选云服务平台也需“按图索骥”

如今，越来越多的企业愿意将自己的业务部署并扩展到云端。然而对于企业的信息安全人员来说，不可轻易跟风行事，而应当发挥自己的专业优势，协助选择最适合于本企业系统的云平台商及其服务。

数月前，我们为即将新上线的项目管理与协助系统，展开了一次云服务提供商的“海选”。下面笔者简单将当时所关注与考核的云平台基本特质与重点要求分享给大家，希望能给各位的工作实践提供参考与借鉴。

租户数据的保护与存放

1.对租户所使用的云空间应实施逻辑上或物理上的隔离。

2.根据租户的协议需求和当地的法律法规要求，将租户所分配的磁盘空间、应用程序及其数据物理上放置在指定的行政辖区内。

3.应使用企业级的加密标准（如 AES256），对在云服务平台上存放的租户静态数据默认进行加密。

4.应使用传输层加密标准（如 TLS v1.3），对在云服务平台中流转的租户动态数据执行加密保护。

5.应对租户驻留在云服务平台中的数据执行默认数据保留策略，为租户提供数据级别的高可用性（HA）。根据租户协议的实际需求，可按需延长。

租户账号的访问与管理

1.确保能为租户创建全平台唯一的管理员账号（ID），租户籍此登录云服务平台，生成并管理自己的空间与各类应用。

2.根据最小权限原则，一旦租户协议到期或失效，能及时禁用其管理员ID，并重置其登录密码。

远程登录与运维管理

1.在 通 过 密 钥（如Regular-rotated SSH）或多因素身份认证（MFA，如一次性密码、手机短信验证码、智能卡）的基础上，仅允许使用加密的连接方式，远程访问或操作云服务平台上的虚拟主机或存储空间。

2.禁止远程连接的主机将云服务平台上的数据转移到其本地介质上，或转发到缺乏监管的在线资源（如网站/网盘）处。

平台管理员的权限管控

1.为避免权限累积，在平台管理员出现岗位变动的同时，及时调整或终止其原有的管理权限。

2.定期（如每年）或按需（如发生重大事故或变更后）评审平台管理员的身份有效性和对应的权限。

3.平台管理员的任何操作动作都配有相应的日志记录。特权监控示例如下：

（1）账户的新建与修改。

（2）系统时间的变更。

（3）应用接口的配置。

（4）路由表的添加与修改。

（5）系统的重启与关闭。

（6）防火墙及SDN的配置变化。

（7）系统或数据库的恢复操作。

（8）脚本与计划任务的设置与运行。

（9）对特定日志和审计文件的访问。

租户状态与事件日志

1.根据租户的协议需求，将租户系统、应用和数据库的状态信息，连同平台本身基础设施所产生的各类事件，集中收集并存储到专有的日志系统处。运用安全措施防止日志数据被删除或篡改。

2.日志数据的默认存储期限默认为半年。根据租户协议的实际需求，可按需延长。

3.云服务平台可收集到的租户状态示例如下：

（1）定期（如每5分钟）收集租户系统CPU持续使用率超过60%的流水信息。

（2）定期（如每10分钟）收集租户系统内存持续使用率超过70%的流水信息。

（3）定期（如每5分钟）收集租户系统入向数据量超过一定额度（如200MB）的流水信息。

（4）定期（如每5分钟）收集租户系统出向数据量超过一定额度（如200MB）的流水信息。

平台加固与安全态势管理

1.针对由云服务平台所生产的服务器、应用、数据库和存储空间等各个涉密过程与环节，采取SOC-2级的强密码策略。

2.根 据“Deny-all”的策略，默认关闭服务器、应用、和数据库镜像的所有服务和端口（知名服务与端口除外）。根据租户协议的实际需求，逐一开启并予以备案。

3.根据OWASP Top 10（如A5-安全配置的缺失），持续定制、维护并更新待交付的镜像基线。

4.定期对云服务平台本身的基础设施，特别是Hypervisor层采取漏洞扫描、渗透测试、并实施安全加固等深度防御策略，以防御来自纵向外部的威胁、和横向租户之间的攻击。

5.经由模拟生产环境测试之后，方可将系统与应用的升级补丁、以及加固的策略部署、并实施到平台和租户的真实生产环境之中。

状态监控与抗攻击性

1.应具有对抗APT的能力，对由网络边界所产生的、且夹杂在正常流量中的数据予以识别。

2.通过提供ADS服务，对可能产生的DDoS予以流量清洗和CC攻击的防御。

3.具有全网视图的分析工具，根据预先定义的条件和阈值，实时针对诸如内部租户的使用占比、违规情况、以及对外部恶意入侵等行为提供监控与分析。

风险与威胁管理

根据 SOC-2 Type II，制定风险评估与管理的流程。要点示例如下：

（1）评估实施方：自行+第三方。

（2）评估频率：定期（如每年）+按需（如发生重大事故或变更后）。

（3）评估方式：自动化扫描+手动专项测试。

（4）威胁源获取方式：软硬件厂商公告+威胁情报服务（如CVE+CNVD）。

业务连续与灾难恢复

以DRaaS的交付方式、保障租户协议中所承诺的MTTF，并提供接近零恢复点目标（RPO）的业务连续性/灾难恢复（BC/DR）服务。

根据租户协议的实际需求，提供可视化的恢复过程监控，和BC/DR的定期演练结果报告。

事件受理与事故响应

1.云服务平台方和各租户双方，在实施任何配置变更与测试之前，都应提前相互通知与备案。

2.云服务平台方根据ITIL的服务标准与分类，向各租户提供统一的需求受理与响应平台。

3.根据租户协议的实际需求，云服务平台可提供相关API、数据格式、标准化工具和支持文档，以协助租户管理和调用平台资源、实现服务的部署与编排、数据的导出与导入、以及系统迁移等操作。

4.具有完备的事件处理流程，包括：识别→分类→调查→取证→抑制→根除→恢复→整改，并通过更新与演练保持的可行性。

资质与等保

1.应通过并实施ISO/IEC 27018标准，对租户数据的隐私提供保护。

2.根据网络安全法要求，在避免泄漏的前提下，具有完备的数据脱敏与销毁的流程与规范。

3.应向云平台管理人员例行传授安全意识与操作技能培训。

4.定期审查各种账户权限、数据操作、介质处置和事故处理的相关报告。

5.严格遵守网络安全等保要求，保障站点的物理安全。

结语

根据上述所列的云服务平台遴选要求，我们谨慎客观地选出了适合与本企业实际业务需求的平台服务提供方。

如今，我们的在线项目管理与协助系统已经完成了部署并运行了一段时间，我们与云平台方也保持着良好的互动与合作。可见，虽然云服务能给我们带来更多的灵活与便利，并降低了扩容与试错的成本，但是正所谓“磨刀不误砍柴工”，任何云项目的成功都将受益于前期基础平台的严选。