等保2.0中的云計算安全測評

◎成都安美勤信息技術(shù)股份有限公司 代翎云

一、引言

60年代中期，計算機數(shù)量較少，基本上為大型機，其服務(wù)對象僅為少數(shù)特殊的企業(yè)或機構(gòu)，而絕大部分企業(yè)無法使用；在80年代，PC機與小型機逐漸普及，企業(yè)可通過自行搭建機房，購買硬件設(shè)備來完成系統(tǒng)部署，但存在架構(gòu)不靈活，資源利用性不高等問題；在90年代，企業(yè)通過數(shù)據(jù)中心租用設(shè)備來代替自己搭建環(huán)境，但當企業(yè)業(yè)務(wù)發(fā)展較快、需求變化較快時，仍存在數(shù)據(jù)中心設(shè)備采購周期過長、無法滿足企業(yè)需求的問題。

云計算發(fā)展歷史

在此基礎(chǔ)上，云計算應(yīng)運而生，目前已有越來越多企業(yè)逐漸將系統(tǒng)遷移到云上，因為云計算平臺能夠快速獲取計算服務(wù)、存儲服務(wù)，用戶可以按需購買，按量計費，可滿足企業(yè)需求。甚至一些技術(shù)和資本方面相對成熟的企業(yè)已經(jīng)開始搭建自己的云平臺，并從對內(nèi)服務(wù)逐步擴大為對外提供服務(wù)。同時，當前相關(guān)政府單位也搭建了多個政務(wù)云平臺，逐漸將各類政務(wù)系統(tǒng)同一集合到一起，從而實現(xiàn)政務(wù)工作的互聯(lián)互通，以加強各單位之間的聯(lián)系，提高辦事效率。

與傳統(tǒng)的IT架構(gòu)相比，使用云計算平臺可以實現(xiàn)用戶需要什么服務(wù)只需要簡單操作就可獲取，而不需要自身搭建，服務(wù)底層的設(shè)備不需要用戶自身去維護，這將大大降低運維成本。因此，云計算的發(fā)展已成為必然趨勢，但與此同時，云計算的安全防護問題也成為亟需解決的問題。

二、云計算基礎(chǔ)

（一）部署模式

云計算的部署模式主要由以下三種組成：

公有云：通過Internet向多組織用戶提供按需使用的IT資源服務(wù)，并按量付費。其典型特點為：多租戶、按需使用、按量付費。

私有云：通過專用網(wǎng)絡(luò)向特定組織（通常情況下為單一組織）提供按需交付的IT資源。

混合云：融合了公有云和私有云，企業(yè)可選擇將臨時性、按需付費的業(yè)務(wù)組件部署在公有云中，將主要業(yè)務(wù)數(shù)據(jù)、敏感信息等部署在私有云中，增強安全性。

（二）服務(wù)方式

云計算服務(wù)商提供的服務(wù)方式主要有三種，分別為：IAAS（基礎(chǔ)設(shè)施即服務(wù)），PAAS（平臺即服務(wù)）和 SAAS（軟件即服務(wù)）。

各類云計算服務(wù)商并不會只提供一種服務(wù)，由于三種服務(wù)模式彼此之間有較多交互的地方，特別位于中間層的PaaS模式，所以很多云計算服務(wù)商逐步在自身服務(wù)體系中對服務(wù)模式進行了擴展和融合，最終實現(xiàn)一站式服務(wù)。

IaaS: Infrastructure-as-a-Service(基礎(chǔ)設(shè)施即服務(wù))

IaaS公司提供給消費者的服務(wù)是對所有計算基礎(chǔ)設(shè)施的利用，為不同用戶提供虛擬化環(huán)境，提供了計算和存儲功能，具備數(shù)據(jù)存儲服務(wù)、同步服務(wù)、管理服務(wù)和備份服務(wù)等功能。而IaaS模式也是目前云計算模式中占主導地位的模式，目前IaaS占全球云計算細分市場一半以上的規(guī)模。中國IaaS市場，阿里云獨占半壁江山，同樣也是一家獨大。

PaaS: Platform-as-a-Service(平臺即服務(wù))

PaaS使得所有開發(fā)都在這一層進行，因此可以節(jié)省大量時間和資源。PaaS公司在網(wǎng)上提供如虛擬服務(wù)器和操作系統(tǒng)的各種開發(fā)和分發(fā)應(yīng)用的解決方案。PaaS當前的市場占有率遠遠不如IaaS或SaaS兩種模式，因此對于單純的PaaS服務(wù)商來說，如今所面臨的壓力巨大，具有被底層的IaaS或上層的SaaS所取代的風險。但當前云計算行業(yè)還尚未完全成熟，PaaS模式會逐步走向融合還是漸漸獨立，現(xiàn)在依然無法下定論。

云計算的服務(wù)方式

SaaS: Software-as-a-Service(軟件即服務(wù))

SaaS，也是大眾接觸最多的模式，使用SaaS將不在需要在自己的電腦中額外安裝相應(yīng)組件。例如通過瀏覽器使用Google、百度等搜索系統(tǒng)，使用E-mail發(fā)送，這其實就是SaaS。而當前CRM、ERP、eHR、SCM 等 管 理系統(tǒng)都已經(jīng)逐步開始SaaS化，究其原因是因為SaaS模式的便利性，它不需要再自行管理維護繁雜的硬件系統(tǒng)及軟件，而是可以直接向軟件提供商租用基于Web或其他結(jié)構(gòu)的軟件就可以使用。

三、測評重點

（一）準備階段

1、前期準備

“準備階段”顧名思義就是對接下來的工作做好準備，除了需要了解傳統(tǒng)測評項目問題外，在準備階段云上項目還應(yīng)該對以下問題進行確認：

（1）確定測評對象為：云服務(wù)商的云平臺或云租戶的應(yīng)用系統(tǒng)；

（2）確定部署模式為：公有云、私有云或混合云；

（3）確 定 服 務(wù)方 式 為：SAAS、PAAS或IAAS；

（4）若測評對象為云租戶的應(yīng)用系統(tǒng)，還需確定所在云平臺是否已完成相應(yīng)等級的保護測評工作。

2、系統(tǒng)調(diào)研

由于虛擬化等新技術(shù)的應(yīng)用，IaaS/PaaS/SaaS按需服務(wù)模式的引入，云計算和傳統(tǒng)信息系統(tǒng)保護對象的區(qū)別如下表所示，其中加黑部分為云計算系統(tǒng)所特有的保護對象，在前期調(diào)研的過程中，應(yīng)特別注意以下方面。

表1 云計算和傳統(tǒng)信息系統(tǒng)保護對象區(qū)別

（二）現(xiàn)場測評

云計算測評工作的開展首先要明確測評對象是云服務(wù)商還是云租戶，因為即使是同一條測評實施內(nèi)容，針對云服務(wù)商與云租戶仍具有不同含義，部分條款僅適用于云服務(wù)商，也有部分條款僅適用于云租戶。例如測評實施中：“應(yīng)檢查云服務(wù)商的網(wǎng)絡(luò)邊界設(shè)備或虛擬化網(wǎng)絡(luò)邊界設(shè)備，查看安全保障機制、訪問控制規(guī)則或訪問控制策略等”，該條僅適用于云服務(wù)商，而不適用于云租戶，因此在現(xiàn)場測評階段需要注意區(qū)分云計算擴展對云平臺和云租戶的不同要求。

1、資源隔離

云計算運用了虛擬化等技術(shù)，將資源量化進行重新分配并交付給用戶，但這在帶來方便的同時也增加了內(nèi)部風險，類似Intel處理器Meltdown及Spectre等類似漏洞對云平臺的危害非常大，因此資源的有效隔離顯得尤為重要，擴展標準中對于云計算環(huán)境下資源隔離的要求總結(jié)如下：

（1）應(yīng)對虛擬機逃逸行為進行檢測和告警；

（2）禁止虛擬實例直接訪問宿主機上的物理硬件；

（3）不同虛擬機之間的虛擬CPU指令、內(nèi)存空間應(yīng)隔離；

（4）應(yīng)根據(jù)云租戶業(yè)務(wù)系統(tǒng)的安全等級劃分網(wǎng)絡(luò)安全區(qū)域并設(shè)置區(qū)域間訪問控制規(guī)則；

（5）應(yīng)保證云平臺管理流量與云租戶業(yè)務(wù)流量分離；

（6）應(yīng)保證虛擬機僅能遷移至相同安全保護等級的資源池。

2、訪問控制

針對于云計算，訪問控制涉及了安全區(qū)域邊界、安全計算環(huán)境等多個層面，其重點主要在于云平臺管理方和云租戶方的權(quán)限分離方面，可以總結(jié)為以下4個要點：

（1）依據(jù)訪問控制策略控制虛擬機之間訪問；

（2）實現(xiàn)云平臺管理用戶權(quán)限分離機制，為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建立不同賬戶并分配相應(yīng)的權(quán)限；

（3）確保只有在云租戶授權(quán)下，云服務(wù)方或第三方才具有云租戶數(shù)據(jù)的管理權(quán)限；

（4）云計算平臺應(yīng)提供開放接口或開放性安全服務(wù)，允許云租戶接入第三方安全產(chǎn)品或在云平臺選擇第三方安全服務(wù)。

3、數(shù)據(jù)安全

由于云租戶的數(shù)據(jù)存儲在云平臺中，等保2.0對數(shù)據(jù)的感知、遷移及數(shù)據(jù)保密性、可用性、完整性都有更高層次的要求，數(shù)據(jù)安全需要云平臺和云租戶方共同來承擔，其區(qū)別于通用要求的有如下幾點：

（1）用戶可感知：應(yīng)提供查詢云租戶數(shù)據(jù)及備份存儲位置的方式；

（2）用戶可遷移：應(yīng)保證云租戶業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺或者遷移到本地信息系統(tǒng)；

（3）虛擬機安全：確保虛擬機遷移過程中的完整性保護和信息防泄漏；

實驗組35人（92.11%）對教學模式滿意，與對照組27人（72.97%）相比，差異有統(tǒng)計學意義（P＜0.05）。實驗組36人（94.74%）認為所接受的教學能激發(fā)學習興趣，與對照組29人（78.38%）相比，差異有統(tǒng)計學意義（P＜0.05）（見表3）。

（4）鏡像安全：對虛擬機鏡像文件進行完整性保護，可檢測到非授權(quán)修改；

（5）快照安全：對虛擬機快照文件進行保密性保護。

4、安全管理

在安全管理層面，除云平臺等級應(yīng)不低于應(yīng)用系統(tǒng)的安全保護等級外，對于云租戶和云服務(wù)商之間的合同協(xié)議也應(yīng)該有更加嚴格的規(guī)定，主要包括以下兩點：

（1）應(yīng)以書面方式約定云服務(wù)商的權(quán)限與責任，包括管理范圍、職責劃分、訪問授權(quán)、隱私保護、行為準則、違約責任等；

（2）簽訂服務(wù)水平協(xié)議和保密協(xié)議，并可提供相關(guān)證明。

四、安全防護重點

在實際應(yīng)用中，不同單位所需的模式不同，部署的方式和架構(gòu)也有所不同，這導致面臨的安全問題和自身安全需求也千差萬別，而常見模式已經(jīng)面臨的安全問題可以分為以下幾類：

（一）All in one 模式

All in one模式的特點為企業(yè)應(yīng)用較為簡單，業(yè)務(wù)需求不高，可部署在單一云服務(wù)器ECS上。其所面臨的問題有以下幾點：

1、登錄安全：防止黑客通過暴力破解等登錄ECS；

2、賬號授權(quán)管理：不同用戶登錄ECS，分配不同權(quán)限；

3、服務(wù)器安全漏洞：服務(wù)器本身是否存在漏洞，是否及時打補??；

4、應(yīng)用訪問攻擊：web端的用戶攻擊，如SQL注入、XSS；

5、數(shù)據(jù)備份加密：針對云服務(wù)器ECS數(shù)據(jù)進行加密存儲，快照，防止被黑客竊取。

網(wǎng)絡(luò)攻擊風險：防止DDOS攻擊，保證可用性。

（二）應(yīng)用與數(shù)據(jù)分離模式

應(yīng)用與數(shù)據(jù)分離模式的主要特點為在云服務(wù)器ESC上部署應(yīng)用，數(shù)據(jù)存儲在云數(shù)據(jù)庫RDS上。其所面臨的問題有以下幾點：

1、數(shù)據(jù)傳輸安全：保證ECS與RDS間數(shù)據(jù)傳輸過程中的保密性與完整性；

2、網(wǎng)絡(luò)通信安全：保證ECS與RDS間網(wǎng)絡(luò)通信不中斷；

3、數(shù)據(jù)庫訪問白名單授權(quán)：防止黑客IP訪問數(shù)據(jù)庫；

4、數(shù)據(jù)庫備份容災：對數(shù)據(jù)進行備份，保證及時恢復。

（三）應(yīng)用集群部署

應(yīng)用集群部署的主要特點為部署負載均衡SLB，后端部署ESC集群，解決系統(tǒng)前端壓力，提高可用性。其所面臨的問題有以下幾點：

1、服務(wù)器訪問授權(quán)：僅授權(quán)SLB對ESC進行訪問，提升前端訪問ECS的安全性；

2、服務(wù)器安全區(qū)域隔離：防止黑客通過一臺ECS作為跳板入侵其他ECS；

3、負載均衡加密訪問：加密證書上傳至SLB，保證加密訪問每個ECS。

（四）動靜資源分離

動靜字源分離的主要特點為對非結(jié)構(gòu)化直接存入云存儲OSS，降低系統(tǒng)存儲壓力。其所面臨的問題有以下幾點：

1、云存儲數(shù)據(jù)備份和加密：對云存儲中數(shù)據(jù)進行備份，保證數(shù)據(jù)不丟失，對云存儲中數(shù)據(jù)進行加密存儲，防止被黑客竊?。?/p>

2、云存儲數(shù)據(jù)容災：防止云存儲服務(wù)不可用而導致數(shù)據(jù)丟失。