一、前言
今天我們來講等保測評2.0的安全拓展要求,首先是雲安全計算,這裡我們就不具體介紹“雲”的概念了,想必大家或多或少的都瞭解些,“雲”的概念早很早就已經提出來了,許多廠家也都佈局“雲”業務好久了,現在等保2.0把雲計算安全列到擴充套件要求裡邊,也是順應技術發展的趨勢,同時也表示“雲”技術無論是成熟度還是應用度,都已經達到了很高的程度,作為新出來的技術,傳統的測評標準已經無法滿足現在的測評需求,出現擴充套件要求也就順理成章。
二、雲計算服務的定級
在介紹雲計算安全擴充套件要求之前,有必要先說明一下雲計算服務的定級要求,不同於傳統的業務系統那樣系統硬體與軟體高度耦合,而云服務上的業務系統與雲的界限劃分明確,雲服務一般都是執行環境和一些基礎的服務(大部分是硬體),我們稱它為雲平臺,而使用者可以租用雲平臺上的硬體環境和基礎服務,來部署自己的業務系統(軟體),如下圖所示,因此定級時也是分開定級的,相應的責任劃分和測評打分也都是根據實際情況分開來進行的,擴充套件要求也多數針對雲平臺的。
雲平臺及業務系統
以上定級方式也會有一些問題,就是平臺一旦定級之後,就只能部署同等級或者低等級的業務系統,要想部署高等級的業務系統就必須選擇相應等級的雲平臺,重新搭建顯然重複建設,那麼就可以在原平臺上劃分出一部分,單獨定級,這樣就可以承接相應等級業務系統了,如下圖所示:
分割槽域定級
由於雲計算服務的定級是由雲平臺和平臺上的業務系統分別定級共同決定的,因此測評結果也是分別打分的,例如(90,85)分別代表平臺和業務系統的得分。
三、測評項
1、安全物理環境
(1)基礎設施位置
a)應保證雲計算基礎設施位於中國境內。
這一項不用多說,處於國外的情況基本上不會發生。
中國境內
2、安全通訊網路
(1)網路架構
a) 應保證雲計算平臺不承載高於其安全保護等級的業務應用系統;
檢視雲平臺和業務系統的定級報告,確定業務系統定級不高於雲平臺定級。
b) 應實現不同雲服務客戶虛擬網路之間的隔離;
可以透過虛擬化軟體對不同客戶之間的虛擬網路進行隔離,透過橋接模式連線至不同的網絡卡,在透過訪問控制軟硬體來實現各個虛擬網路之間的隔離。
c) 應具有根據雲服務客戶業務需求提供通訊傳輸、邊界防護、入侵防範等安全機制的能力;
應該檢視雲平臺網路是否暢通,有沒有安裝一些邊界防護裝置,例如防火牆、閘道器等,以及入侵防護或檢測裝置或軟體。
通訊網路
d) 應具有根據雲服務客戶業務需求自主設定安全策略的能力,包括定義訪問路徑、選擇安全元件、配置安全策略;
雲平臺應該為客戶提供安全策略設定的自主選擇權,一般雲服務商會根據不同的安全級別設定不同的安全策略模板,當然前提是雲平臺必須配置相應的安全裝置。
e) 應提供開放介面或開放性安全服務,允許雲服務客戶接入第三方安全產品或在雲計算平臺選擇第三方安全服務。
雲平臺在提供基本安全服務的同時,當然應該允許客戶接入自己的安全產品,或者雲平臺提供的基礎安全服務之外的安全服務,主要是雲平臺應該提供足夠的常見介面,以方便客戶接入自己制定的安全產品。
3、安全區域邊界
(1)訪問控制
a) 應在虛擬化網路邊界部署訪問控制機制,並設定訪問控制規則;
檢視虛擬化網路邊界配置的訪問控制裝置,例如防火牆等,根據訪問控制機制,檢視設定的訪問控制規則能否滿足訪問控制機制。
訪問控制
b) 應在不同等級的網路區域邊界部署訪問控制機制,設定訪問控制規則。
檢視不同等級的網路區域邊界處有沒有配置訪問控制裝置,並檢視這些裝置是否設定合理有效的訪問控制策略。
(2)入侵防範
a) 應能檢測到雲服務客戶發起的網路攻擊行為,並能記錄攻擊型別、攻擊時間、攻擊流量等;
雲平臺應該配置入侵檢測及入侵防護裝置,檢測並防護雲服務客戶受到的網路攻擊行為,並對檢測和攔截行為進行記錄,檢視這些裝置的日誌檔案,記錄內容是否符合測評項的要求。
b) 應能檢測到對虛擬網路節點的網路攻擊行為,並能記錄攻擊型別、攻擊時間、攻擊流量等;
雲平臺應該配置入侵檢測及入侵防護裝置,檢測並防護客戶虛擬網路節點處受到的網路攻擊行為,並對檢測和攔截行為進行記錄,檢視這些裝置的日誌檔案,記錄內容是否符合測評項的要求。
入侵防範
c) 應該能檢測到虛擬機器與宿主機、虛擬機器與虛擬機器之間的異常流量;
異常流量檢測一般都是透過態勢感知裝置來實現的,因此雲平臺應該提供態勢感知裝置,並檢視這些裝置的配置是否合理有效,來檢測到各裝置之間的異常流量。
d) 應在檢測到網路攻擊行為、異常流量情況時進行告警。
檢視雲平臺是否安裝入侵警報系統,並檢視配置是否合理有效,確保發生網路攻擊行為或者異常流量情況時及時進行警報。
(3)安全審計
a) 應對雲服務商和雲服務客戶在遠端管理時執行的特權命令進行審計,至少包括虛擬機器刪除、虛擬機器重啟;
檢視雲平臺日誌檔案,是否包括特權命令的審計記錄,必要時建立測試虛擬機器刪除、重啟測試虛擬機器後,檢視是否有日誌記錄,記錄內容是否詳盡。
安全審計
b) 應保證雲服務商對雲服務客戶系統和資料的操作可被雲服務客戶審計。
雲服務商應該提供安全審計服務,但是審計內容不可以私自處置,當雲服務客戶需要檢視審計內容時,應該無條件地提供給客戶。
4、安全計算環境
(1)身份鑑別
a)當遠端管理雲計算平臺中的裝置時,管理終端和雲計算平臺之間應建立雙向身份驗證機制。
測試遠端管理終端訪問雲平臺是時,雲平臺是否採用IP地址+Mac地址或者數字證書的驗證方式來驗證遠端終端的合法性,一般常見的組合是IP地址+Mac地址,我們可以換一臺終端訪問雲平臺,測試是否依然可以訪問,同時遠端終端也需要驗證雲平臺的可信性,一般採用數字證書的方式,檢視是否有云平臺簽發的SSL證書。
(2)訪問控制
a) 應保證當虛擬機器遷移時,訪問控制策略隨其遷移;
訪問控制策略一般都是在防火牆上配置的,因此首先應該檢視雲平臺是否安裝虛擬化防火牆或者可以實現訪問控制功能的其他裝置,遷移虛擬機器時測試這些訪問控制策略是否有效。
安全策略
b) 應允許雲服務客戶設定不同虛擬機器之間的訪問控制策略。
首先應該檢視是否安裝虛擬防火牆或其他裝置,要想客戶可以自主設定訪問控制策略,需要雲平臺提供相應的介面,還有需要雲服務商分配給客戶相應的管理賬號,如果只有雲服務商可以管理就不符合了,實際情況是雲客戶很少自主配置訪問控制策略,最多是提要求,讓雲服務商來實現。
(3)入侵防範
a) 應能檢測虛擬機器之間的資源隔離失效,並進行告警;
檢視雲平臺是否相關資源隔離失效檢測功能,測試如果發生資源隔離失效時是否發生告警,一般的雲平臺都會有該功能,所以預設符合。
b) 應能檢測非授權新建虛擬機器或者重新啟用虛擬機器,並進行告警;
檢視雲平臺是否有該功能,一般新建虛擬機器都需要進行身份驗證後才可以操作,測試非授權重啟虛擬機器後是否報警,般的雲平臺都會有該功能,所以預設符合。
c) 應能夠檢測惡意程式碼感染及在虛擬機器間蔓延的情況,並進行告警。
檢視雲平臺是否安裝虛擬化的防病毒軟體,或者安全檢測平臺,當發生惡意程式碼入侵時是否可以進行警報。
(4)映象和快照保護
a) 應針對重要業務系統提供加固的作業系統映象或作業系統安全加固服務;
檢視雲平臺上是否提供經過安全加固的作業系統映象或者服務,映象檔案一般都是ISO檔案,安全加固服務可以是人工手動的加固。
映象
b) 應提供虛擬機器映象、快照完整性校驗功能,防止虛擬機器映象被惡意篡改;
大多數雲平臺基本都提供虛擬機器映象、快照完整性校驗功能,一般都是在映象檔案裡寫入雜湊值,遷移或者恢復時會檢測雜湊值,如果不匹配就無法遷移或者恢復,我們可以找到這個雜湊值檔案,修改後遷移或者恢復,檢視是否可行。
c) 應採取密碼技術或其他技術手段防止虛擬機器映象、快照中可能存在的敏感資源被非法訪問。
核查雲計算平臺是否在建立虛擬機器例項、恢復快照時具有加密功能。一般而言,也是透過呼叫KMS(秘鑰管理服務)或者加密機的介面實現的,主流的公有云平臺基本都有該功能,如果沒有KMS、加密機一般無法無法滿足。
(5)資料完整性和保密性
a) 應確保雲服務客戶資料、使用者個人資訊等儲存於中國境內,如需出境應遵循國家相關規定;
這個比較簡單了,核查雲計算平臺的雲計算基礎設施是否均位於中國境內。
b) 應確保只有在雲服務客戶授權下,雲服務商或第三方才具有云服務客戶資料的管理許可權;
一般情況下,雲服務商都會有云平臺上所有資源的許可權,因為雲平臺需要給各個客戶分配許可權,擁有超級管理員許可權,因此是否符合只能聽取與服務商的一面之詞,當然還可以檢視日誌檔案來確定,一般都是預設符合的。
加密保護
c) 應使用校驗碼或密碼技術確保虛擬機器遷移過程中重要資料的完整性,並在檢測到完整性受到破壞時採取必要的恢復措施;
修改虛擬機器檔案中的雜湊值,遷移虛擬機器是否成功,校驗一般都採用雜湊值,還可以使用密碼技術,例如MD5加密。
d) 應支援雲服務客戶部署金鑰管理解決方案,保證雲服務客戶自行實現資料的加解密過程。
檢視雲平臺是否部署KMS(秘鑰管理服務),是否提供自主加解密服務。
(6)資料備份恢復
a) 雲服務客戶應在本地儲存其業務資料的備份;
這一項責任主體有點困惑,如果要求雲服務商對業務資料進行備份儲存的話,那大部分雲平臺都符合要求,但是測評項要求雲客戶備份,那就檢視雲平臺有沒有提供給雲客戶自主備份的功能及本地儲存空間,檢視這些備份檔案。
b) 應提供查詢雲服務客戶資料及備份儲存位置的能力;
我覺得這一項和上一項略有矛盾,上一項要求雲客戶儲存備份資料,這一項又要求雲平臺提供查詢備份檔案位置的能力,我個人認為,上一項責任主體是雲客戶,目的就是不想讓雲平臺瞭解備份檔案的更多資訊,這樣一來,上一項也交給雲平臺來做更合理。
言歸正傳,檢視雲平臺是否提供備份儲存位置查詢功能即可。
備份與恢復
c) 雲服務商的雲端儲存服務應保證雲服務客戶資料存在若干個可用的副本,各副本之間的內容應保持一致;
核查雲計算平臺在建立虛擬機器時是否有多副本的功能,或者核查產品文件,採取何種措施保證多副本之間的同步。如果是公有云、或者基於Open stack的,基本都滿足,比如Openstack預設3副本。如果是Vsphere,開啟了FT功能,也是預設符合的。
d) 應為雲服務客戶將業務系統及資料遷移到其他雲計算平臺和本地系統提供技術手段,並協助完成遷移過程。
核查雲計算平臺是否有遷移功能,能夠讓雲客戶將業務系統及資料遷移到其他雲計算平臺,大部分雲平臺都是有這個功能的。
(7)剩餘資訊保護
a) 應保證虛擬機器所使用的記憶體和儲存空間回收時得到完全清除;
這一項我認為,虛擬機器在回收前客戶一定會刪除上邊的所有資料的,但是重點是完全刪除,這就有點難度,一般人刪除檔案就是右鍵點選刪除,我們知道這樣刪除是不完全的,我們很容易找回這些檔案,即使是格式化也可以透過技術手段找回,這需要雲平臺對回收的記憶體和儲存做專業化的處理,保證能夠完全清除。
剩餘資訊保護
b) 雲服務客戶刪除業務應用資料時,雲計算平臺應將雲端儲存中所有副本刪除。
這一項也比較複雜,首先我們應該可以查詢到所有的副本,再進行刪除,或者建立某種機制,在刪除某一副本時,可以選擇刪除所有一樣的副本,最好的方法是刪除測試一下,能夠實現這一功能就行。
5、安全管理中心
(1)集中管控
a) 應能對物理資源和虛擬資源按照策略做統一管理排程與分配;
首先應該檢視相關檔案,是否有提到相關資源分配的策略,技術上一般透過負載均衡技術來實現,核查雲平臺或者雲客戶是否配備相關技術軟體。
b) 應保證雲計算平臺管理流量與雲服務客戶業務流量分離;
流量分離也可以透過負載均衡技術來實現,還有一些使用者管理軟體,可以透過角色的不同來分配流量,也可以達到這個要求。
c) 應根據雲服務商和雲服務客戶的職責劃分,收集各自控制部分的審計資料並實現各自的集中審計;
d) 應根據雲服務商和雲服務客戶的職責劃分,實現各自控制部分,包括虛擬化網路、虛擬機器、虛擬化安全裝置等的執行狀況的集中監測。
到了這裡就不得不說到雲安全的責任劃分問題,在這裡我們從網上找到了一張圖,大家可以參考一下。
責任劃分
我們可以參考一下上圖的責任劃分,來對各自負責的部分來進行審計和檢測的。
6、安全建設管理
(1)雲服務商選擇
a) 應選擇安全合規的雲服務商,其所提供的雲計算平臺應為其所承載的業務應用系統提供相應等級的安全保護能力;
應檢視雲服務商的資質,檢視雲平臺的安全等級是否等於或者高於所承載業務系統的安全等級。
b) 應在服務水平協議中規定雲服務的各項服務內容和具體技術指標;
這個檢視相關服務協議,是否有類似的指標。
服務商選擇
c) 應在服務水平協議中規定雲服務商的許可權與責任,包括管理範圍、職責劃分、訪問授權、隱私保護、行為準則、違約責任等;
這個我們可以檢視服務協議中雙反的責任劃分情況,是否滿足測評項中提到的內容,也可以參考上面的責任劃分圖,一般都是雲服務商承擔的責任要多一些。
d) 應在服務水平協議中規定服務合約到期時,完整提供雲服務客戶資料,並承諾相關資料在雲計算平臺上清除;
這一項也只能檢視服務協議中是否有相關的規定了。
e) 應與選定的雲服務商簽署保密協議,要求其不得洩露雲服務客戶資料。
檢視與雲服務商簽訂的保密協議,是否包括不得洩露雲服務客戶資料等內容。
(2)供應鏈管理
a) 應確保供應商的選擇符合國家有關規定;
檢視選擇雲供應商時,涉及的流程檔案,包括但不限於招投標檔案、專家評審意見、中標檔案等,是否符合國家相關規定。
供應鏈管理
b) 應將供應鏈安全事件資訊或安全威脅資訊及時傳達到雲服務客戶;
向雲客戶確認相關安全資訊是否及時送達,並檢視傳送記錄。
c) 應將供應商的重要變更及時傳達到雲服務客戶,並評估變更帶來的安全風險,採取措施對風險進行控制。
向雲客戶確認相關安全資訊是否及時送達,檢視變更風險報告,並對預知的風險做過相應的措施進行控制。
7、安全運維管理
(1)雲計算環境管理
雲計算平臺的運維地點應位於中國境內,境外對境內雲計算平臺實施運維操作應遵循國家相關規定。
這一項就不多說了,基本都符合規定。
以上就是一項一項教你測等保2.0安全擴充套件要求——雲計算安全的所有內容,希望對大家有所幫助,之後會更新其餘安全擴充套件要求的測評項,歡迎關注@科技興瞭解更多科技尤其是網路安全方面的資訊與知識。
