2019年,网络安全等级保护系列标准正式发布,网络安全等级保护从此由1.0时代迈入2.0时代。网络安全等级保护制度在2.0时代着重于全方位的主动防御、动态防御、精准防护和整体防控的安全防护体系,将云计算、物联网、移动互联、工业控制信息系统和大数据等新应用、新技术纳入等级保护扩展要求。云计算是以网络技术及分布式计算为基础的一种新计算模式,通过互联网实现按需服务、泛在接入、多租户和资源池、快速弹性、可度量性五大特征。随着云计算的迅速发展,云计算安全已成为制约云计算发展的重要一环,使得云计算安全成为IT界的热点研究方向之一。大量存储或运行在云端的数据面临数据丢失、泄露及非法访问等风险,为确保云端数据在存储、共享、查询和计算等云计算服务中数据的安全性,规避云数据面临的安全威胁,国家发布了《信息安全技术云计算服务安全能力要求》、《信息安全技术 网络安全等级保护基本要求》等系列合规性要求,合理、有效地应用这些合规性要求对提升云计算安全具有重要的作用。因此,建立云计算环境下的合规能力评估模型有着重大的探索意义和参考价值。与此同时,基于云环境下合规能力的要求,可进一步强化云计算安全性及可用性,有利于云计算安全合规体系的发展。
文章基于《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019),通过对云计算系统/平台保护对象、安全措施及安全能力的识别,构建云计算等级保护2.0合规能力模型,并介绍了模型的应用方法。
1云计算保护对象
基于云计算等级保护防护体系和云计算的实现机制可将云计算平台分为基础架构层、云服务层、云访问层、云用户层、应用/数据层及管理层6个层次,如图1所示。
图1 云计算功能架构
云用户层包括云计算服务提供者和云计算服务使用者各类用户。云用户层是云服务提供者与云服务客户间的交互界面。云访问层主要面向云计算服务提供者、云计算服务使用者,为其提供访问和管理功能,包括网络通信访问、面向云计算服务提供者和使用者的服务访问以及面向最终用户的应用访问等。应用/数据层为用户提供应用软件开发平台中间件、业务应用和数据。云服务层面向云服务客户提供虚拟机、数据库等基础服务,也可以分为网络服务、弹性计算服务、云存储服务及面向用户的应用服务,主要的服务包括但不限于负载均衡、虚拟主机、对象存储服务、分布式数据库与大数据计算服务等。基础设施层为云服务层或者用户提供其所需的计算和存储等资源,并通过虚拟化等技术将资源池化,以实现资源的按需分配和快速部署,包括网络资源、计算资源和存储资源等的资源池,并实现资源管理、任务调度和服务管理等方面功能;还包括主要的硬件设施,如存储设备、网络设备、安全设备和服务器等硬件设备及硬件设备的运行环境等。管理层主要是跨层访问功能的集合,包括对云服务的业务管理、云平台和云服务的运维运营管理以及云平台系统和服务的安全管理。
云计算平台由基础设施、设备硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成,根据云计算服务模式可分为基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。在不同的云计算服务模式下,云服务商和云服务客户对计算资源拥有不同的控制范围,如图2所示,
图2 云计算服务模式与控制范围的关系
控制范围决定其安全责任的边界。在IaaS模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在PaaS 模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在SaaS模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。
云计算环境采用的部署模式不同安全责任边界也不同,在确定具体安全责任时,应视系统具体运行情况而定。例如,自建私有云并独立承担云上业务的应用系统,云计算平台及其上的云服务应用责任主体一致。云安全责任规定任何一个云服务参与者都应承担相应的职责。云计算是一种共享技术模式,不同的云平台通常会承担实施和管理不同部分的责任。因此,安全职责也由不同的云平台分担,所有的云平台都包含在其中,即分担责任模型,它依赖于特定的云提供商和功能/产品、服务模式和部署模式的责任矩阵,基于“权责一致”、“安全管理责任不变,数据归属关系不变”的原则,即对数据有什么管理权就应负相应的责任。
2云计算安全措施
区别于传统的信息系统,在云计算环境中,边界可信日益削弱,源自不同平面的攻击日趋增多。传统分层面单层防御体系对确保云计算系统安全性显得尤为困难,基于等级保护2.0“一个中心,三重防护”的纵深防护思想,即从通信网络到区域边界再到计算环境进行重重防护,通过安全管理中心进行集中监控、调度和管理,构建云计算安全措施,如图3所示。用户通过安全的通信网络跨越安全的区域边界以网络直接访问、API接口访问或Web服务访问等方式访问安全的云计算环境。安全云计算环境包括基础架构层安全、云服务层安全以及业务应用和数据安全。
基础架构层分为云计算硬件设备和虚拟化计算资源,云服务层包括云产品及资源抽象控制等。云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。
《信息安全技术 网络安全等级保护基本要求》在安全计算环境方面主要增加了虚拟化安全、镜像和快照安全等云计算相关的控制点,安全的云计算环境应提供安全加固(操作系统、镜像)、虚拟机隔离、双因素身份认证以及访问控制、安全审计等安全措施。在安全区域边界方面,除了传统物理区域的边界安全外,增加了虚拟网络区域边界、虚拟机与宿主机之间的区域边界等安全防护要求,安全的云计算环境区域边界应提供网络隔离、流量监控、虚拟机隔离等安全措施。在安全通信网络方面,在物理通信网络基础上增加了虚拟网络通信的安全保护要求,安全的通信网络应提供区域划分(物理网、虚拟网)、入侵检测、设备性能(物理网络设备、虚拟网络设备)监控等安全措施。在安全管理中心方面,应提供权限划分、授权、审计日志集中收集(分析)、时间同步等安全措施。
3云计算安全技术能力
安全技术能力是云计算系统安全措施作用于保护对象上形成的抵抗外部攻击的一种防护能力。云安全措施是根据广泛的经验和学识为对抗云计算系统面临的威胁而采取的防护措施,有的安全措施是云计算平台原生的,有些则是云服务商为应对威胁而自研或由云生态合作伙伴提供的。文章引入安全能力定量和变量的定义。定量指云服务商不依赖于用户选择而原生提供的安全能力,如VPC、安全组防火墙等。变量指云服务商依据用户需求,为应对系统威胁而选择性提供的安全能力,该能力既可由云服务商提供,也可由云服务生态合作伙伴提供,如网络设备加固、第三方硬件加密机等。
4云等保2.0 合规能力模型
首先,明确云计算保护对象;其次分析云计算系统所拥有的原生安全措施以及为应对可能面临的威胁建设的安全防护措施,并分析云平台安全措施作用于保护对象后所形成的安全技术能力;最后比较云平台安全技术能力与网络安全等级保护2.0基本要求间的差距,分析云平台的合规情况,构建云等保2.0合规能力模型。
1)模型建立
安全技术能力是云计算系统安全措施作用于保护对象上形成的抵抗外部攻击的一种防护能力,构建SMO矩阵模型,如表1所示。
表1 SMO矩阵模型
表1中,“√”表示安全措施在保护对象上能够起到相应的安全作用;N/A表示安全措施无法作用于保护对象或作用于保护对象时无法起到相应的安全作用。根据不同的安全措施作用于不同的保护对象形成的安全能力,构建SCMO矩阵模型,如表2所示。
表2 SCMO矩阵模型
表2中,“0”表示云平台原生安全措施作用于保护对象后提供的安全能力,在云平台交付时,默认交付;“1”表示云平台提供的安全能力,在云平台交付时,用户根据业务需求,考虑系统所面临的威胁,需按需购买;“-1”表示根据业务需求,用户自行部署安全产品或安全加固后所形成的安全能力。“0”为定量,“1”和“-1”为变量。“—”表示安全措施无法作用于保护对象或作用后未形成安全能力。
综合云平台保护对象、安全措施、安全能力间的关系,构建云网络安全等级保护2.0合规模型,根据模型分析得出云安全技术能力,与网络安全等级保护2.0基本要求项进行对比,进行合规性评估,如图3所示。对于不符合项,识别云计算平台脆弱性,及时作出相应的加固,增强抵御风险的防护能力。
图3 云平台网络安全等级保护2.0合规模型
2)模型应用
识别云计算保护对象、安全措施,分析得到云计算安全技术能力,基于云平台网络安全等级保护合规能力模型,与网络安全等级保护2.0基本要求项进行对比,进行安全合规性评估,如图4所示。对于不符合项,识别云计算云平台脆弱性,及时作出相应的加固,增强抵御风险的防护能力。
图4 云平台网络安全等级保护2.0评估方法
5结束语
当前公司乃至集团公司正在进入数字化转型初期,云计算技术可以说是数字化转型的基础助力,可以为信息化建设提供可持续的计算资源、存储资源等。与此同时云计算基础服务、中间件、数据库、大数据和安全应用,需要一套完整的安全防护能力。文章基于网络安全等级保护2.0安全架构防护体系和云计算的实现机制,首先对云计算平台的保护对象进行识别;然后基于网络安全等级保护“一个中心,三重防御”的主动防御、动态防护的思想,分析了云计算平台当前具有的安全措施,并对安全措施作用于保护对象后形成的安全能力进行分析、识别,从而构建网络安全等级保护2.0合规能力模型,便于云服务商或云服务客户及时作出相应的安全加固,增强云计算平台/ 系统抵御风险的安全防护能力。
(摘编\杨阔 审核\李洪烈)
——情报来源:《信息网络安全》2019年第11期
——参考文献:
[1]张振峰,张志文,王睿超. 网络安全等级保护2.0云计算安全合规能力模型. 信息网络安全,2019.