局科技信息化处,广西南宁530022)
0 引言
近年来,云计算已经从最初的概念阶段逐渐发展到普及应用阶段,越来越多的应用系统已从传统的IT架构迁移至云架构。无论是政府机构、个人和家庭用户,还是金融、电信、教育、健康、交通、制造等行业用户都在享受云带来的便捷。而关于云计算是降低还是提升安全性的这个问题,一直存在争议。一方面,数据集中,安全资源集中:但另一方面,将失去对敏感数据的直接控制,同时动态安全和分布式环境的复杂性将无法抗拒。云计算的核心部分是云。如果你付款购买云计算,你并不知道你的数据实际上在哪里存放和处理,因为这个动态的处理过程发生在世界任何地方的不同系统中。值得庆幸的是,我们不必担心任何细节,因为所有的事情都在后台处理;同时这也是令人担忧的,因为我们真的不知道谁在对我们的数据做什么事情。云安全的困惑与质疑被认为是决定云计算能否生存下去的关键问题,而其中最为核心的问题是,到目前为止还没有一个与我国信息战略发展相符合的云计算安全标准。在针对云安全的诸多解决方案与思路中,基于我国信息安全等级保护制度,来建立云计算安全标准体系已成为业界的一致诉求。
随着网络安全与信息化领导小组的成立,标志着我国信息安全已经上升到国家安全的战略层面,信息安全等级保护制度是我国信息安全的基本制度。从我国等级保护工作开展情况来看,已经从第一阶段的重要系统定级备案,转向第二阶段的等级保护建设和测评。随着等级保护工作的逐步深入,云计算、物联网、大数据等新技术在未来应用的范围也将逐步扩展,如何在新技术环境下开展等级保护建设、测评是当前等级保护工作面临的一项挑战。
1 云计算带来的威胁
现阶段云计算带来的主要威胁包括:传统防护边界消失、多租户环境控管不易、账户或服务流量劫持、不安全的接口和API、运维人员职责划分与权限管控、未做安全加固的虚拟镜像被大量复制、虚拟机彼此之间的安全隔离和攻击、虚拟机安全级别复杂、补丁及安全策略派发、资源冲突与虚拟机防护间隙、非法的虚拟机的滥用、数据销毁与泄漏、云供应商免责声明等。
综上所述,对于私有云用户在选择建设云计算环境时首先要考虑其安全性,对于云计算服务服务商来说合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。
2 云计算给等级保护带来的挑战
(1)业界观点
当前业界对于信息安全等级保护制度是否适
合云计算有着不同的观点。其中,中国工程院沈昌祥院士指出:“云计算属于信息系统,具有信息系统的普遍特点和共性,就应该有信息系统的安全保护需求,就应该有等级保护去保护它”[2]。
(2)现状与挑战
现有等级保护制度真的完全适用于云计算吗?例如一个公有云供应商,它的数据中心可能同时运行着不同客户的多个信息系统,但每个系统的安全保障级别不同,依据现有信息安全等级保护的相关要求,该数据中心的整体安全保障级别不能低于所运行最高等级信息系统的级别,这就要求云服务商对数据中心的安全保障标准以及所提供的云服务,进行详细的评估和设计,从而增加了运营的复杂程度,并且很难做到成本与安全的平衡。下面我们再从云计算用户的角度来看这个问题,云计算供应商为了安全与成本的平衡,在不通知客户的情况下,降低数据的加密强度(从AES-256变更到3DES),使其能够满足更广泛的客户需求。下一次客户的组织在通过审核时,可能发现它不合规,因此客户可能会面临处罚。这就要求用户在与云供应商签订的合同中,尽可能细化相关信息安全保障条款。
传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而,对于云计算而言,保护对象和保护区域边界都具有动态性。云计算时代下如何完善现有等级保护标准,提供适用于云计算的等级保护安全基线要求,指导云计算安全的建设、测评、监督检查等工作是实现云计算安全的核心。
3 云计算环境等级保护技术差异与对策
云计算技术的应用涉及到网络、主机、应用和数据、管理等方面,下面我们将云计算技术应用场景与现有信息安全等级保护基本要求部分控制项进行分析和对比,更为直观的探讨它们之间的差异与对策:
(1)网络安全-结构安全
传统环境控制点:应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
云环境:在多租户的云环境中,是在虚拟网络中按照用户、类型、级别等要素分配子网及带宽保障的。
相关对策:确保虚拟网络和物理网络,针对同一类型和级别但不同租户的带宽保障的一致性。
(2)主机安全-身份鉴别
传统环境控制点:应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
云环境:同一物理机内的不同虚拟机会分配给不同租户,不同租户间的身份鉴别和访问资源隔离。
相关对策:通过数字证书与密码技术保障多租户环境下的用户标识及双因素身份鉴别。
(3)数据安全-数据保密性
传统环境控制点:应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
云环境:云服务提供商为确保服务连续性,通常将云端的数据存放于共享的虚拟资源池中,但当某个租户要求对相关数据进行删除或擦除时,由于数据散落在多个存储备份媒介中,服务提供商很难完全删除所有媒介中该客户的数据,这样就很容易出现数据泄露的安全风险。
相关对策:基于同一的身份标识对所有敏感数据进行加密,避免因备份数据未删除,导致敏感数据外泄。
通过对上述等级保护部分基本要求的差异分析我们看到了传统环境与云计算环境下的技术差异,在等级保护技术基本要求中网络安全、主机安全、数据安全、应用安全、安全管理等其他方面也会存在差异,这些差异存在安全隐患,影响云计算的安全[1]。
现阶段业界针对云计算的安全防护的主要对策,从技术层面来看还有以下方面:
1)登录虚拟机、云管理平台等的管理用户进行相应等级身份鉴别;
2)虚拟机间的通信有认证保护机制,保证每个VM有单独的信用凭证;
3)虚拟机间依据访问控制策略实现访问;
4)对虚拟存储的访问应控制到Host和VM级;
5)应可以监控到所有虚拟机之间、虚拟机与宿主机之间的通信流量;
6)不同虚拟机之间的虚拟CPU指令的隔离;
7)使用内存独占模式,保证不同虚拟机之间的内存隔离
8)禁用VM的剪贴板,除非必要,禁用虚拟机与宿主机的文件共享;
9)对虚拟机镜像文件进行完整性保护和更新,可以检测到非授权修改;
10)对虚拟机快照文件进行保密性保护;
11)提供虚拟机迁移过程中的完整性保护和信息防泄漏;
12)保证虚拟机用户的磁盘存储空间被释放或再分配给其他用户前得到完全清除。
识别出的存在的差异,并与对策进行分析整合,将为开发基于云计算环境下的等级保护技术标准提供坚实的基础与最佳实践。
4 云计算环境等级保建设思路
通过对云计算环境中安全问题以及等级保护要求针对云环境的差异的分析与对策,可以看出在现阶段基于云计算环境的等级保护建设应从以下几方面考虑:
(1)标准开发
依据等级保护相关标准开发并编写云计算的等级保护基本要求,其中应该增加云计算环境的基本要求并提出具体的安全控制项,通过云计算等级保护基本要求才能更好的指导云计算安全建设,同时也有利于云计算发展和等级保护工作的开展。
(2)技术方面
需要遵循现有《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014)中的技术要求,完善基于密码技术的安全基础设施、有效整合PKI体系与虚拟主机、网络、存储、API、应用系统的安全防护等等。
(3)管理方面
仅有安全技术体系防护,而无完善的安全管理体系相配合,是难以保障我国云计算战略发展的。诸多的不安全因素恰恰出现在组织管理和人员使用等相关管理层面,这是我们必须考虑和高度重视的基本问题。需要遵循《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)中的管理要求,并且需通过ISO/27001认证的信息安全管理体系,《信息安全技术云计算服务安全指南》(GB/T 31167-2014)等标准规范,制定严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,完备的应急响应机制,都可以在很大程度上减少和降低信息安全隐患。
(4)审计方面
可借助国际公认的审计标准来完善我国现有云计算审计标准的不足,如SAS 70 Type II审计。
(5)服务协议
云计算服务提供商应在合同里明确规定安全要求与赔偿条款。
(6)法律方面
最好能推动政府制定法律,明确要求云服务供应商的安全防护责任。
5 结语
云计算的高速发展和普及,同时其所面临的安全挑战也是前所未有的。信息安全等级保护工作在有关部门的大力推动下取得了较大进展,但现有的许多等级保护建议和方案主要针对独立传统的环境。如何立足国情,以我为主,将我国现有相对完善的信息安全等级保护制度与云计算安全科学的整合,从法律、标准、管理、监管、技术等诸多方面进行完善,这还需要相关国家主管部门、IT领域与信息安全领域的研究者们共同去探索,提出思路和方案。
[1] 公安部.GB/T2239,信息系统安全等级保护基本要求[S].2008.
[2] 沈昌祥.云计算安全与等级保护[J],信息安全与通信保密,2012(01):16-17.