一、前言
等保2.0系列标准中,在测评实践中,可能最有争议的就是云计算扩展标准了,因为测评要求、基本要求和检查要求对服务类型、指标选取方面、指标理解方面均存在一些矛盾之处,测评实践中,争议比较多。个人认为,云计算扩展要求中,总体的原则是,云计算扩展部分要求测评对象应该是云计算平台,而不是云租户,同时也是核查云计算平台是否具有相关功能,而不是云租户实际会不会使用,测评要求基本上也是这个思路,以下仅代表个人意见,如有错误,欢迎指正。
二、安全计算环境
2.1身份鉴别
a)当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制。
标准理解:个人认为该项指标测评起来难度比较小,主要是2个方面:1管理终端远程管理云计算平台时,云计算平台应验证管理终端否采用IP+MAC或数字证书方式;2管理终端远程管理云计算平台时,是否通过数字证书方式验证云计算平台是否可信,就是核查云计算平台的SSL证书是否可信
测评对象:云计算平台和管理终端
测评方法:1、核查管理终端是否需要安装云计算平台的导出的数字证书或云计算平台是否配置管理终端的IP+MAC地址,如果仅能限制管理终端的IP地址访问,不符合,如果是必须安装数字证书才能访问云计算平台,符合,简单的办法就是换台电脑接入网络中测试下能否直接访问云计算管理平台。2、核查云计算管理平台的数字证书是否有效,一般情况下,大部分云计算管理平台的均已启用HTTPS协议,但需要注意HTTPS证书分为自签名和第三方签名的,如果是自签名的,会浏览器出现红色提示框,需要核查数字证书信息是否是由云计算平台签发的。实践中一般都是云计算平台自签发的SSL证书。
2.2访问控制
a)应保证当虚拟机迁移时,访问控制策略随其迁移;
标准理解:这个其实就是核查网络中是否有虚拟化防火墙或者终端安全响应平台(EDR),如果已部署虚拟化防火墙或EDR。
测评对象:虚拟化防火墙或终端安全响应平台
测评方法:1核查是否部署虚拟化防火墙或EDR,2若有,迁移虚拟机测试访问控制策略是否有效
b)应允许云服务客户设置不同虚拟机之间的访问控制策略。
标准理解:本条是要求云平台能够支持云租户自主配置虚拟化防火墙活泼EDR的访问控制测,也就是说云租户是否有虚拟化防火墙和EDR管理权限,或者是否能够通过其它管理控制台能够自主配置虚拟化防火墙或EDR的访问控制策略。
测评对象:虚拟化防火墙或终端安全响应平台
测评方法:1核查是否部署虚拟化防火墙或EDR,2若有,核查云租户是否能够自主设置虚拟化防火墙或EDR的访问控制策略。有的云平台通过虚拟化防火墙或EDR的接口可以实现云租户的自主管理,有的云平台无法实现,但是云服务商给云租户分配单独的虚拟化防火墙或EDR的管理账号用来自主管理,均符合,但如果是只能由云服务商进行管理,不符合。
2.3入侵防范
a)应能检测虚拟机之间的资源隔离失效,并进行告警;
标准理解:云计算平台是否能够检测内存、硬盘等资源隔离失效并提供报警,该项目的是为了避免不同虚拟机使用的内存或硬盘资源超过物理机的内存或硬盘资源,导致资源可以覆盖或访问。
测评对象:云计算平台
测评方法:1登录云计算平台,查看是否有相关因内存、硬盘等资源隔离失效检测的功能,2,是否有告警功能。主流的云计算平台 均具有该功能,一般默认符合。
b)应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;
标准理解:一般大型云计算平台都是通过接口方式实现虚拟机的新建或重启操作,如果未经授权,一般会在云计算管理平台上进行报警。
测评对象,云计算平台
测评方法:核查云计算平台是否具有该功能,或查询相关文档,一般均需要身份鉴别登录后才能进行此操作,主流的云计算平台 均具有该功能,一般默认符合。
c)应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
标准理解:本条主要就是核查是否有虚拟化防病毒、终端安全响应平台之类产品,因为只有此类产品才能对虚拟机之间病毒蔓延情况进行检测。如果是企业版网络病毒,个人建议不符合,因为这条指标还涉及到云租户。
测评对象:虚拟化防病毒、终端安全响应平台等
测评方法:1核查是否有虚拟化防病毒、终端安全响应平台等,2是否能够进行告警
2.4镜像和快照保护
a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
标准理解:云服务商是否提供安全加固的系统镜像或安全加固服务,此处可以是镜像文件,也可以是安全服务。安全加固内容至少应该包含端口关闭和补丁更新两项。
测评对象:云计算平台,安全服务
测评方法:1云计算平台上是否有安全加固的系统镜像可供虚拟机使用,或云服务商是否提供安全加固的系统镜像文件,比如ISO文件或虚拟机模板,2云服务商是否提供安全加固的服务,比如人工手动加固。
b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
标准理解:主流的云计算平台基本都可以提供虚拟机镜像和快照完整性校验功能,一般都是在镜像文件里面的某个文件写入哈希值,当进行迁移、恢复时会进行校验,如果校验失败,无法进行迁移和恢复。
测评对象:云计算平台、相关文档
测评方法:此项无法核查配置,只能将镜像文件或快照文件修改后进行修改然后进行迁移或恢复错误是,或者核查文档,一般都有相关描述。
c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
标准理解:这个需要依赖KMS等加密技术了,需要云计算平台支KMS等加密技术。
测评对象:云计算平台、KMS、加密机等。
测评方法:1核查云计算平台是否在创建虚拟机实例、恢复快照时具有加密功能。一般而言,也是通过调用KMS或者加密机的接口实现的,主流的公有云平台基本都有该功能,如果没有KMS、加密机一般无法无法满足。
2.5数据完整性和保密性
a)应确保云服务“客户”数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定;
标准理解:这个比较好理解,主要就是确保数据保存在境内,如果必须保存在境外,必须遵守相关法律,目前已知的主要有《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术 数据出境安全评估指南(草案)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》,有兴趣的可以自行百度。目前,开展等保的云服务商基本都是国内,虽然阿里云等公有云也有境外节点,但是数据是否保存在境外本人也不清除,如果有了解的欢迎告知下。
测评对象:云计算基础设施
测评方法:核查云计算平台的云计算基础设施是否均位于中国境内。
b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户“数据的管理权限;
标准理解:这个指标也比较麻烦,因为默认情况下,云服务商具有云租户资源的所有权限,从云计算平台角度来看,云计算平台一般都有角色管理功能,不同账户拥有虚拟机资源的不同权限。但是这个账户均需要云计算平台的超级管理员来分配,所以这就导致鸡生蛋还是蛋生鸡的问题,如果是访谈云服务商,基本所有云服务商都信誓旦旦保证没有授权绝对不会私自管理云租户的资源,建议不用纠结这个,一般默认符合即可。
测评对象:云计算平台
测评方法:核查云计算平台是否有角色访问控制功能,是否可以限制所有账户对虚拟机的管理权限。
c)应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
标准理解:目的主要是为了迁移过程中防止虚拟机数据被篡改,一般云计算平台均有哈希校验机制,默认符合。
测评对象:云计算平台
测评方法:修改虚拟机文件的哈希值,测试迁移是否成功。一般均提供哈希校验,比如Vsphere的mf文件是虚拟磁盘和配置文件的sha1校验文件,其它云计算平台有的是CRC64或MD5校验,其中,SHA1、MD5也属于密码技术。
d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
标准理解:就是核查是否部署KMS,若无,直接不符合。
测评对象:KMS、云计算平台
测评方法:1核查是否有KMS,2核查云计算平台是否支持云自主加密解密。
2.6数据备份和恢复
a)云服务客户应在本地保存其业务数据的备份;、
标准理解:此条争议比较大,按照测评要求,该项如果测评对象是云服务商,那么应该核查的是云计算平台是否支持云租户数据导出本地备份功能,按照基本要求,该项测评对象是云租户,该项基本都符合,那么云服务商不适用。按照2020报告检查要求,检查组更倾向后者,但个人倾向前者,理由见前言。
测评对象:云计算平台
测评方法:云计算平台是否提供云租户自主导出数据本地备份的功能。
b)应提供查询云服务客户”数据及备份存储位置的能力;
标准理解:云租户能否自主查询数据存储位置,一般需要云计算平台来实现。存储位置可以是物理位置即可,不用精确到机柜或服务器,比如XX省XX市XX节点。一般公有云均默认符合。
测评对象:云计算平台
测评方法:核查云计算平台是否提供数据存储位置的功能,一般公有云在控制台都有存储的云计算节点,所以,个人认为默认符合。私有云的云平台如果没有这个功能,不符合。
c)云服务商的云存储服务应保证云服务客户“数据存在若干个可用的副本 ,各副本之间的内容应保持一致;
标准理解:主要核查云平台的多副本是否具有同步机制。
测评对象:云计算平台、相关文档
测评方法:核查云计算平台在创建虚拟机时是否有多副本的功能,或者核查产品文档,采取何种措施保证多副本之间的同步。如果是公有云、或者基于Open stack的,基本都满足,比如Openstack默认3副本。如果是Vsphere,开启了FT功能,也是默认符合的。
d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。
标准理解:云计算平台是否有迁移工具,能够让云租户自主从云端迁移到本地或其它云平台。
测评对象:云计算平台
测评方法:核查云计算平台是否有迁移功能,能够让云租户迁移到本地或其它云平台。目前主流的阿里云等公有云平台一般都有该功能,私有云不一定。
2.7剩余信息保护
a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除;
标准理解:这个核查起来也比较困难,主要是核查内存和硬盘是都完全清除。
测评对象:云计算平台
测评方法:1关于存储空间,核查云计算平台是否有文件回收站功能。2核查云计算平台存储设备,测试虚拟机删除后是否完全删除。3关于内存,这个说实话,比较困难,大概思路是删除前把内存dump到本地文件,然后删除后,在dump一次,比较两个文件中的虚拟机数据是都完全删除。个人觉得实际测评中无法=
b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除。
标准理解:一般云计算平台均有多副本措施,主要核查副本文件是否都删除了,比如open stack默认是3副本。
测评对象:云计算平台
测评方法:核查起来比较麻烦,1、登录云计算平台核查是否有查询多副本存储的功能,或2核查相关文档,查询是否有多副本删除的描述,或3登录多副本存储的设备,查看虚拟机文件是否均完全删除。一般也是默认符合。
三、尾语
本人仅将测评过程中的一些经验和理解总结,如果错误,欢迎留言。总体而言,云计算测评难度比较大,因为从服务对象来看,云计算分为云租户和云服务商,云服务商又好几种,从服务类型角度来看,分裸金属、IaaS、PaaS和SaaS,从云计算类型来看,分公有云、私有云和混合云,从是否存在虚拟网络角度看下,还分有VPC和无VPC,实践中,对于指标的选取各方都存在很多争议,建议不要完全按照测评要求来,要结合标准和测评实践,寻找一条适合自己机构测评实施的方法,在合规和效率上实现平衡。
来源:freebuf.com 2021-01-15 15:14:49 by: tc01680
请登录后发表评论
注册