近年来,上“云”已成为众多企业数字化转型过程中的发展趋势与重要一环。随着2020年9月公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号文)中明确“网络运营者可将网络迁移上云,或将网络安全服务外包,充分利用云服务商和网络安全服务商提升网络安全保护能力和水平”,为上“云”和网络安全服务外包的安全性考虑奠定制度基础。而各大云服务商亦从提供传统的IaaS服务(Infrastructure as a Service基础设施即服务)不断开展垂直化产品策略,通过IaaS服务向PaaS服务(Platform as a Service 平台即服务)、SaaS服务(Software as a Service 软件即服务)进行延伸和拓展。
此外,SaaS服务的低成本,部署迅速、定价灵活等优势带来的巨大市场,也吸引着更多的中小云服务商的加入,如智能客服、协同办公、人力资源管理、费用报销、财务处理等通用类SaaS产品均已出现标杆型云服务商,且逐步渗入电商、教育、金融等高准入门槛的中小云服务商也如云后春笋般出现,提供给规划上云的企业更多的选择。
目前,企业上“云”的方式主要集中在企业本身的信息系统迁移云端,从而给企业带来云计算其独有低成本、按需服务、资源池、弹性部署资源和可测量服务等优势,但是企业在选择云服务商提供的服务时,优先关注的不仅仅是云服务带来的好处,还有云服务可能给企业带来的安全风险与威胁。
图1: 云安全联盟(CSA)发布的云计算安全的11个挑战
为了迎合未来互联网趋势,让业务信息化、数字化、智能化,上“云”后的企业数据交由云服务商存储并进行维护,因此规划上云的企业都会将云服务的业务安全和数据保密能力放在选择云服务商标准的首位:一方面对于企业来说,自身的安全意识不断得到加强,对于云服务的信赖已经从“盲目选择传统头部企业”转向“理性判断各家云服务商”,他们不再单纯地相信云服务商“信手拈来”的安全,而是关注客观的安全事实和证据。
另一方面,各国针对数据安全与隐私保护纷纷出台了包括中国网络安全法、个人信息安全规范、欧洲GDPR等法律法规及标准规范进行监督和提供指引。此类规范亦是不断要求云服务商做到合法合规,以保障企业在使用云服务开展国际化业务时的安全性。面对企业对云服务的安全合规需求,如何向其展示自身云服务的安全可信也就成为了所有云服务商需要考虑的首要因素。本文将从云服务商角度探讨如何搭建“信任中心”,规划云服务商的透明可信安全建设之路。
一、发布安全白皮书,透明化云安全
云服务商若要透明化自身云服务的安全信息需要有对应规范的指导文件,企业在选择云服务商时,不仅仅关注云服务商本身在网站介绍的安全文档,还需要获取云服务商在总体架构上对自身服务安全性的阐述。针对他们的需求,一份完整且能清晰展示云服务商的安全性的“简历”便应运而生:云服务安全白皮书。
安全白皮书需要从云服务安全责任边界和云服务商安全管理体系出发,梳理云技术架构,分析切实存在的云安全风险,明确提供云服务过程中客户与云服务商安全责任边界,提出环环相扣的安全保障体系,并结合实际,对云服务商安全未来发展进行展望,旨在与云客户共商云端安全,共筑产业生态、共话安全未来。
1、确定云服务安全责任边界
云服务作为一种持续运营、动态变化的基础设施,根据服务类型不同,涉及包括数据中心、计算、存储、网络、数据、人员等实体要素,也涵盖研发、运维、运营等关键内部管理节点。云的核心是资源共享,因此,云服务商与云计算客户安全责任共担的模式成为行业共识。云安全白皮书需要首先明确与云客户的责任共担模型。当前各大云服务商主要分为责任分界线模型和中间责任带模型的两类安全责任共担模型。
01 责任分界线模型。
该模型云平台服务商主要负责基础设施部分的责任,而应用相关(含云租户选择平台提供的应用)的责任则大多由云用户来承担。云平台服务商的安全责任相对较小,辅以安全责任产品化和服务化。
图2: 责任分界线模型
02 中间责任带模型。
该模型根据云客户选择的云服务类型来进行责任分担,安全责任较为清晰,能较为有效界定不同云服务模式下的安全责任。
图3: 中间责任带模型
采用怎样安全共担责任模型,需要云服务商基于提供的服务模式(IaaS、PaaS、SaaS)去规划建设,宛如“简历”上“期望职位”如实披露,让云客户知晓需要共担的安全责任。
2、构建云服务安全管理体系
明确双方的安全责任边界后,云服务商需要给“简历”加上丰富的“工作经验”去证明自身职责范围安全防护能力及可以提供给云客户的安全防护产品。其中,云安全联盟(Cloud Security Alliance)在2017年推出的《云计算关键领域安全指南V4.0(Security Guideline For Critical Areas Of Focus In Cloud Computing V4.0)》就为云服务商提供了一系列云安全基础框架的有效指引,它将ISO/IEC 27001信息安全管理体系进行拓展,结合云安全控制矩阵(Cloud Control Matrix,CCM),将云安全框架分为治理(Governance)和运行(Operations)两大域,细化为以下13个控制域进行深入阐述。
图4: CSA云计算关键领域安全指南V4.0云安全架构
治理域
01治理和企业风险管理。
旨在从公司领导层方针、策略出发,确保云客户关注的云服务商组织架构、内控流程、风险管理流程等公司实体层面控制有战略支持。建议云服务商积极建立治理和企业风险管理机制,从战略层面保障云客户的安全。
02法律问题。
旨在解决数据迁移到云上可能引发法律问题以及云服务协议中需要考虑司法管辖区等信息披露问题。建议云服务商充分考虑并遵循不同司法管辖区的法律法规并适时披露云服务商所在区域、合同适用的法律管辖区等。
03合规和审计管理。
旨在应对不同区域、不同行业对上“云”后的监管合规约束以及进行内外部审计第三道防线管理。建议云服务商积极向客户提供审计结果、认证并随时间变化维护其审计结果、认证,适时为客户提供通常能满足合规要求的证据。
04信息治理。
旨在确保数据和信息的使用遵循组织的策略、标准和战略。建议云服务商对租户数据的生命周期(创建、存储、使用、传输、归档及销毁)和所提供的云服务的生命周期进行明确的规定,保证租户从开始使用云服务到停止使用云服务的全过程都有安全保障。
运行域
01管理平面和业务连续性。
旨在确保API(Application Programming Interface)网关和管理平面边界安全且确保业务可用性以满足SLA(Service Level Agreement)的要求。建议云服务商防止针对管理平面的组件本身的攻击,采用安全访问机制,针对内部访问强制开启多因子认证,实施强大的日志记录和管理监控职能。此外,云服务商应积极建立业务连续性体系,识别关键业务影响因素,通过技术架构(应用双活、异地数据灾备、异地多活等)提供多地域高可用性的弹性模式,确保云服务的可用性。
02基础设施安全。
旨在保障云计算基础的计算、网络、存储安全。建议云服务商采用访问控制及定期审计的方式保证自营数据中心及租赁数据中心安全。此外,建立基线管理流程,定期开展基线检查和渗透测试,技术上对镜像实施完整性校验。在网络上,设置边界网关,采用默认拒绝访问的防火墙策略,保证网络逻辑和物理上的隔离。
03虚拟化和容器技术。
旨在保障多租户场景下的租户计算、存储、网络隔离。建议云服务商基于硬件虚拟化技术的虚拟机管理将多个计算节点的虚拟机在系统层面进行隔离,租户不能访问相互之间未授权的系统资源。
04事件响应、通告和补救。
旨在事件发生后,指导开展事件响应和处置,降低事件影响。建议云服务商在SLA中明确对事件处理提供支持,有效执行与云客户商定的相应计划,事件响应计划至少每年或每当应用架构有重大变化时进行测试。
05应用安全。
旨在保证云服务设计与开发、测试、部署上线和运维的软件开发全生命周期(SDLC)安全。建议云服务商采用威胁建模,将安全性整合到软件开发生命周期中,设计需求评审,动态应用程序安全测试与静态应用安全测试双管齐下,部署前的代码审视、漏洞清零,搭建安全的部署通道。
06数据安全和加密。
旨在保证对数据生命周期(创建、存储、使用、传输、归档及销毁)及密钥管理安全。建议云服务商清晰掌握数据流向,通过访问控制、加密、架构、监控/告警、人工检查等控制措施保证数据生命周期安全,安全存储客户密钥。
07身份、授权和访问管理。
旨在保证云客户身份与访问控制安全。建议云服务商开放标准提供内部和联合身份(Federated Identity)认证,提供角色与权限映射以指导云客户自行配置。
08安全即服务。
旨在满足有特殊安全要求的云客户,提供更强大的安全能力服务。建议云服务商提供云安全产品,以供客户在选择服务时有针对性地了解特定服务的安全保障。
09相关技术。
旨在保证几乎完全依赖云计算来运营的技术及不一定依赖云计算,但在云部署中常见的技术,如大数据、物联网(IoT)、边缘计算等的安全性。若云服务商提供相关技术产品或服务,建议充分考虑隐私及合规性要求,采用加密通信、加密存储产品或服务客户的数据。
云服务商应考虑结合自身情况构建云服务安全管理体系,并通过安全白皮书“透明”展现,以解决云客户特别关注的安全能力问题,使云服务“可信”。
二、借助第三方评估,可信化云安全
如果说云服务安全白皮书是一家云服务商的“简历”,是云服务商对自身云安全体系的一个公开声明,那各式各样的认证证书(Certification)与鉴证报告(Attestation)就是简历上安全能力展现的最佳佐证,解决无法对云服务商安全能力客观且独立的评估问题。具备多种行业认证证书或通过第三方注册会计师的鉴证报告则成为了云服务商之间竞争的一个差异化领域。过往,云客户在选择云服务时,都难以对其安全能力进行独立的评估。因此,云客户评判的标准和逻辑应该具体化,而这个具体化的体现便是认证证书与鉴证报告。
图5 云服务商常见的认证证书与鉴证报告
1、认证证书VS鉴证报告
认证证书是经由国家或行业认可的专业机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范或其强制性要求的合格评定结果,多体现为经认证机构盖章的书面认证证书,证明云服务商满足相关认证标准。通常有效期为一到三年。
鉴证报告是注册会计师针对被检查对象及其对象信息在内部控制及安全机制等方面是否符合适当标准要求,而出具的一份详式的书面报告,即通过鉴证报告可以了解云服务商在提供服务过程中,设计并实施了哪些安全机制和内部控制,云客户可以通过阅读云服务商提供的鉴证报告,评估其所关注的安全机制或内部控制是否被云服务商所实施;同时,对于任何在检查过程中发现的控制缺陷,都会被详细记录在鉴证报告中,云客户可以明确获得云服务商内控及安全机制执行有效性的结论。
目前,不论是国外的云服务商,还是国内提供云服务的厂商,在获取一定数量的认证证书后,都会选择注册会计师对自身提供云服务的安全性开展检查并获取针对不同区域标准的鉴证报告,以展示自身云服务的安全性。基于安永对云服务商的安全规划洞察,下面重点介绍获得云服务商与多数客户认可的三种鉴证报告。
2、SOC、C5及OSPAR鉴证报告
体系与机构控制SOC(System and Organization Controls Report)报告:是由具有AICPA鉴证报告签署资格的会计师事务所出具的鉴证报告。云服务商能够借助独立注册会计师的工作与客户之间建立“信任的桥梁”。SOC报告具备客观性、持续性、高度认可度及详细性等特质,可为服务商(含云服务商)的客户及其审计师或其他相关方提供高质量信息,以帮助更好地评估该服务商(含云服务商)的内控机制并有效地管理其潜在的服务风险。
图6: SOC报告的分类
OSPAR(Outsourced Service Provider Audit Report)鉴证报告:是由新加坡银行业协会(Association of Banks in Singapore,ABS)为了提升新加坡银行服务提供商的系统与服务水平而发起,基于发布的“ABS服务提供商的控制目标和程序指南”(The ABS Guidelines on Control Objectives & Procedure for Outsourced Service Providers)进行检查,并由具有资质的独立会计师事务所出具的报告。
OSPAR报告旨在对向新加坡银行提供服务的服务商在整体层面控制(Entity Level Controls)、IT一般控制(General Information Technology(“IT”)Controls)和产品服务相关控制 (Service Controls)三个领域的相关控制设计和执行的有效性进行检查。此外,OSPAR报告亦对新加坡金融管理局(Monetary Authority of Singapore,MAS)的相关要求进行了响应。
图7: ABS服务商控制目标和程序指南V1.1要求
C5(Cloud Computing Compliance Controls Catalog)鉴证报告:是德国联邦信息安全局(BSI) 在德国推出的一种德国政府支持的鉴证机制,可帮助云服务商证明其在德国政府的“对于云提供商的安全建议”中提到的常见网络攻击方面的运营安全性。云客户可以通过阅读C5鉴证报告来了解云服务商为满足C5要求而实施的安全控制,并对控制机制的设计适当性和执行有效进行评估。C5包括121项基本要素与55项附加要求,亦会覆盖数据位置、管辖地、现有认证和信息披露义务等信息披露。
图8: C5:2020标准基本要求及附加要求
三种鉴证报告的异同点
结语
随着云服务市场日益扩大,云服务商作为企业之间、用户之间数据连接的载体,在承载云客户庞大数据量的同时需要双管齐下做到安全可靠。一方面,要从自身出发,建立并完善自身云安全体系,将安全融入自身云服务的运营过程之中,增强安全技术人员以及服务人员管理能力,加强与安全厂商之间的合作,形成多重防护壁垒,保障自身云服务安全并通过安全白皮书形式透明化。另一方面,为了应对来自外部的猜测及质疑,必要的第三方认证证书和鉴证报告是云服务商可信之路的重要拼图。通过第三方认证机构及独立的会计师事务所的评估,由表及里,云服务商可以透过现象看到自身云安全的本质,完善自身的云安全体系,实现因为“透明”,所以“可信”。
声明:本文来自安永EY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
