本文共 1801 字,大约阅读时间需要 6 分钟。
当前,云租户无法知道处在公有云上的信息资产是否真的安全,缺乏独立的第三方安全审计,在出现权责纠纷时,云服务提供商“既是运动员又 是裁判员”,租户处于绝对弱势。另一方面,由于云服务提供商得不到权威的审计和认证,导致合规性要求高的业务系统无法选择公有云模式,成为了公有云发展的阻碍。
当前的云安全审计,审计主体和审计标准还不够权威,也缺乏权威的审计标准,审计的主体和审计的范围也不够全面、完整。笔者认为未来成熟的审计模型必定是具有第三方机构参与的涵盖“行为”、“状态”两个维度的安全审计模型,最终实现全面性、权威性、实时性和审计报告披露的科学性。
先看看云服务的网络安全风险排名:
再看看云用户的关注点:
针对上述内容,相关的组织与部门其实都考虑到了。国际上NIST或ISO都有相关的标准规范,最有名的是云安全联盟CSA,CSA发布过《云计算关键领域安全指南》、《云计算控制矩阵(CCM)》(这些都有中文版,如有需要可通过关注“赛博朔方”公众号后留下邮箱和索取资料名称的方式获取)并推出了一个CSA-STAR认证体系。国内呢,已发布了《云计算服务安全能力要求》(GBT31168-2014,面向云服务商)、《云计算服务安全指南》(GBT31167-2014,面向政府部门),新的网络安全等级保护标准征求意见稿里也扩展了云计算部分(有基本要求、设计要求、测评要求三册),国内也有基于CSA-STAR的C-STAR认证体系、工信部的“可信云服务认证”等。
那么如何进行云安全评估呢?以下是一个以评估云服务商为主及评估云平台相关为辅的案例,供参考。
1. 确定评估方法
拟以安全服务招标需求为依据,通过文档审核、访谈、审计验证、抽样测试等手段进行评估。评估内容包括:等级保护三级(云平台、业务系统等)、事前评估检测与加固、事中监控与防护、安全事后评估与应急处置、安全工作与能力、项目管理等方面。
2. 确定评估框架
根据项目实际,确定具体的评估框架如下表所示:
3. 评估操作指南
本文不针对文档审核、渗透测试等环节提供操作指南,这部分各家公司都有自己的一套方法。针对云安全评估部分,是以C-STAR评估体系(此体系综合了等同参考或修订的CSA标准、ISO27001、CSA_CCM对应的中国国家标准与规范)为主(如需相关的评估操作指导文档,可通过关注“赛博朔方”公众号后留下邮箱和索取资料名称的方式获取)。
C-STAR评估体系,包括应用和接口安全、审计保证及合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、数据中心安全、加密和密钥管理、治理和风险管理、人力资源、身份识别和访问管理、基础设施和虚拟化安全、互操作性和可移植性、移动安全、安全事件管理与电了证据及云端调查取证、供应链管理与透明性及责任、威胁和脆弱性管理16个领域164个条款,具体分布如下表所示:
根据上述164个评估条款进行评估/测试后或形成整体的云平台安全管理成熟度雷达图。
4. 输出评估报告
按照上述的评估框架,最终输出《验证与测试报告》、《安全服务评估总结报告》。
最后,说一点关于云平台建设、运营过程中各方最为关注的重点,就是云平基础设施提供者、云平台建设者、云平台管理者、云平台运营者、第三方安全服务商(有受雇于云平台方或云租户方)云租户、云上业务的用户等各方之前的关于网络安全的责任边界问题,下次有机会再与大家分享。
转载地址:http://hsbsx.baihongyu.com/