云計算系統的安全防護技術(shù)體系

隨著(zhù)云計算應用越來(lái)越廣泛，政務(wù)、通信、金融、電子商務(wù)等越來(lái)越多的領(lǐng)域開(kāi)始使用云計算，云計算服務(wù)正穩步成為IT基礎服務(wù)和信息技術(shù)關(guān)鍵基礎設施。云計算從2008年至今，經(jīng)歷了技術(shù)儲備期、服務(wù)發(fā)展期，基于其獨特的優(yōu)勢，例如減少開(kāi)銷(xiāo)和能耗、提高業(yè)務(wù)的靈活性、按需服務(wù)、提升業(yè)務(wù)系統可用性和高可擴展性等，可為用戶(hù)提供更加便捷且成本低廉的服務(wù)，云計算服務(wù)正向模式成熟期邁進(jìn)，期望實(shí)現方便、快捷、按需獲取服務(wù)的遠景目標。

然而，在云計算發(fā)展過(guò)程中安全可信問(wèn)題成為阻礙其發(fā)展的首要因素。尤其云計算服務(wù)具有按需自助服務(wù)、資源池化、泛在接入、快速彈性伸縮、服務(wù)可計算等五大特征，并且具有公有云、社區云、混合云和私有云等四種部署模式，IaaS、PaaS和SaaS三種主流的服務(wù)模式，云計算服務(wù)提供者和云服務(wù)客戶(hù)兩大責任主體，因此，如何確定安全責任，如何定級、如何監管、如何進(jìn)行安全防護技術(shù)體系設計都具有前所未有的難度。
 

 

此次修訂對云計算平臺、系統的擴展設計要求進(jìn)行了規范，針對不同安全等級的云計算平臺或采用云計算技術(shù)的信息系統明確安全設計目標、確定安全設計策略，并提出包括第一級至第四級云計算平臺系統安全保護環(huán)境的安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )和安全管理中心等方面的設計技術(shù)要求。適用于指導網(wǎng)絡(luò )安全等級保護云計算平臺系統安全技術(shù)方案設計和實(shí)施，也可以作為網(wǎng)絡(luò )安全職能部門(mén)對云計算平臺系統進(jìn)行監督、檢查和指導的依據。

云計算確定定級對象

1、云計算功能框架

云計算功能架構分為五個(gè)邏輯層，資源層、云服務(wù)層、云訪(fǎng)問(wèn)層、云用戶(hù)層和云管理層。

云用戶(hù)層:云用戶(hù)指訪(fǎng)問(wèn)云計算平臺的各類(lèi)用戶(hù)，包括云服務(wù)提供者和云服務(wù)使用者。用戶(hù)層主要是指云服務(wù)與租戶(hù)或云用戶(hù)的交互界面，例如云服務(wù)使用者對云資源的管理、對云服務(wù)的監控，云服務(wù)使用者向云服務(wù)提供者追加或減少云資源的訂購等。

云訪(fǎng)問(wèn)層:訪(fǎng)問(wèn)層主要面向云服務(wù)提供者、云服務(wù)使用者提供訪(fǎng)問(wèn)和管理，包括網(wǎng)絡(luò )通信訪(fǎng)問(wèn)、面向云服務(wù)提供者和使用者的服務(wù)訪(fǎng)問(wèn)以及面向最終用戶(hù)的應用訪(fǎng)問(wèn)等，各層之間的粗實(shí)線(xiàn)表示訪(fǎng)問(wèn)的接口?；谠L(fǎng)問(wèn)層，云服務(wù)使用者可以實(shí)現對云服務(wù)的自動(dòng)或手動(dòng)訪(fǎng)問(wèn)。訪(fǎng)問(wèn)層訪(fǎng)問(wèn)云服務(wù)的方式是多樣的，可以基于瀏覽器的方式，也可以基于遠程通信的方式(例如WebService)。實(shí)現安全控制是訪(fǎng)問(wèn)層的重要功能，主要包括授權、訪(fǎng)問(wèn)特定服務(wù)的請求安全加固和完整性校驗、通信協(xié)議管控等。

云服務(wù)層:云服務(wù)層主要是面向用戶(hù)提供虛擬機等基礎服務(wù)、平臺服務(wù)和應用服務(wù)，也可以分為網(wǎng)絡(luò )服務(wù)、彈性計算服務(wù)、云存儲服務(wù)以及面向用戶(hù)的應用服務(wù)，主要的服務(wù)包括但不局限于負載均衡、虛擬主機、對象存儲服務(wù)、分布式數據庫與大數據計算服務(wù)等。

資源層:資源層包括云資源層和硬件設施層。云資源層包括網(wǎng)絡(luò )資源、計算資源和存儲資源等的資源池，并實(shí)現資源管理、任務(wù)調度和服務(wù)管理等方面功能。硬件設施層主要包括計算存儲設備、網(wǎng)絡(luò )設備和安全設備等硬件設備及硬件設備的運行環(huán)境等。

云管理層(跨層功能):云管理層主要是跨層訪(fǎng)問(wèn)功能的集合，包括對云服務(wù)的業(yè)務(wù)管理、云平臺及云服務(wù)的運維運營(yíng)管理、以及對云平臺系統和服務(wù)的安全管理。業(yè)務(wù)管理主要包括產(chǎn)品目錄、賬戶(hù)管理、計費等;運維管理主要包括服務(wù)策略管理、服務(wù)水平協(xié)議等;安全管理主要包括認證管理、授權管理、審計管理等。

2、定級對象確定及管理職責劃分

云計算保護環(huán)境是云服務(wù)商的云計算平臺，及云服務(wù)客戶(hù)在云計算平臺之上部署的軟件及相關(guān)組件的集合。其中，云計算平臺的等級保護定級和按照等級的保護工作由云服務(wù)商負責，對于大型云計算平臺可以將云計算基礎設施平臺及輔助支撐系統劃分為不同的等級對象，各自獨立定級。如果云服務(wù)客戶(hù)在云計算平臺上部署的軟件及相關(guān)組件可以構成等級保護定級對象，則一般稱(chēng)為云服務(wù)客戶(hù)信息系統，針對其的具體定級和按等級開(kāi)展的保護工作由云服務(wù)客戶(hù)負責。
 

 

云服務(wù)商的云計算平臺可以承載多個(gè)不同等級的云服務(wù)客戶(hù)信息系統，云計算平臺的安全保護等級應不低于其承載云服務(wù)客戶(hù)信息系統的最高安全保護等級。對于提供公共服務(wù)的云計算平臺安全保護等級應不低于第二級。

定級的重點(diǎn)在于定級對象管理職責的劃分，根據不同云服務(wù)模式職責劃分邊界有所不同，具體如下:

1. 對于IaaS基礎設施服務(wù)模式，云服務(wù)商的職責范圍包括虛擬機監視器和硬件，云租戶(hù)的職責范圍包括操作系統、數據庫、中間件、應用;

2. 對于PaaS平臺即服務(wù)模式，云服務(wù)商的職責范圍包括虛擬機監視器、硬件，操作系統、數據庫、中間件，云租戶(hù)的職責范圍主要為應用;

3. 對于SaaS軟件即服務(wù)模式，云服務(wù)商的職責范圍包括虛擬機監視器、硬件，操作系統、數據庫、中間件、應用。云租戶(hù)的職責范圍主要有用戶(hù)訪(fǎng)問(wèn)和用戶(hù)賬號安全。

根據數據安全管理職責不變的原則，業(yè)務(wù)數據永遠由云租戶(hù)負責，但是對于數據的傳輸、存儲等完整性和保密性措施是否能夠實(shí)現則取決于云計算平臺提供的安全功能或服務(wù)。

3、確定安全保護對象

相對傳統信息系統，云計算平臺或系統的安全保護對象所有增加。

云計算安全防護體系框架建立

云安全防護技術(shù)體系是云計算平臺或系統安全建設的重要指導和依據，我們將等級保護思想融入到云安全防護體系的構建，清晰描述了云安全防護體系建立的原則及方法，提出了基于等級保護的云安全防護技術(shù)體系框架。

云安全防護技術(shù)體系的設計方法

首先，明確保護對象;

其次，采用蛛網(wǎng)圖法分析保護對象所面臨的安全威脅及自身所存在的安全漏洞;

最后，結合威脅分析和系統的脆弱性提出安全防護措施。

利用蛛網(wǎng)圖法提出了針對保護對象的安全威脅、脆弱性及安全保護措施分析方法:

1. 威脅及漏洞分析:可針對云計算信息系統的保護對象從威脅場(chǎng)景、威脅來(lái)源和威脅對象三個(gè)方面來(lái)分析云計算信息系統所面臨的安全威脅、自身的弱點(diǎn)以及潛在影響和發(fā)生的可能性等因素，進(jìn)而分析并確定具體的安全防護需求。利用此分析方法，識別出近百種安全威脅場(chǎng)景，包括虛擬機逃逸、虛擬機間相關(guān)攻擊、惡意虛擬機進(jìn)行網(wǎng)絡(luò )攻擊、API持續攻擊等。并且根據不同等級信息系統應該實(shí)現的安全防護能力，明確不同等級云計算系統應對抗的安全威脅[2]。

2. 確定保護對象，詳見(jiàn)第二章第三節。

3. 防護措施:對于云計算安全防護措施的選定，可采用德?tīng)柗品▉?lái)進(jìn)行，廣泛邀請云計算安全領(lǐng)域“政、產(chǎn)、學(xué)、研”的專(zhuān)家參與，充分利用專(zhuān)家的經(jīng)驗和學(xué)識，確保建立的安全防護措施能夠對抗相應等級云計算系統面臨的安全威脅。

2云安全防護技術(shù)體系框架

基于上述方法明確云計算安全保護措施是單點(diǎn)的、離散的，無(wú)法體現出云計算平臺或云計算信息系統整體防護、縱深防護的思想，更重要的是針對云計算服務(wù)的兩大責任主體的責任邊界需要明確，只有根據職責明確一個(gè)組織建設云計算平臺或云計算信息系統的目標、對象、范圍，才能更好的進(jìn)行安全設計、規劃和建設實(shí)施。云計算安全防護技術(shù)體系框架設計方法:

根據云計算安全防護體系框架設計方法，我們需要以云計算平臺或云計算信息系統的界定及特征為基礎，充分考慮云計算的功能框架和服務(wù)模式;云計算功能框架包括用戶(hù)層、訪(fǎng)問(wèn)層、資源層、服務(wù)層和管理層(跨層功能)，服務(wù)模式主要包括IaaS 、 PaaS 和SaaS，不同服務(wù)模式云服務(wù)商或云計算服務(wù)提供者與云租戶(hù)或云計算服務(wù)使用者的責任邊界不同;

云計算安全防護技術(shù)體系框架:

用戶(hù)通過(guò)安全的通信網(wǎng)絡(luò )以網(wǎng)絡(luò )直接訪(fǎng)問(wèn)、API接口訪(fǎng)問(wèn)和Web服務(wù)訪(fǎng)問(wèn)等方式安全地訪(fǎng)問(wèn)云服務(wù)商提供的安全計算環(huán)境，其中用戶(hù)終端自身的安全保障不在本部分范疇內。

安全計算環(huán)境包括資源層安全和服務(wù)層安全。

其中，資源層分為物理資源和虛擬資源，需要明確物理資源安全設計技術(shù)要求和虛擬資源安全設計要求，其中物理與環(huán)境安全不在本部分范疇內。

服務(wù)層是對云服務(wù)商所提供服務(wù)的實(shí)現，包含實(shí)現服務(wù)所需的軟件組件，根據服務(wù)模式不同，云服務(wù)商和云服務(wù)客戶(hù)承擔的安全責任不同。

服務(wù)層安全設計需要明確云服務(wù)商控制的資源范圍內的安全設計技術(shù)要求，并且云服務(wù)商可以通過(guò)提供安全接口和安全服務(wù)為云服務(wù)客戶(hù)提供安全技術(shù)和安全防護能力。

云計算環(huán)境的系統管理、安全管理和安全審計由安全管理中心統一管控。結合本框架對不同等級的云計算環(huán)境進(jìn)行安全技術(shù)設計，同時(shí)通過(guò)服務(wù)層安全支持對不同等級云服務(wù)客戶(hù)端(業(yè)務(wù)系統)的安全設計。

分等級安全設計實(shí)現
 

 

修訂中的云計算要求的級差與原標準保持一致。但是考慮到公共云平臺會(huì )部署多個(gè)租戶(hù)、多個(gè)業(yè)務(wù)系統，一旦云計算平臺發(fā)生安全事件，影響范圍較大。因此，公共云的云計算平臺安全保護等級最低應該為二級。

結合云計算安全防護技術(shù)體系框架，針對不同等級云計算平臺或云計算信息系統的明確具體的安全設計目標、策略和技術(shù)要求，具體如下:

第1步:基于上述分析和云等保系列標準的強度要求，確定各等級云計算平臺安全設計的設計目標、設計策略;

第2步:從安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )和安全管理中心等維度明確安全技術(shù)要求，明確具體安全機制;

第3步:結合云計算功能框架各個(gè)層次以及具體保護對象，針對各個(gè)功能層次及保護對象的安全技術(shù)機制實(shí)現的要求。

云計算的總體框架:

在安全計算環(huán)境方面，主要增加了虛擬化安全、接口安全、鏡像和快照安全等云計算安全相關(guān)的控制點(diǎn)，同時(shí)也將身份鑒別、訪(fǎng)問(wèn)控制等安全控制措施與云計算不同層次對象安全特性相結合提出相應的安全措施，上圖給出了針對第三級接口安全、鏡像和快照安全的具體設計要求。

區域邊界設計除了互聯(lián)網(wǎng)邊界、第三方邊界、不同物理區域的邊界安全防護外，增加了虛擬網(wǎng)絡(luò )區域邊界、虛擬機與宿主機之間的區域邊界等防護安全要求。安全通信網(wǎng)絡(luò )在物理通信網(wǎng)絡(luò )基礎上增加了虛擬網(wǎng)絡(luò )通信的安全保護要求，安全管理中心高等級增加了對云計算安全態(tài)勢的預測、預判能力要求以及運維地域的限定要求。

隨著(zhù)云計算技術(shù)的應用和推廣，政務(wù)、金融、通信、公共服務(wù)等越來(lái)越多的行業(yè)和領(lǐng)域開(kāi)始進(jìn)行云計算平臺建設，云計算安全與云計算平臺系統建設同步規劃、同步設計是迫切需要解決的問(wèn)題，亟需相關(guān)的標準出臺給予指導。

本文提出云計算安全防護體系設計的方法論:

首先，研究云計算平臺或采用云計算技術(shù)的信息系統的界定及突出特征，確定定級對象及安全保護對象;

其次，分析云計算平臺或云計算系統面臨的安全威脅;

第三，按照“一個(gè)中心，三重防護”的縱深防御思想進(jìn)行云計算平臺安全防護體系設計;

第四，給出安全體系結構實(shí)現的技術(shù)方法，即安全設計要求指標體系;

最后，結合等級保護不同等級的級差特點(diǎn)，明確不同等級的技術(shù)要求，并給出結合云計算功能框架、保護對象的安全保護機制實(shí)現技術(shù)要求。

修訂工作分別針對公共云、行業(yè)云和某單位政務(wù)云安全建設開(kāi)展了試點(diǎn)驗證，在安全解決方案設計和安全建設過(guò)程中具有重要的指導作用，大大提升了試點(diǎn)平臺系統的安全防護能力。目前，云計算建設、應用越來(lái)越廣泛，大型云計算平臺已經(jīng)成為國家關(guān)鍵基礎設施，保障云計算的安全成為關(guān)注焦點(diǎn)，標準的頒布實(shí)施將成為指導云計算安全、穩定和健康發(fā)展的基石。