云安全相關技術介紹(六)

相關法規、標準和認證

目前已經有若干法規對云服務的提供商和使用者提出了安全要求,相關政府機構、標準組織和業界團體也制定了多項云安全技術標準,并有多項針對云服務產品和解決方案提供商的認證。

云等保,GA/T 1390.2-2017
《網絡安全法》規定,“國家實行網絡安全等級保護制度”。
為了適應和規范云計算相關技術和應用的發展,公安部在2017年5月8日正式發布GA/T 1390.2-2017《信息安全技術網絡安全等級保護基本要求第2 部分:云計算安全擴展要求》,規定了不同等級云計算系統的安全要求,適用于指導分等級的非涉密云計算系統的安全建設和監督管理,并在附錄C中明確了不同服務模式下云服務方和云租戶的安全管理責任主體。

GB/T 31167-2014《信息安全技術云計算服務安全指南》
本標準面向政府部門,提出了使用云計算服務時的信息安全管理和技術要求,適用于政府部門采購和使用云計算服務,也可供重點行業和其他企事業單位參考。本標準描述了云計算服務可能面臨的主要安全風險,提出了政府部門采用云計算服務的安全管理基本要求,及云計算服務的生命周期各階段的安全管理和技術要求,為政府部門采用云計算服務,特別是采用社會化的云計算服務提供全生命周期的安全指導。

GB/T 31168-2014《信息安全技術云計算服務安全能力要求》
本標準面向云服務商,提出了為政府部門提供服務時應該具備的信息安全能力要求。標準描述了以社會化方式為特定客戶提供云計算服務時云服務商應具備的安全技術能力,適用于對政府部門使用的云計算服務進行安全管理,也可供重點行業和其他企事業單位使用云計算服務時參考,還適用于指導云服務商建設安全的云計算平臺和提供安全的云計算服務。

本標準分一般要求和增強要求。根據云計算平臺上的信息敏感度和業務重要性的不同,云服務商應具備的安全能力也各不相同。

國家標準《信息安全技術 云計算安全參考架構》(征求意見稿)
與NIST《云計算安全參考架構(草案)》類似,本標準將規范云計算安全參考架構,包括云計算角色、安全職責、安全功能組件以及它們之間的關系。

國家標準《信息安全技術 云計算服務安全能力評估方法》(征求意見稿)
本標準將給出依據GB/T 31168-2014《信息安全技術云計算服務安全能力要求》,開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法。標準適用于第三方評估機構對云服務商提供云計算服務時具備的安全能力進行評估,和對政府部門使用的云計算服務進行安全管理,并可供云服務商在對自身云計算服務安全能力進行自評估、重點行業和其他企事業單位使用云計算服務等參考。

ISO/IEC 27001信息安全管理體系和認證
ISO/IEC 27001是全球最受認可的信息安全管理系統(Information Security Management System,ISMS)規范,詳述了建立、實施、維護和持續改進信息安全管理系統的各種需求。通過經過整體規劃的系統化信息安全管理體系,ISO/IEC 27001從預防控制的角度出發,保障信息系統與業務的安全和正常運作,并規定了為適應不同組織或其部門需要所制定的安全控制措施的實施要求。

通過ISO/IEC 27001認證,表明企業(或其他各種類型和規模的組織)遵守了各種信息安全最佳實踐,對數據的保護通過了獨立的專家評審。

ISO/IEC 27000 系列標準
ISO/IEC 27000系列標準包含了ISO(International Organization for Standardization,國際標準組織)和IEC(International Electrotechnical Commission,國際電工委員會)聯合制定的系列信息安全標準。這些標準提供了在信息安全管理系統(ISMS)體系下通過各種控制措施對信息風險進行管理的最佳實踐,其具體范圍不局限于隱私、保密性和IT/技術/網絡安全問題等。目前,其中有三個標準專門針對云服務:

  • ISO/IEC 27017《基于ISO/IEC 27002的云服務信息安全控制的實施規程》

在ISO/IEC 27002的基礎上,本標準為云服務提供商和使用者提供各種信息安全相關控制的實施指南,具體包括ISO/IEC27002中列出的相關控制和與云服務相關的其他控制

  • ISO/IEC 27018《公有云作為個人可識別信息(PII)處理器時個人身份信息保護的實施規程》

為了與ISO/IEC 29100中的隱私原則一致,本標準基于ISO/IEC 27002,為公有云計算環境建立了通用的控制目標、控制和保護PII的實施指南,并涵蓋為保護PII而可能對公有云服務提供商的監管需求。

  • ISO/IEC 27036-4《供應商關系的信息安全-第4部分:云服務的安全指南》

本標準定義了在使用云服務時實施信息安全管理的指南,具體而言,為云服務使用者和云服務提供商提供以下方面的指導:

  1. 獲知與使用云服務相關的信息安全風險并有效管理那些風險
  2. 對獲得和提供云服務的風險做出反應

注意:ISO/IEC 27036-4不包括與云服務相關的業務連續性管理/復原問題,也不對云服務提供商應該如何實施、管理和運營信息安全提供指導。

CSA-STAR
CSA STAR認證是在ISO/IEC 27001的基礎上針對云服務特有問題的加強認證,用以表明CSP能夠很好地處理安全相關問題。CSA STAR認證由CSA和BSI聯合開發,以CSA提出的云控制矩陣(Cloud Control Matrix,CCM)為審核的準則,涵蓋法令法規、風險管理、設施齊全、人力資源、信息安全、營運管理、發布管理、安全架構等16個控制區域。CSA認證官為CSP在每個控制區域的能力成熟度分別打分,然后根據最終的平均分決定CSP的等級為金、銀或銅。

C-STAR云安全評估
C-STAR是在CSA開放認證框架(Open Certification Framework,OCF)下,由第三方機構確認云服務提供商滿足CSA CCM要求的一種認證,主要用于大中華地區,由賽寶認證中心與CSA大中華區(CSA-GCR)合作開展。C-STAR 云安全評估主要參考GB/T 22080-2008管理體系標準及CSA CCM要求,以及選自中國國家標準GB/T 22239-2008《信息安全技術—信息系統安全等級保護基本要求》和GB/Z 28828-2012《信息安全技術—公共及商用服務信息系統個人信息保護指南》的29個相關控制措施,進行評價。

CS-CMMI云安全能力成熟度模型集成
根據官方說明,CS-CMMI“由CSA大中華區、亞太區與全球共同開發和研制的,在ISO / IEC21827 : 2002 《信息技術系統安全工程能力成熟度模型》的基礎上,把《CSA CSTR云計算安全技術標準要求》(草案)和《CSA CCM 云安全控制矩陣》的技術能力成熟度模型,集成到治理一個框架中去,形成云安全能力成熟度評估模型。作為云安全能力成熟度評估的依據,為客戶選擇云安全服務組織提供參考,也可供云安全服務組織改善和提高云安全服務能力提供指引。指南考慮了云計算系統安全威脅與脆弱性分析能力、云安全解決方案設計能力、云計算系統測試和驗證能力、云計算系統運維和應急響應能力、云計算系統安全工程過程能力等云安全技術服務能力要求,并根據不同的能力要求,由低到高分為1到5級。”

可信云服務
可信云服務(TRUCS)認證由數據中心聯盟和云計算發展與政策論壇聯合組織、面向云服務提供商提供的自愿認證。可信云服務認證從數據安全、服務質量、服務性能、運維管理和權益保障等多維度評估云服務商的技術指標和水平,涵蓋云服務商需要向用戶承諾或告知的絕大多數問題,為用戶選擇安全、可信的云服務商提供參考。

其他資料

除了前面提到的相關法規和標準文檔,推薦讀者進一步閱讀以下資料:

NIST,NIST Cloud Computing Security Reference Architecture-Draft
https://csrc.nist.gov/publications/detail/sp/500-299/draft
NCC-SRA(NIST Cloud Computing Security Reference Architecture,NIST云計算安全參考架構)為NIST SP 500-292 《NIST 云計算參考模型》增加一個安全層,定義了一個以安全為中心的架構模型,指出保護云計算環境、運行和數據的核心安全組件,說明在不同部署和服務模式下各方職責范圍內的核心安全組件,并為分析所收集和匯聚的數據提供了一些方法。

CSA,Cloud Control Matrix
https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
CSA CCM(Cloud Control Matrix,云控制矩陣)提供了評估云提供商整體安全風險的基本安全準則。通過對其他行業標準和監管要求的定制,CSA CCM 在16個安全域內構建了統一的控制框架,通過減少云中的安全威脅和弱點加強現有的信息安全控制環境,提供標準化的安全和運營風險管理,并尋求將安全期望、云分類和術語體系,以及云中實施的安全措施等標準化。

CSA,Security Guidance for Critical Areas of Focus in Cloud Computing
https://cloudsecurityalliance.org/download/security-guidance-v4/
CSA發布的《云計算關鍵區域安全指南》為管理和應對云計算技術相關的風險提供指導和啟發,自2009年以來一直被廣泛視作云安全的權威指南。2017年7月發布的最新版在介紹了云計算相關的主要概念和架構后,強調了治理和運營中共13個領域的重點區域,以解決云環境中策略和實施兩方面的安全“痛點”。

Microsoft,Shared Responsibilities for Cloud Computing
https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91
https://www.trustcenter.cn/file/云計算中的共擔責任.pdf
微軟的這份白皮書解釋了CSP和客戶在合作中各自的角色和責任,以及在選擇不同云服務模式(IaaS、PaaS或SaaS)時需要關注的責任分配和合規需求。

Microsoft,A Solution for Private Cloud Security
https://social.technet.microsoft.com/wiki/contents/articles/6642.a-solution-for-private-cloud-security.aspx
以其私有云參考模型為框架,微軟通過三篇文章全面地解釋了在私有云的設計和運行中需要考慮的各種安全問題和解決方案:

CSA大中華區,《云計算安全技術要求》
http://www.c-csa.org/forum.php?mod=viewthread&tid=15
本系列標準由CSA大中華區組織國內相關單位編寫,由《總則》、《IaaS安全技術要求》、《PaaS安全技術要求》和《SaaS安全技術要求》四部分組成,“適用于云服務開發者在設計開發云計算產品和解決方案時使用,也可供云服務商選擇云計算產品和解決方案時參考,還可為云服務客戶選擇云服務時判斷云服務提供商提供的安全能力是否滿足自身業務安全需求提供參考”。

一條評論 on "云安全相關技術介紹(六)"

發表評論