一、前言
今天我们来讲等保测评2.0的安全拓展要求,首先是云安全计算,这里我们就不具体介绍“云”的概念了,想必大家或多或少的都了解些,“云”的概念早很早就已经提出来了,许多厂家也都布局“云”业务好久了,现在等保2.0把云计算安全列到扩展要求里边,也是顺应技术发展的趋势,同时也表示“云”技术无论是成熟度还是应用度,都已经达到了很高的程度,作为新出来的技术,传统的测评标准已经无法满足现在的测评需求,出现扩展要求也就顺理成章。
二、云计算服务的定级
在介绍云计算安全扩展要求之前,有必要先说明一下云计算服务的定级要求,不同于传统的业务系统那样系统硬件与软件高度耦合,而云服务上的业务系统与云的界限划分明确,云服务一般都是运行环境和一些基础的服务(大部分是硬件),我们称它为云平台,而用户可以租用云平台上的硬件环境和基础服务,来部署自己的业务系统(软件),如下图所示,因此定级时也是分开定级的,相应的责任划分和测评打分也都是根据实际情况分开来进行的,扩展要求也多数针对云平台的。
云平台及业务系统
以上定级方式也会有一些问题,就是平台一旦定级之后,就只能部署同等级或者低等级的业务系统,要想部署高等级的业务系统就必须选择相应等级的云平台,重新搭建显然重复建设,那么就可以在原平台上划分出一部分,单独定级,这样就可以承接相应等级业务系统了,如下图所示:
分区域定级
由于云计算服务的定级是由云平台和平台上的业务系统分别定级共同决定的,因此测评结果也是分别打分的,例如(90,85)分别代表平台和业务系统的得分。
三、测评项
1、安全物理环境
(1)基础设施位置
a)应保证云计算基础设施位于中国境内。
这一项不用多说,处于国外的情况基本上不会发生。
中国境内
2、安全通信网络
(1)网络架构
a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统;
查看云平台和业务系统的定级报告,确定业务系统定级不高于云平台定级。
b) 应实现不同云服务客户虚拟网络之间的隔离;
可以通过虚拟化软件对不同客户之间的虚拟网络进行隔离,通过桥接模式连接至不同的网卡,在通过访问控制软硬件来实现各个虚拟网络之间的隔离。
c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
应该查看云平台网络是否畅通,有没有安装一些边界防护设备,例如防火墙、网关等,以及入侵防护或检测设备或软件。
通信网络
d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
云平台应该为客户提供安全策略设置的自主选择权,一般云服务商会根据不同的安全级别设置不同的安全策略模板,当然前提是云平台必须配置相应的安全设备。
e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
云平台在提供基本安全服务的同时,当然应该允许客户接入自己的安全产品,或者云平台提供的基础安全服务之外的安全服务,主要是云平台应该提供足够的常见接口,以方便客户接入自己制定的安全产品。
3、安全区域边界
(1)访问控制
a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
查看虚拟化网络边界配置的访问控制设备,例如防火墙等,根据访问控制机制,查看设置的访问控制规则能否满足访问控制机制。
访问控制
b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
查看不同等级的网络区域边界处有没有配置访问控制设备,并查看这些设备是否设置合理有效的访问控制策略。
(2)入侵防范
a) 应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
云平台应该配置入侵检测及入侵防护设备,检测并防护云服务客户受到的网络攻击行为,并对检测和拦截行为进行记录,查看这些设备的日志文件,记录内容是否符合测评项的要求。
b) 应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
云平台应该配置入侵检测及入侵防护设备,检测并防护客户虚拟网络节点处受到的网络攻击行为,并对检测和拦截行为进行记录,查看这些设备的日志文件,记录内容是否符合测评项的要求。
入侵防范
c) 应该能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
异常流量检测一般都是通过态势感知设备来实现的,因此云平台应该提供态势感知设备,并查看这些设备的配置是否合理有效,来检测到各设备之间的异常流量。
d) 应在检测到网络攻击行为、异常流量情况时进行告警。
查看云平台是否安装入侵警报系统,并查看配置是否合理有效,确保发生网络攻击行为或者异常流量情况时及时进行警报。
(3)安全审计
a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
查看云平台日志文件,是否包括特权命令的审计记录,必要时建立测试虚拟机删除、重启测试虚拟机后,查看是否有日志记录,记录内容是否详尽。
安全审计
b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
云服务商应该提供安全审计服务,但是审计内容不可以私自处置,当云服务客户需要查看审计内容时,应该无条件地提供给客户。
4、安全计算环境
(1)身份鉴别
a)当远程管理云计算平台中的设备时,管理终端和云计算平台之间应建立双向身份验证机制。
测试远程管理终端访问云平台是时,云平台是否采用IP地址+Mac地址或者数字证书的验证方式来验证远程终端的合法性,一般常见的组合是IP地址+Mac地址,我们可以换一台终端访问云平台,测试是否依然可以访问,同时远程终端也需要验证云平台的可信性,一般采用数字证书的方式,查看是否有云平台签发的SSL证书。
(2)访问控制
a) 应保证当虚拟机迁移时,访问控制策略随其迁移;
访问控制策略一般都是在防火墙上配置的,因此首先应该查看云平台是否安装虚拟化防火墙或者可以实现访问控制功能的其他设备,迁移虚拟机时测试这些访问控制策略是否有效。
安全策略
b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。
首先应该查看是否安装虚拟防火墙或其他设备,要想客户可以自主设置访问控制策略,需要云平台提供相应的接口,还有需要云服务商分配给客户相应的管理账号,如果只有云服务商可以管理就不符合了,实际情况是云客户很少自主配置访问控制策略,最多是提要求,让云服务商来实现。
(3)入侵防范
a) 应能检测虚拟机之间的资源隔离失效,并进行告警;
查看云平台是否相关资源隔离失效检测功能,测试如果发生资源隔离失效时是否发生告警,一般的云平台都会有该功能,所以默认符合。
b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;
查看云平台是否有该功能,一般新建虚拟机都需要进行身份验证后才可以操作,测试非授权重启虚拟机后是否报警,般的云平台都会有该功能,所以默认符合。
c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
查看云平台是否安装虚拟化的防病毒软件,或者安全检测平台,当发生恶意代码入侵时是否可以进行警报。
(4)镜像和快照保护
a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
查看云平台上是否提供经过安全加固的操作系统镜像或者服务,镜像文件一般都是ISO文件,安全加固服务可以是人工手动的加固。
镜像
b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
大多数云平台基本都提供虚拟机镜像、快照完整性校验功能,一般都是在镜像文件里写入哈希值,迁移或者恢复时会检测哈希值,如果不匹配就无法迁移或者恢复,我们可以找到这个哈希值文件,修改后迁移或者恢复,查看是否可行。
c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
核查云计算平台是否在创建虚拟机实例、恢复快照时具有加密功能。一般而言,也是通过调用KMS(秘钥管理服务)或者加密机的接口实现的,主流的公有云平台基本都有该功能,如果没有KMS、加密机一般无法无法满足。
(5)数据完整性和保密性
a) 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
这个比较简单了,核查云计算平台的云计算基础设施是否均位于中国境内。
b) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限;
一般情况下,云服务商都会有云平台上所有资源的权限,因为云平台需要给各个客户分配权限,拥有超级管理员权限,因此是否符合只能听取与服务商的一面之词,当然还可以查看日志文件来确定,一般都是默认符合的。
加密保护
c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
修改虚拟机文件中的哈希值,迁移虚拟机是否成功,校验一般都采用哈希值,还可以使用密码技术,例如MD5加密。
d) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
查看云平台是否部署KMS(秘钥管理服务),是否提供自主加解密服务。
(6)数据备份恢复
a) 云服务客户应在本地保存其业务数据的备份;
这一项责任主体有点困惑,如果要求云服务商对业务数据进行备份保存的话,那大部分云平台都符合要求,但是测评项要求云客户备份,那就查看云平台有没有提供给云客户自主备份的功能及本地存储空间,查看这些备份文件。
b) 应提供查询云服务客户数据及备份存储位置的能力;
我觉得这一项和上一项略有矛盾,上一项要求云客户保存备份数据,这一项又要求云平台提供查询备份文件位置的能力,我个人认为,上一项责任主体是云客户,目的就是不想让云平台了解备份文件的更多信息,这样一来,上一项也交给云平台来做更合理。
言归正传,查看云平台是否提供备份存储位置查询功能即可。
备份与恢复
c) 云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;
核查云计算平台在创建虚拟机时是否有多副本的功能,或者核查产品文档,采取何种措施保证多副本之间的同步。如果是公有云、或者基于Open stack的,基本都满足,比如Openstack默认3副本。如果是Vsphere,开启了FT功能,也是默认符合的。
d) 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。
核查云计算平台是否有迁移功能,能够让云客户将业务系统及数据迁移到其他云计算平台,大部分云平台都是有这个功能的。
(7)剩余信息保护
a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
这一项我认为,虚拟机在回收前客户一定会删除上边的所有数据的,但是重点是完全删除,这就有点难度,一般人删除文件就是右键点击删除,我们知道这样删除是不完全的,我们很容易找回这些文件,即使是格式化也可以通过技术手段找回,这需要云平台对回收的内存和存储做专业化的处理,保证能够完全清除。
剩余信息保护
b) 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。
这一项也比较复杂,首先我们应该可以查询到所有的副本,再进行删除,或者建立某种机制,在删除某一副本时,可以选择删除所有一样的副本,最好的方法是删除测试一下,能够实现这一功能就行。
5、安全管理中心
(1)集中管控
a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配;
首先应该查看相关文件,是否有提到相关资源分配的策略,技术上一般通过负载均衡技术来实现,核查云平台或者云客户是否配备相关技术软件。
b) 应保证云计算平台管理流量与云服务客户业务流量分离;
流量分离也可以通过负载均衡技术来实现,还有一些用户管理软件,可以通过角色的不同来分配流量,也可以达到这个要求。
c) 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计;
d) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
到了这里就不得不说到云安全的责任划分问题,在这里我们从网上找到了一张图,大家可以参考一下。
责任划分
我们可以参考一下上图的责任划分,来对各自负责的部分来进行审计和检测的。
6、安全建设管理
(1)云服务商选择
a) 应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力;
应查看云服务商的资质,查看云平台的安全等级是否等于或者高于所承载业务系统的安全等级。
b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
这个查看相关服务协议,是否有类似的指标。
服务商选择
c) 应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
这个我们可以查看服务协议中双反的责任划分情况,是否满足测评项中提到的内容,也可以参考上面的责任划分图,一般都是云服务商承担的责任要多一些。
d) 应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除;
这一项也只能查看服务协议中是否有相关的规定了。
e) 应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。
查看与云服务商签订的保密协议,是否包括不得泄露云服务客户数据等内容。
(2)供应链管理
a) 应确保供应商的选择符合国家有关规定;
查看选择云供应商时,涉及的流程文件,包括但不限于招投标文件、专家评审意见、中标文件等,是否符合国家相关规定。
供应链管理
b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户;
向云客户确认相关安全信息是否及时送达,并查看传送记录。
c) 应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制。
向云客户确认相关安全信息是否及时送达,查看变更风险报告,并对预知的风险做过相应的措施进行控制。
7、安全运维管理
(1)云计算环境管理
云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。
这一项就不多说了,基本都符合规定。
以上就是一项一项教你测等保2.0安全扩展要求——云计算安全的所有内容,希望对大家有所帮助,之后会更新其余安全扩展要求的测评项,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。