CSA发布《云计算关键领域安全指南V4.0》

   2017年7月28日,国际云安全联盟(CSA)发布了《云计算关键领域安全指南V4.0》(简称:《云安全指南4.0》)。随着云计算领域的发展,国际云安全联盟(CSA)不断研究迭代更新发布新的标准。时隔6年,国际云安全联盟(CSA)将《云安全指南》在V3.01版本的基础上升级到V4.0版本。

  《云安全指南4.0》相比2011年发布的《云安全指南》V3.01版本,虽然还是从架构、治理和运行三个方面14个领域对云计算安全进行指导,但是在结构和内容上进行了非常大的更新改动。新指南去掉了互操作性与可移植性、数据中心运行等内容,同时还与时俱进地增加了基础设施安全以及与云计算相关的新技术,如大数据、物联网、移动互联等安全方面的指导内容,对云、安全性和支持技术等方面提供更加详实的最佳实践指导。

  在网络安全等级保护云计算扩展要求中主要是给云服务提供商提出了为保障云安全的相关要求,对云用户的要求较少,因此本文将从云用户的角度出发,按照《云安全指南4.0》的14个领域分别归纳总结云用户应该如何保障云安全的指导建议。

  D1:云计算概念和体系架构

  本节主要介绍了云计算的相关概念及本指南其它13个章节的简要说明。本节的主要内容包括云计算的定义、云逻辑模型、云的架构和参考模型、云的安全性和合规管理范围、职责等内容。

  在云安全范围、职责和模型安全方面,本指南对三种云服务模型下的安全职责与角色进行了概述。在SaaS服务模型下云用户只能管理授权和权利;在PaaS服务模型下,云用户负责他们在平台上所部署的应用,包括所有安全配置;而在IaaS服务模型下,云用户负责他们建立在该基础设施上的其它安全。因此可以看出,当云用户选择IaaS时,云用户承担的责任就更多,如果选择SaaS则承担的责任相对较少。

  除此之外,指南还提供了用于帮助建立共享责任模式的两个工具,即共识评估问卷(CAIQ)与云控制矩阵(CCM)。建议云用户使用安全流程模型来选择云服务提供商。

  D2:治理和企业风险管理

  本节主要介绍了云治理的工具和方法以及如何审查和评估企业管理云计算所带来的风险的能力。

  在云治理方面,指南中指出了云治理的主要工具是云服务提供商和云客户之间的合同。云用户应了解合同是如何影响治理框架/模型的,应根据不同的部署模式提出不同的合同要求,在签订协议之前应获得和审查合同,如果合同不能有效协商,且具有无法接受的风险,可以考虑采用其他机制来管理这种风险。

  在企业风险管理方面,云用户应根据选定的云部署和服务模型确定安全和风险管理的责任共担模型。除此之外,云用户应建立一种具体的风险管理和风险接受/缓解方法,来评估每个解决方案的风险。云用户应定期对云服务提供商管理风险的能力进行审查和评估,在审查和理解云服务提供商管理风险的能力之后,还应考虑残余风险,残余风险通常可以通过控制措施(例如加密)来管理。

  D3:法律问题,合同和电子取证

  本节的主要内容包括信息和计算机系统的保护要求、安全漏洞信息披露的法律、监管要求,隐私要求和国际法以及合同和电子取证的相关要求和建议等。

  在数据保护方面,云用户应采用合理的技术、物理和管理措施来防范个人数据遭受丢失、滥用或篡改。如果要将用户的数据传输给第三方或迁移到云上时,应经过用户的同意。

  在签署合同时,云用户应与云服务提供商慎重签署书面协议,协议应清晰定义角色、各方的期望和与数据利害攸关的众多职责,还应明确识别允许和禁止使用的数据,以及数据被盗或泄漏时应采取的措施。除此之外,应有保密协议或数据使用协议来限制公司将用户数据传输给第三方。

  在电子取证时,云用户可能无法像在本地一样申请或使用电子取证工具,也可能没有能力或管理权限搜索或访问托管在云中的数据,所以云用户需要考虑导致受限访问所需要的潜在的额外的时间和费用。当云用户发出访问云中存储的数据的请求时,云服务提供商应该分析信息的要求和关联性、重要性、均衡性或可访问性的相关数据结构,当云用户收集到信息后,应采取合理的措施以验证其从云服务提供商收集的信息是完整的和准确的。云用户和云服务提供商之间应签署一项协议,用来在电子取证请求事件中相互配合,达到共同利益。

  D4:合规性和审计管理

  本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中证明合规性的一些指导。

  合规性在云服务中是一个共享责任模式,云用户应始终对自己的合规性负责,其中的责任是通过合同,审核/评估,和具体的合规性要求的细节来确定的。因此,云用户应该在部署、迁移或开发云技术之前,明确全部合规义务。了解评估和认证的范围,包括控制和系统特性/服务。云用户应评估云服务提供商的第三方认证,并将其与合规性要求保持一致。云用户应定义审计管理的范围,选择具有云计算经验的审核人员,确保他们了解云服务提供商提供的合规性证据,并有效地收集和管理这些证据。云安全联盟云控制矩阵可以提供云服务提供商的注册表、相关的遵从性要求以及当前的状态等证据。当云服务提供商的证据不充足时,云用户应创建和收集自己的证据。

  D5:信息治理

  本节涉及云中数据的识别和控制;以及可用于处理数据迁移到云中时失去物理控制这一问题的补偿控制。除此之外也提及了其他内容,如谁负责数据机密性、完整性和可用性等。

  云用户应该在计划向云过渡之前,确定信息的治理需求。包括法律和监管要求、合同义务和其它公司策略,确保信息治理策略和实践可以扩展到云端。云用户还应对信息的去向以及信息的访问进行授权,利用迁移到云的机会,对现有基础设施曾使用的断裂的方法,进行重新思考和重新构建,而不是搁置和平移现有的信息架构。在需要时,云用户应使用数据安全生命周期帮助数据处理和控制进行建模。

  D6:管理平面和业务连续性

  本节主要介绍了对访问云时使用的管理平台和管理结构进行的保护,包括Web控制台和API,从而确保云部署的业务连续性。

  对于保障管理平面的安全,云用户应该负责正确配置他们所使用的管理平面,保护和管理其授权证书,利用身份识别和访问权限管理措施来保障管理平面的安全。始终只允许用户、应用程序和其他管理平面所需的最少特权,应谨慎使用这些特权;所有特权用户的帐户都应使用多因子身份验证(MFA)。在业务连续性方面,在SaaS服务模型下,云用户应依靠云服务提供商保障整个应用程序的服务运行。而在IaaS服务模型下,云用户可以设计自己的应用程序的架构来应对故障,将更多责任掌握在手中。除此之外,云用户应定期提取和归档数据,使用冷备设备和DNS重定向技术,并且还应该拥有相应的通知计划和应急响应方案,从而保证宕机之后业务的连续性。

  D7: 基础设施安全

  本节主要涉及核心云基础架构的安全性,包括对网络、负载和混合云的安全考虑,该领域还包括私有云的安全基础。

  云用户应定期检查行业标准和行业特定的合规证书和认证,确保云服务提供商遵循云基础设置的最佳实践和规则。在网络方面,应优先使用SDN,确保在多个虚拟网络和多个云帐号/业务中可以增强网络隔离。还应基于每一个负载部署默认拒绝策略的防火墙,只要环境允许,建议始终使用云防火墙策略限制同一个虚拟子网中负载之间的流量。在计算/负载方面,尽量使用不可变负载,将日志存储到负载之外,还应了解和遵守云服务提供商对漏洞评估和渗透测试的规定。

  D8: 虚拟化及容器技术

  本节涉及虚拟化管理系统、容器和软件定义的网络的安全性。

  在虚拟化方面,云用户主要负责合理配置虚拟网络的部署,尤其是虚拟防火墙。负责控制正确的权限管理及配置。当虚拟防火墙和/或监控不满足安全需求时,云用户可用虚拟安全设备或主机安全代理进行补偿。云用户应该确保他们理解云服务提供商提供的功能及所有安全漏洞。根据云服务提供商和其他行业最佳实践合理地配置虚拟化服务。

  对于容器技术,云用户应该了解已选容器平台和底层操作系统的安全隔离功能,然后选择合适的配置。使用物理或虚拟主机在同一物理或虚拟主机上提供相同的安全性的上下文的容器隔离和容器组。确保只能部署批准的、已知且可靠的容器镜像或代码。适当地保护容器协调器/管理程序及调度者软件栈。为所有容器和管理程序仓库实现适当的基于角色的访问控制,以及强大的认证功能。

  D9: 事件响应

  本节主要介绍了适当的和充分的事件检测、响应、通告和补救的措施建议。尝试说明为了启动适当的事件处理和取证,在云用户和云服务提供商两边都需要满足的一些条目。

  云用户必须了解云服务提供商所提供的用于分析目标数据的内容和格式,并评估现有的取证数据是否满足司法证据保管链要求。采用持续和无服务器的方式监控云资源,才能比传统的数据中心更早地发现潜在的问题。数据源应存储或复制到在事件期间仍可保证可用性的位置上。云用户应该建立与云服务提供商沟通的适当路径,以便在事件发生时使用。事件响应计划至少每年或每当应用架构有重大变化时进行测试。云用户应尽可能地将其测试程序与云服务提供商(和其他合作伙伴)的测试程序进行最大程度的整合。

  D10:应用安全

  本节主要介绍如何保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行,如果可行,什么类型的云平台(SaaS,PaaS,IaaS)是最合适的。

  云用户应了解云服务提供商的安全功能,不仅仅是他们的基准,还有各种平台和服务,应将安全性构建到初始设计过程中,即使没有正式的安全软件开发生命周期(SDLC),也可以考虑进行连续部署,将安全性自动化到部署管道中。应将威胁建模、静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)、安全测试集成到部署过程中。使用事件驱动的安全性自动检测和修复安全问题。使用不同的云环境来更好地隔离管理平台访问,并自由的为开发人员提供配置开发环境,同时也锁定生产环境。

  D11:数据安全和加密

  本节主要介绍了如何实施数据的安全和加密控制,并保证可扩展的密钥管理。

  云用户应确保在数据移动到云端的过程中采取数据保护措施,采用访问控制和加密的数据安全控制技术保护云中的数据,创建用于确定访问控制的授权矩阵。但是也不要完全依赖访问控制和加密,还要利用架构来提高数据安全性。密钥管理和加密同样重要,密钥管理主要考虑因素是性能、可访问性、延迟和安全性,应将正确的密钥在正确的时间放在合适的位置。云用户管理的密钥允许云用户在云服务提供商管理加密引擎时管理自己的加密密钥。除此之外,云用户还应利用现有标准来帮助建立良好的安全性,正确使用加密和密钥管理技术和流程。

  D12:身份、授权和访问管理

  本节介绍了如何利用管理身份和目录服务来提供访问控制。关注点是组织将身份管理扩展到云中所遇到的问题。

  云用户负责维护身份提供者并定义身份和属性,还应制定一个全面和正式的计划和流程管理云服务的身份和授权,酌情考虑适当的使用身份代理。云用户应对所有外部云账户优先选择MFA,并发送MFA状态作为联合身份验证时的属性。为每个云服务提供商和项目制定权利矩阵,重点是元结构和管理界面的访问。除此之外,在控制风险方面,没有什么事情比特权用户管理更重要的,应利用凭证控制,数字证书,物理和逻辑上独立的访问控制点,以及堡垒机等单独严格控制的系统,对特权用户的登录行为进行控制。

  D13:安全即服务

  本节主要介绍了云服务提供商提供安全能力来促进安全保障、事件管理、合规认证以及身份和访问监督,除此之外还给出了安全即服务潜在的优势以及问题。

  在确定SecaaS提供商之前,云用户务必要了解数据处理(和可用性)、调查和合规性支持的任何安全性要求。特别需要注意处理受监管的数据,如个人身份信息保护(PII)。了解数据保留需求,并选择支持输入的数据不会产生锁定情况的云服务提供商。确保SecaaS服务与当前和未来的计划兼容。

  D14:相关技术

  本节主要介绍了与云计算有着密切关系的已建立的新兴技术,包括大数据,物联网和移动计算。

  大数据

  尽可能利用云服务提供商的能力,即使它们与大数据工具安全功能有重叠。对数据收集和数据存储层中的主存储、中间存储和备份存储进行加密。充分理解使用云机器学习或分析服务的潜在好处和风险。特别注意隐私和合规性的含义。当考虑到不符合安全性、隐私或合规性要求的服务时,云用户应该考虑使用数据屏蔽或混淆。除此之外,云用户还应遵循其他大数据安全最佳实践,包括工具供应商(或开放源码项目)和云安全联盟提供的那些最佳实践。

  物联网

  在数据收集阶段,应使用安全的数据收集管道并对其进行数据清理,以防止通过对数据收集管道进行攻击从而利用云应用和云基础设施。在数据传输阶段,需要加密通信。在数据存储阶段,不要将静态凭据存储在可能导致云应用程序或基础设施受损的设备上。除此之外,还需要确保设备可以进行修补和升级,并且还应遵循由CSA物联网工作组发布的更多、更详细的指南。

  移动

  在设计一个直接连接到云基础设施的应用程序时,云用户需要遵循云服务提供商的指导,以正确的身份验证和授权移动设备。在API防护方面,为恶意的API活动实现服务器/云端安全监视。测试所有的API时,都应该假设恶意攻击者具有身份验证、未加密的访问权限。验证所有API数据并对其进行清理以确保安全。在数据传输方面,不要在因特网上传输未加密的密钥或凭证。在数据存储方面,确保存储在设备上的所有数据都是安全的和加密的。那些可能由于应用程序栈受攻击而导致泄露的敏感信息不能存储在本地设备上,因为恶意用户很可能访问到这些数据。除此之外,云用户还应遵循CSA移动工作组的更详细的建议和研究。