等保2.0云计算安全扩展要求及分析
2019-03-18赖静韦湘陈妍
赖静 韦湘 陈妍
摘 要:2019年5月发布的《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),相比于发布于2008年的《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)进行了较大幅度的改动,针对云计算、物联网、大数据、工业控制、移动互联网等新技术,提出了安全扩展要求。文章将围绕着云计算安全扩展要求中的要求项进行分析,总结近年来云计算系统等级保护测评工作中发现的主要问题,并提出改进建议。
关键词:等级保护;云计算;安全扩展要求;等级测评
中图分类号:TP309 文献标识码:A
Abstract: Compared with The “Information security technology—Baseline for classified protection of information system security”(GB/T 22239-2008) issued in 2008,the “Information security technology—Baseline for classified protection of cybersecurity” (GB/T 22239-2019) issued in May 2019 has big changes in content, it has proposed security extension requirements for the technologies such as cloud computing, Internet of things, big data, industrial control system and mobile interconnection.This paper will analyze the requirements in the security extension requirements for cloud computing, summarize the main problems in the testing and evaluation of the cloud computing systems in recent years and put forward suggestions for improvement.
Key words: classified protection; cloud computing; security extension requirements; testing for classified protection
1 引言
近年來,随着互联网+、大数据等重大战略的实施[1],云计算、物联网、大数据、工业控制、移动互联网等新技术的应用发展,带来了一系列重大的网络安全新问题[2],原有的等级保护制度、标准体系已不能满足新形势的需要[3]。因此,为进一步健全和完善等级保护制度,2014年公安部在结合现有新技术的基础上,开展了等级保护标准的制修订工作,并于2019年5月完成了《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)(简称《基本要求》)的制修订和发布工作,标志着等级保护测评工作正式进入2.0时代(简称等保2.0)。
2 等保2.0概述
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)是在《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)基础上进行修订的[4],主要变化包括三项。
(1)由《信息安全技术 信息系统安全等级保护基本要求》变更为《信息安全技术 网络安全等级保护基本要求》与《中华人民共和国网络安全法》保持一致[4,5]。
(2)由一个基本要求变更为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求[4]。此外,在修订中未正式写入大数据安全扩展要求,而是在表1中给出了大数据应用场景说明和可参考的扩展技术要求。在开展等级测评工作时,系统的测评内容为1+N的模式,如云计算信息系统的等保测评依据包括安全通用要求和云计算安全扩展要求两个部分。
(3)基于“一个中心,三重防御”的思想对《基本要求》的分类进行了较大的调整,由原来的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理10个安全类,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理10个安全类[4]。同时,在各安全扩展要求中分别针对这10个安全类结合自身特点进行了控制点和要求项的扩展。
3 云计算扩展要求及分析
随着云计算技术的不断发展,越来越多的系统和数据迁移到了云上。云租户在享受云计算技术带来便利的同时,也面临着云计算共享技术带来的一系列风险,如租户间资源的隔离、租户间数据的非法访问等,此外云服务商对云计算平台拥有过大的权限[6]。因此,等保2.0在充分考虑云计算平台以及云服务客户所面临的风险的基础上,对云计算系统提出了云计算扩展要求,从而达到提高云计算平台防护能力、限制云服务商权限、保证云服务客户系统和数据安全的目的。云计算扩展要求在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理和安全运维管理层面上进行了扩展。
3.1 安全物理环境
在安全类中新增了控制点“基础设置位置”,该要求的责任主体为云服务商。要求保证云计算基础设施位于中国境内,即要求云平台所涉及的基础设施,包括云计算服务器、存储设备、网络设备、安全设备以及承载云平台相关应用的硬件设施均部署在中国境内,从而降低云计算平台被境外非法访问的风向。
3.2 安全通信网络
在控制点“网络架构”中新增加了五个要求项,且其责任主体均为云服务商。
(1)要求保证云计算平台不承载高于其安全保护等级的业务应用系统。由于云服务客户应用系统的安全防护,在很多方面依赖于云计算平台来实现,如物理机房安全、整体网络架构的安全等,低级别的云计算平台可能无法为高级别的云上系统提供足够的防护措施。
(2)要求云平台可以实现不同云服务客户虚拟网络之间的隔离。在云平台中,多租户共享计算、存储及安全资源池,租户间存在数据泄露等风险,云计算平台首先需要为租户提供一个隔离的网络环境来保证各个租户的网络安全。如在公有云平台上一般通过私有网络VPC(Virtual Private Cloud)等技术来实现租户间网络的隔离,同一个VPC内的服务资源之间是默认互通的,不同VPC之间默认不通。
(3)要求云计算平台可以根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。由于云计算平台对租户屏蔽了底层硬件资源等特点,只有云平台才能便捷的为各个租户提供加密/证书、Web过滤防护、入侵防范等安全服务,才能更好的为云上租户提供便捷、安全的云环境,使得云租户可根据自身安全防护需求部署相关的安全措施。
(4)要求云计算平台为云服务客户提供自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略。尤其对于大型的云计算平台,千万的租户意味着千万差异化的安全需求。同时由于各自数据保密的原因,云服务商为各租户单独进行安全策略配置的服务方式是不推荐,而是应为云服务客户提供自主设置安全策略的能力。
(5)要求云计算平台提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。这样的要求给云服务客户带来更多的便利性,云服务客户可以结合自己系统业务的需求更灵活的选择安全产品和安全服务,不完全局限于云计算平台,同时也可以弥补云平台自身安全防护能力的不足。
3.3 安全区域边界
在安全类中,分别在“访问控制”“入侵防范”和“安全审计”三个安全控制点中新增了要求项。
(1)访问控制:提出了区域间访问控制的要求,包括外部与云平台、租户与租户之间、租户内部等不同的网络区域边界,其责任主体是云服务商和云服务客户。此外,由于云计算平台上承载了多样的应用系统,其对安全防护的措施要求不一致,因此不同等级的系统区域间要实现网络的逻辑隔离,在特殊情况下,云平台还应通过物理隔离的方式划分不同等级的网络区域。
(2)入侵防范:要求云服务商的云计算平台,支持检测到虚拟机网络内部的网络攻击行为和异常流量,包括云服务客户发起的网络攻击、针对网络虚拟节点的网络攻击、虚拟机与宿主机之间异常流量、虚拟机与虚拟机之间的异常流量,还应可以对攻击行为和异常流量进行告警。由于云平台具有用户、信息资源高度集中的特点,容易成为黑客攻击的目标[7]。云平台面临的网络攻击主要来自两个方面:一方面是来自外部网络攻击,主要是通过在云计算平台边界部署防火墙、IPS、IDS、防毒墙等设备,来实现网络攻击和异常流量的检测和告警;另一方面是来自云计算平台虚拟网络内部的攻击,攻击者可能会通过购买内部云服务或者非法截取云上租户的云服务数据,从内部发起对云计算平台的攻击,因此要求云计算平台能够通过有效的技术手段,实现对内部网络攻击和异常流量的检测和告警,如能够对东西向流量进行检测的抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵防范系统或相关组件等。
(3)安全审计:要求云计算平台可审计云服务商和云租户远程执行特权命令的操作,还要求审计云服务商对云租户的系统和数据进行操作时可被云租户审计到,该要求的责任主体是云服务提供商。由于云计算平台具有用户、信息资源高度集中的特点,因此对云计算平台的操作进行审计记录是非常有必要的,特别是一些特权操作,如删除虚拟机、虚拟机重启等敏感操作,可能会影响到云计算平台或云租户系统的运行,通过安全审计来实现操作的可追溯性。
此外,云租户的数据存储在云计算平台中,云服务商具有最终的权限,因此要求云服务商对云租户的系统和数据的操作能够被云租户审计,支持云租户实时监测云服务商对自己系统和数据的操作,抵御云平台自身可能带来的安全风险。
3.4 安全计算环境
在安全类中,分别在“身份鉴别”“访问控制”“入侵防范”“数据完整性和保密性”和“数据备份恢复”安全控制点中新增了要求项,此外还新增了安全控制点“镜像和快照保护”。
(1)身份鉴别:要求当远程管理云计算平台设备时,管理终端和云计算平台之间应建立双向身份验证机制,该要求的责任主体是云服务提供商。在一般系统访问机制中,通常采用单向身份验证机制,即客户端访问服务端时,仅需服务端对客户端进行身份验证。但是,由于云计算网络的特殊性,如SDN网络其控制平面和数据平台分离等特性,需要双向身份验证机制,即客户端访问服务端时,服务端对客户端进行身份验证,同时客户端也需要对服务端进行身份验证机制,才能有效地保证云计算网络的安全。
(2) 访问控制:要求云平台在虚拟机迁移时,可以将针对该虚拟机设置的访问控制策略一并迁移,以避免出现在发生虚拟机迁移之后访问控制策略重新配置的问题。此外,还要求支持云服务客户可设置不同虚拟机之间的访问控制策略,该安全控制点的责任主体为云服务商。如在现有的公有云平台中,一般通过配置安全组策略来实现虚拟机的访问控制。在虚拟机迁移时,安全组策略亦随之迁移。
(3) 入侵防范:要求云计算平台能够检测到虚拟机的资源隔离失效、非授权新建或重启虚拟机、虚拟机间恶意代码感染的等情况,并进行告警。云计算平台中资源的隔离,包括CPU、内存、磁盘等資源的隔离是至关重要的,其涉及到了租户间数据的安全性,因此云计算平台中必须能够提供相关的措施检测资源隔离失效的情况。该安全控制点的责任主体为云服务商。
(4) 镜像和快照保护:新增了该安全控制点,提出了对镜像和快照的保护要求,包括对提供进行过加固的操作系统镜像,以及提供操作系统安全加固服务,如阿里云的安骑士等。对虚拟镜像、快照等提供完整性校验功能和加密措施,防止其被恶意篡改和非法访问。该安全控制点的责任主体为云服务商。
(5) 数据完整性和保密性:对云平台数据的存储地、云租户数据的授权管理、虚拟机迁移的完整性保护、为云租户提供密钥管理解决方案提出了要求。该安全控制点的责任主体为云服务提供商。云平台中的数据,要求其存储在境内,若出境则需要遵循国家的相关规定,如2017年6月1日起实施的《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的,依照其规定。”[5]同时,《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿》,也对数据的出境提出了相关要求。
此外,还要求只有在云服务客户授权(技术手段或管理手段)的情况下,云服务商或第三方才能对云租户数据进行管理, 通过对云计算平台提出相关的条件约束,从而保证云租户数据的安全性。要求云服务商保证虚拟机迁移过程中的完整性,还要求支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
(6)数据备份恢复:分别针对云租户和云服务商提出了要求。
针对云租户,要求云服务客户在本地备份其业务数据,云平台的各种故障、安全威胁都将会威胁云租户的数据安全,没有百分之百安全的云平台,因此云租户应要定期在本地备份其关键数据。
针对云服务商,要求云平台可以让云租户查询数据及备份存储位置的能力,不管是通过技术手段或是管理手段,让云租户可以明确知悉数据落地的位置;要求云平台能够保证云租户数据存在多个副本,且多副本之间保持一致。多副本技术可以实现将所有用户层面的操作都同步到底层多份副本上,无论是新增、修改还是删除数据,保障了数据的可靠性和一致性。同时,还要求云计算平台提供相关措施,协助云租户将其业务系统和数据迁移到其他云计算平台和本地系统上,以有效地保证云租户权益。
(7) 剩余信息保护:在该控制点中增加了要求项,要求云平台能够保证虚拟机所使用的内存和存储空间回收时得到完全清除,该要求的责任主体为云服务提供商。文献[8]给出了一种云操作系统中虚拟机剩余信息清除的检测方法,能够有效地检测虚拟机所使用的内存及存储空间在释放后和再分配前剩余信息是否能够得到有效清除,但是该方法由于其测试环境要求较为复杂以及测试时间较长,更适用于实验室测试,不适用于等保测评的现场测试。同时,2017年发布了行业标准《信息安全技术 云操作系统安全技术要求》(GA/T 1346-2017)。在该标准中,对云操作系统的剩余信息保护能力提出了要求。因此,在该项测评中可以参考云计算平台底层云操作系统软件产品的第三方测试报告中的测试项进行评定。
此外,还要求云租户在删除应用数据时,云计算平台要将所有副本删除。基于保证不发生由于硬件故障而引起的数据丢失,提升对数据读写的访问速度、数据容灾性及可靠性等方面的考虑,在现有的云计算平台中大多均采用了多副本技术,因而云计算平台也拥有了云租户的多分副本的数据。为了保护云租户的数据,要求云平台能够保证云租户在删除业务应用数据时,云平台将存储的所有副本也一并删除,不非法保留云租户的数据。
3.5 安全管理中心
在安全层面的集中管控中新增了要求项,要求云服务提供商提供的云计算平台能对物理资源和虚拟资源按照策略做统一管理调度与分配,集中审计各自所控制部分的审计数据,集中监测各自控制部分(包括虚拟化网络、虚拟机、虚拟化安全设备等)的运行状况。通过集中的管理、审计和监测能够提高工作效率,节约成本。此外,还要求云计算平台可以实现管理流量与业务流量分离,管理流量主要包括管理员对云计算平台进行配置、运维等操作产生的流量,流量信息较为敏感,影响云计算平台的正常运行;业务流量主要是云上租户的业务系统进行正常运行产生的流量,业务流量具有波动性和流量大的特点。通过分离管理流量和业务流量,既保证了业务流量和管理流量不互相干扰,也能有效地防止信息泄露等风险,从而保证系统的安全和稳定性。
3.6 安全建设管理
在安全类中分别新增了安全控制点“云服务商选择”“供应链管理”。
(1)云服务商选择:该控制点的责任主体为云服务客户,要求云租户选择合规的云服务商,即要求选择的云服务商提供的云计算平台通过了等级测评,且提供了云租户应用系统相应等级的安全保护能力;要求云服务客户与云服务商签订了服务水平协议[9],服务水平协议应约定所提供的云服务内容、指标、权限与职责、云租户数据的归还与清除,还通过签订保密协议来保证不泄露云租户的数据。无论是服务水平协议还是保密协议,都是合法的文档,通过法律来明确和约束双方的权利和义务,能够避免事故纠纷。
(2)供应链管理:在该控制点中对供应链进行了要求,供应链是企业从原料和零部件采购、运输、加工制造、分销,直至最终送达顾客手中的过程[10]。因此,本文要求是针对云服务商提出的,要求云服务商在建设云计算平台的过程中,选择采购的硬件、软件、服务等的供应商要满足国家的规定。此外,还要求云服务商要将供应链的安全威胁以及供应商的重要变更,通过有效的方式及时告知云服务客户,让云服务客户能够及时获知所在云平台的情况。
3.7 安全运维管理
在安全层面新增了控制点“云计算环境管理”,要求云计算平台的运维地点应位于中國境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。该要求的责任主体为云服务提供商,通过限制运维地的限制,来进一步保证云上系统和业务数据的安全。
4 云等保测评中发现的问题及改进建议
4.1系统责任主体重技术,轻管理
在测评过程中发现,系统的责任主体更多地倾向于通过技术手段来保证系统的安全运行,如通过部署防火墙、防毒墙、入侵检测/防御设备、WAF等安全设备防御攻击,通过加密技术等保证数据存储和通信传输过程的保密性和完整性,通过关键设备冗余部署保证服务的连续性。但是,在安全管理方面的约束有所缺失,无法保证系统正常运行所涉及的人员活动能够得到有效的开展。
根据标准要求,在等保测评中主要包括管理和技术两大方面的测评内容,管理测评项在等保测评占据了至关重要的地位。因此,系统责任主体应建立一套完善的安全管理体系,从上至下,应包括安全策略、管理制度、操作规程、记录表单,对完成系统使命、保障系统正常运行所涉及的人员活动作出明确的规定。
4.2 云计算系统责任划分不明确
在测评云计算系统时,发现存在责任划分不清楚的情况。云计算有三种服务模式:基础设施即服务(Infrastructure as a Service, IaaS)、平台即服务(Platform as a Service, PaaS)、软件即服务(Software as a Service, SaaS)[11,12]。不同服务模式下的云计算信息系统,云服务商和云服务客户拥有不同的控制范围和责任范围,如图1和表1所示。
在一些云计算系统的测评中,发现部分云平台服务提供商和云服务客户,对自身的责任范围认识模糊,部分云平台认为自身的责任是为云服务客户提供服务,所提供的服务只要能够使用即可,并不关心是否为云服务客户提供了有效的安全防护,数据信息是否有泄露风险,或者故意模糊这些问题;而云租户则认为将系统部署于云平台之上,则一切安全问题发生都应是云服务商负责,不主动承担己方应有的安全责任。
因此,为了解决上述问题,云服务商和云租户应在建设系统前,了解清楚自身系统所提供/使用的云计算服务模式,了解清楚各自的控制范围和责任范围,并通过签订有效的协议明确各自的职责。此外,云服务商应严格按照国家的有关规定提供有效、安全的云计算平台,做好底层资源的隔离,并为云服务客户提供自主设置安全策略的能力,提供通信傳输、边界防护、入侵防范等安全机制的能力。云租户应加强自身对云上资源的管理和配置,系统上云应是享受资源的便利性,而不是使得系统受制于云平台。
4.3 云租户备份容灾意识不强
云租户将系统和数据托管在云计算平台后,过于依赖和相信云计算平台,没有对自身系统和数据进行本地备份。2018年7月20日腾讯云上发生了由于数据所在物理硬盘固件版本Bug导致的静默错误(写入数据和读取出来的不一致),而导致云租户丢失近千万级数据的事故。该事故的发生除了云平台原因,也是由于云租户自身容灾意识不强,没有定时进行数据的本地备份所引起。任何云计算平台都不会是百分之百安全的,云平台只能在可预测的概率范围之内做到保障租户的数据和业务安全的,但是概率之外的范围,需要租户自己去做好保护,比如数据保存在云端,也应该在本地保存一份。
4.4 镜像模板未进行加固
在云平台上创建一个虚拟机时,云租户一般采用一个特定的镜像文件(可以是用户自己上传的镜像文件或选择云平台共享的镜像文件)来创建虚拟机。若云平台提供的镜像文件没有进行过加固存在安全漏洞或者包含恶意代码,大量的云租户选择从云平台的镜像文件模板创建自己的虚拟机,其带来的安全风险和危害难以估量。因此,云平台应支持对平台中的镜像模板采取相关加固措施。
5 结束语
等保2.0中针对云计算、物联网、大数据、工业控制、移动互联网等新的应用场景提出了扩展要求,本文针对其中的云计算扩展要求进行分析,提出了测评中发现的问题并提出了改进建议,旨在为云计算系统的建设与测评提供参考。但是,由于云计算技术的不断发展,面临的安全问题也将在实践中不断涌现,还需要更多的研究工作者、云服务商、云服务客户、国家的相关监管单位,共同努力创建安全的云计算环境,并更好地促进云计算产业的健康发展。
基金项目:
论文得到国家重点研发计划资助(项目编号:2016YFB0800903)。
参考文献
[1] 揭建成.等级保护再认识[J].浙江经济,2018(09):37.
[2] 胡连宛.中国网络安全面临严峻挑战[J]. 决策与信息, 2012(5):8-8.
[3] 孟亚豪,李旋.等级保护2.0中计算环境安全测评技术要求和测试方法分析[J].网络空间安全, 2018(6).
[4] 《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019[S].
[5] 《中华人民共和国网络安全法》[S]. 2017年.
[6] 茹斌,何建波.云计算中的安全隐患分析[J].保密科学技术, 2013(7):38-44.
[7] 毛得辉. 虚拟机镜像安全管理问题的研究[D].上海:复旦大学, 2012.
[8] Yan Chen, Jing Lai, Xiang Wei. A Testing Method of the Residual Information Clearance in Virtual Machine for the Cloud Operating System[A]. 2018 IEEE Conferences on Internet of Things, Green Computing and Communications, Cyber, Physical and Social Computing, Smart Data, Blockchain, Computer and Information Technology, Halifax, NS, Canada, July 30, 2018 - August 3, 2018, pp. 795-800.
[9] 刘伟,石冰心.服务水平协议(SLA)—Internet服务业的新趋势[J].电信科学, 2000, 16(11):5-8.
[10] 陈国权.供应链管理[J].中国软科学, 1999(10):101-104.
[11] Peter Mell, Timothy Grance. Special Publication 800-145, The NIST Definition of Cloud Computing, 2009.
[12] 陈妍,戈建勇,赖静,等.云上信息系统安全体系研究[J].信息网络安全, 2018, No.208(04):85-92.