等保2.0中的云计算安全测评

◎成都安美勤信息技术股份有限公司 代翎云

一、引言

60年代中期，计算机数量较少，基本上为大型机，其服务对象仅为少数特殊的企业或机构，而绝大部分企业无法使用；在80年代，PC机与小型机逐渐普及，企业可通过自行搭建机房，购买硬件设备来完成系统部署，但存在架构不灵活，资源利用性不高等问题；在90年代，企业通过数据中心租用设备来代替自己搭建环境，但当企业业务发展较快、需求变化较快时，仍存在数据中心设备采购周期过长、无法满足企业需求的问题。

云计算发展历史

在此基础上，云计算应运而生，目前已有越来越多企业逐渐将系统迁移到云上，因为云计算平台能够快速获取计算服务、存储服务，用户可以按需购买，按量计费，可满足企业需求。甚至一些技术和资本方面相对成熟的企业已经开始搭建自己的云平台，并从对内服务逐步扩大为对外提供服务。同时，当前相关政府单位也搭建了多个政务云平台，逐渐将各类政务系统同一集合到一起，从而实现政务工作的互联互通，以加强各单位之间的联系，提高办事效率。

与传统的IT架构相比，使用云计算平台可以实现用户需要什么服务只需要简单操作就可获取，而不需要自身搭建，服务底层的设备不需要用户自身去维护，这将大大降低运维成本。因此，云计算的发展已成为必然趋势，但与此同时，云计算的安全防护问题也成为亟需解决的问题。

二、云计算基础

（一）部署模式

云计算的部署模式主要由以下三种组成：

公有云：通过Internet向多组织用户提供按需使用的IT资源服务，并按量付费。其典型特点为：多租户、按需使用、按量付费。

私有云：通过专用网络向特定组织（通常情况下为单一组织）提供按需交付的IT资源。

混合云：融合了公有云和私有云，企业可选择将临时性、按需付费的业务组件部署在公有云中，将主要业务数据、敏感信息等部署在私有云中，增强安全性。

（二）服务方式

云计算服务商提供的服务方式主要有三种，分别为：IAAS（基础设施即服务），PAAS（平台即服务）和 SAAS（软件即服务）。

各类云计算服务商并不会只提供一种服务，由于三种服务模式彼此之间有较多交互的地方，特别位于中间层的PaaS模式，所以很多云计算服务商逐步在自身服务体系中对服务模式进行了扩展和融合，最终实现一站式服务。

IaaS: Infrastructure-as-a-Service(基础设施即服务)

IaaS公司提供给消费者的服务是对所有计算基础设施的利用，为不同用户提供虚拟化环境，提供了计算和存储功能，具备数据存储服务、同步服务、管理服务和备份服务等功能。而IaaS模式也是目前云计算模式中占主导地位的模式，目前IaaS占全球云计算细分市场一半以上的规模。中国IaaS市场，阿里云独占半壁江山，同样也是一家独大。

PaaS: Platform-as-a-Service(平台即服务)

PaaS使得所有开发都在这一层进行，因此可以节省大量时间和资源。PaaS公司在网上提供如虚拟服务器和操作系统的各种开发和分发应用的解决方案。PaaS当前的市场占有率远远不如IaaS或SaaS两种模式，因此对于单纯的PaaS服务商来说，如今所面临的压力巨大，具有被底层的IaaS或上层的SaaS所取代的风险。但当前云计算行业还尚未完全成熟，PaaS模式会逐步走向融合还是渐渐独立，现在依然无法下定论。

云计算的服务方式

SaaS: Software-as-a-Service(软件即服务)

SaaS，也是大众接触最多的模式，使用SaaS将不在需要在自己的电脑中额外安装相应组件。例如通过浏览器使用Google、百度等搜索系统，使用E-mail发送，这其实就是SaaS。而当前CRM、ERP、eHR、SCM 等 管 理系统都已经逐步开始SaaS化，究其原因是因为SaaS模式的便利性，它不需要再自行管理维护繁杂的硬件系统及软件，而是可以直接向软件提供商租用基于Web或其他结构的软件就可以使用。

三、测评重点

（一）准备阶段

1、前期准备

“准备阶段”顾名思义就是对接下来的工作做好准备，除了需要了解传统测评项目问题外，在准备阶段云上项目还应该对以下问题进行确认：

（1）确定测评对象为：云服务商的云平台或云租户的应用系统；

（2）确定部署模式为：公有云、私有云或混合云；

（3）确 定 服 务方 式 为：SAAS、PAAS或IAAS；

（4）若测评对象为云租户的应用系统，还需确定所在云平台是否已完成相应等级的保护测评工作。

2、系统调研

由于虚拟化等新技术的应用，IaaS/PaaS/SaaS按需服务模式的引入，云计算和传统信息系统保护对象的区别如下表所示，其中加黑部分为云计算系统所特有的保护对象，在前期调研的过程中，应特别注意以下方面。

表1 云计算和传统信息系统保护对象区别

（二）现场测评

云计算测评工作的开展首先要明确测评对象是云服务商还是云租户，因为即使是同一条测评实施内容，针对云服务商与云租户仍具有不同含义，部分条款仅适用于云服务商，也有部分条款仅适用于云租户。例如测评实施中：“应检查云服务商的网络边界设备或虚拟化网络边界设备，查看安全保障机制、访问控制规则或访问控制策略等”，该条仅适用于云服务商，而不适用于云租户，因此在现场测评阶段需要注意区分云计算扩展对云平台和云租户的不同要求。

1、资源隔离

云计算运用了虚拟化等技术，将资源量化进行重新分配并交付给用户，但这在带来方便的同时也增加了内部风险，类似Intel处理器Meltdown及Spectre等类似漏洞对云平台的危害非常大，因此资源的有效隔离显得尤为重要，扩展标准中对于云计算环境下资源隔离的要求总结如下：

（1）应对虚拟机逃逸行为进行检测和告警；

（2）禁止虚拟实例直接访问宿主机上的物理硬件；

（3）不同虚拟机之间的虚拟CPU指令、内存空间应隔离；

（4）应根据云租户业务系统的安全等级划分网络安全区域并设置区域间访问控制规则；

（5）应保证云平台管理流量与云租户业务流量分离；

（6）应保证虚拟机仅能迁移至相同安全保护等级的资源池。

2、访问控制

针对于云计算，访问控制涉及了安全区域边界、安全计算环境等多个层面，其重点主要在于云平台管理方和云租户方的权限分离方面，可以总结为以下4个要点：

（1）依据访问控制策略控制虚拟机之间访问；

（2）实现云平台管理用户权限分离机制，为网络管理员、系统管理员建立不同账户并分配相应的权限；

（3）确保只有在云租户授权下，云服务方或第三方才具有云租户数据的管理权限；

（4）云计算平台应提供开放接口或开放性安全服务，允许云租户接入第三方安全产品或在云平台选择第三方安全服务。

3、数据安全

由于云租户的数据存储在云平台中，等保2.0对数据的感知、迁移及数据保密性、可用性、完整性都有更高层次的要求，数据安全需要云平台和云租户方共同来承担，其区别于通用要求的有如下几点：

（1）用户可感知：应提供查询云租户数据及备份存储位置的方式；

（2）用户可迁移：应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统；

（3）虚拟机安全：确保虚拟机迁移过程中的完整性保护和信息防泄漏；

实验组35人（92.11%）对教学模式满意，与对照组27人（72.97%）相比，差异有统计学意义（P＜0.05）。实验组36人（94.74%）认为所接受的教学能激发学习兴趣，与对照组29人（78.38%）相比，差异有统计学意义（P＜0.05）（见表3）。

（4）镜像安全：对虚拟机镜像文件进行完整性保护，可检测到非授权修改；

（5）快照安全：对虚拟机快照文件进行保密性保护。

4、安全管理

在安全管理层面，除云平台等级应不低于应用系统的安全保护等级外，对于云租户和云服务商之间的合同协议也应该有更加严格的规定，主要包括以下两点：

（1）应以书面方式约定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；

（2）签订服务水平协议和保密协议，并可提供相关证明。

四、安全防护重点

在实际应用中，不同单位所需的模式不同，部署的方式和架构也有所不同，这导致面临的安全问题和自身安全需求也千差万别，而常见模式已经面临的安全问题可以分为以下几类：

（一）All in one 模式

All in one模式的特点为企业应用较为简单，业务需求不高，可部署在单一云服务器ECS上。其所面临的问题有以下几点：

1、登录安全：防止黑客通过暴力破解等登录ECS；

2、账号授权管理：不同用户登录ECS，分配不同权限；

3、服务器安全漏洞：服务器本身是否存在漏洞，是否及时打补丁；

4、应用访问攻击：web端的用户攻击，如SQL注入、XSS；

5、数据备份加密：针对云服务器ECS数据进行加密存储，快照，防止被黑客窃取。

网络攻击风险：防止DDOS攻击，保证可用性。

（二）应用与数据分离模式

应用与数据分离模式的主要特点为在云服务器ESC上部署应用，数据存储在云数据库RDS上。其所面临的问题有以下几点：

1、数据传输安全：保证ECS与RDS间数据传输过程中的保密性与完整性；

2、网络通信安全：保证ECS与RDS间网络通信不中断；

3、数据库访问白名单授权：防止黑客IP访问数据库；

4、数据库备份容灾：对数据进行备份，保证及时恢复。

（三）应用集群部署

应用集群部署的主要特点为部署负载均衡SLB，后端部署ESC集群，解决系统前端压力，提高可用性。其所面临的问题有以下几点：

1、服务器访问授权：仅授权SLB对ESC进行访问，提升前端访问ECS的安全性；

2、服务器安全区域隔离：防止黑客通过一台ECS作为跳板入侵其他ECS；

3、负载均衡加密访问：加密证书上传至SLB，保证加密访问每个ECS。

（四）动静资源分离

动静字源分离的主要特点为对非结构化直接存入云存储OSS，降低系统存储压力。其所面临的问题有以下几点：

1、云存储数据备份和加密：对云存储中数据进行备份，保证数据不丢失，对云存储中数据进行加密存储，防止被黑客窃取；

2、云存储数据容灾：防止云存储服务不可用而导致数据丢失。