網路安全等級保護雲計算安全防護技術體系設計

來自專欄狂客4 人贊了文章

隨著雲計算應用越來越廣泛，政務、通信、金融、電子商務等越來越多的領域開始使用雲計算，雲計算服務正穩步成為IT基礎服務和信息技術關鍵基礎設施。雲計算從2008年至今，經歷了技術儲備期、服務發展期，基於其獨特的優勢，例如減少開銷和能耗、提高業務的靈活性、按需服務、提升業務系統可用性和高可擴展性等，可為用戶提供更加便捷且成本低廉的服務，雲計算服務正向模式成熟期邁進，期望實現方便、快捷、按需獲取服務的遠景目標。

然而，在雲計算髮展過程中安全可信問題成為阻礙其發展的首要因素。尤其雲計算服務具有按需自助服務、資源池化、泛在接入、快速彈性伸縮、服務可計算等五大特徵，並且具有公有雲、社區雲、混合雲和私有雲等四種部署模式，IaaS、PaaS和SaaS三種主流的服務模式，雲計算服務提供者和雲服務客戶兩大責任主體，因此，如何確定安全責任，如何定級、如何監管、如何進行安全防護技術體系設計都具有前所未有的難度。

此次修訂對雲計算平台、系統的擴展設計要求進行了規範，針對不同安全等級的雲計算平台或採用雲計算技術的信息系統明確安全設計目標、確定安全設計策略，並提出包括第一級至第四級雲計算平台系統安全保護環境的安全計算環境、安全區域邊界、安全通信網路和安全管理中心等方面的設計技術要求。適用於指導網路安全等級保護雲計算平台系統安全技術方案設計和實施，也可以作為網路安全職能部門對雲計算平台系統進行監督、檢查和指導的依據。

確定定級對象

1雲計算功能框架

雲計算功能架構分為五個邏輯層，資源層、雲服務層、雲訪問層、雲用戶層和雲管理層，具體如圖1所示。

雲用戶層：雲用戶指訪問雲計算平台的各類用戶，包括雲服務提供者和雲服務使用者。用戶層主要是指雲服務與租戶或雲用戶的交互界面，例如雲服務使用者對雲資源的管理、對雲服務的監控，雲服務使用者向雲服務提供者追加或減少雲資源的訂購等。

雲訪問層：訪問層主要面向雲服務提供者、雲服務使用者提供訪問和管理，包括網路通信訪問、面向雲服務提供者和使用者的服務訪問以及面向最終用戶的應用訪問等，各層之間的粗實線表示訪問的介面。基於訪問層，雲服務使用者可以實現對雲服務的自動或手動訪問。訪問層訪問雲服務的方式是多樣的，可以基於瀏覽器的方式，也可以基於遠程通信的方式（例如WebService）。實現安全控制是訪問層的重要功能，主要包括授權、訪問特定服務的請求安全加固和完整性校驗、通信協議管控等。

雲服務層：雲服務層主要是面向用戶提供虛擬機等基礎服務、平台服務和應用服務，也可以分為網路服務、彈性計算服務、雲存儲服務以及面向用戶的應用服務，主要的服務包括但不局限於負載均衡、虛擬主機、對象存儲服務、分散式資料庫與大數據計算服務等。

資源層：資源層包括雲資源層和硬體設施層。雲資源層包括網路資源、計算資源和存儲資源等的資源池，並實現資源管理、任務調度和服務管理等方面功能。硬體設施層主要包括計算存儲設備、網路設備和安全設備等硬體設備及硬體設備的運行環境等。

雲管理層（跨層功能）：雲管理層主要是跨層訪問功能的集合，包括對雲服務的業務管理、雲平台及雲服務的運維運營管理、以及對雲平台系統和服務的安全管理。業務管理主要包括產品目錄、賬戶管理、計費等；運維管理主要包括服務策略管理、服務水平協議等；安全管理主要包括認證管理、授權管理、審計管理等。

2定級對象確定及管理職責劃分

雲計算保護環境是雲服務商的雲計算平台，及雲服務客戶在雲計算平台之上部署的軟體及相關組件的集合。其中，雲計算平台的等級保護定級和按照等級的保護工作由雲服務商負責，對於大型雲計算平台可以將雲計算基礎設施平台及輔助支撐系統劃分為不同的等級對象，各自獨立定級。如果雲服務客戶在雲計算平台上部署的軟體及相關組件可以構成等級保護定級對象，則一般稱為雲服務客戶信息系統，針對其的具體定級和按等級開展的保護工作由雲服務客戶負責。

雲服務商的雲計算平台可以承載多個不同等級的雲服務客戶信息系統，雲計算平台的安全保護等級應不低於其承載雲服務客戶信息系統的最高安全保護等級。對於提供公共服務的雲計算平台安全保護等級應不低於第二級。

定級的重點在於定級對象管理職責的劃分，根據不同雲服務模式職責劃分邊界有所不同，具體如下：

1. 對於IaaS基礎設施服務模式，雲服務商的職責範圍包括虛擬機監視器和硬體，雲租戶的職責範圍包括操作系統、資料庫、中間件、應用；

2. 對於PaaS平台即服務模式，雲服務商的職責範圍包括虛擬機監視器、硬體，操作系統、資料庫、中間件，雲租戶的職責範圍主要為應用；

3. 對於SaaS軟體即服務模式，雲服務商的職責範圍包括虛擬機監視器、硬體，操作系統、資料庫、中間件、應用。雲租戶的職責範圍主要有用戶訪問和用戶賬號安全。

根據數據安全管理職責不變的原則，業務數據永遠由雲租戶負責，但是對於數據的傳輸、存儲等完整性和保密性措施是否能夠實現則取決於雲計算平台提供的安全功能或服務。

3確定安全保護對象

相對傳統信息系統，雲計算平台或系統的安全保護對象所有增加，具體如表1所示。

雲計算安全防護體系框架建立

雲安全防護技術體系是雲計算平台或系統安全建設的重要指導和依據，我們將等級保護思想融入到雲安全防護體系的構建，清晰描述了雲安全防護體系建立的原則及方法，提出了基於等級保護的雲安全防護技術體系框架。

1雲安全防護技術體系的設計方法

首先，明確保護對象；

其次，採用蛛網圖法分析保護對象所面臨的安全威脅及自身所存在的安全漏洞；

最後，結合威脅分析和系統的脆弱性提出安全防護措施。

利用蛛網圖法提出了針對保護對象的安全威脅、脆弱性及安全保護措施分析方法，具體如下圖所示：

1. 威脅及漏洞分析：可針對雲計算信息系統的保護對象從威脅場景、威脅來源和威脅對象三個方面來分析雲計算信息系統所面臨的安全威脅、自身的弱點以及潛在影響和發生的可能性等因素，進而分析並確定具體的安全防護需求。利用此分析方法，識別出近百種安全威脅場景，包括虛擬機逃逸、虛擬機間相關攻擊、惡意虛擬機進行網路攻擊、API持續攻擊等。並且根據不同等級信息系統應該實現的安全防護能力，明確不同等級雲計算系統應對抗的安全威脅[2]。

2. 確定保護對象，詳見第二章第三節。

3. 防護措施：對於雲計算安全防護措施的選定，可採用德爾菲法來進行，廣泛邀請雲計算安全領域「政、產、學、研」的專家參與，充分利用專家的經驗和學識，確保建立的安全防護措施能夠對抗相應等級雲計算系統面臨的安全威脅。

2雲安全防護技術體系框架

基於上述方法明確雲計算安全保護措施是單點的、離散的，無法體現出雲計算平台或雲計算信息系統整體防護、縱深防護的思想，更重要的是針對雲計算服務的兩大責任主體的責任邊界需要明確，只有根據職責明確一個組織建設雲計算平台或雲計算信息系統的目標、對象、範圍，才能更好的進行安全設計、規劃和建設實施。雲計算安全防護技術體系框架設計方法：

根據云計算安全防護體系框架設計方法，我們需要以雲計算平台或雲計算信息系統的界定及特徵為基礎，充分考慮雲計算的功能框架和服務模式；雲計算功能框架包括用戶層、訪問層、資源層、服務層和管理層（跨層功能），服務模式主要包括IaaS 、 PaaS 和SaaS，不同服務模式雲服務商或雲計算服務提供者與雲租戶或雲計算服務使用者的責任邊界不同；

·以等級保護「一個中心，三重防護」的縱深防護思想為指導，從通信網路到區域邊界再到計算環境進行重重防護，通過安全管理中心進行集中監控、調度和管理，經過20年的信息系統安全建設實踐，證明這是非常有效的安全設計指導方法。

雲計算安全防護技術體系框架具體如圖下圖所示：

用戶通過安全的通信網路以網路直接訪問、API介面訪問和Web服務訪問等方式安全地訪問雲服務商提供的安全計算環境，其中用戶終端自身的安全保障不在本部分範疇內。

安全計算環境包括資源層安全和服務層安全。

其中，資源層分為物理資源和虛擬資源，需要明確物理資源安全設計技術要求和虛擬資源安全設計要求，其中物理與環境安全不在本部分範疇內。

服務層是對雲服務商所提供服務的實現，包含實現服務所需的軟體組件，根據服務模式不同，雲服務商和雲服務客戶承擔的安全責任不同。

服務層安全設計需要明確雲服務商控制的資源範圍內的安全設計技術要求，並且雲服務商可以通過提供安全介面和安全服務為雲服務客戶提供安全技術和安全防護能力。

雲計算環境的系統管理、安全管理和安全審計由安全管理中心統一管控。結合本框架對不同等級的雲計算環境進行安全技術設計，同時通過服務層安全支持對不同等級雲服務客戶端（業務系統）的安全設計。

分等級安全設計實現

修訂中的雲計算要求的級差與原標準保持一致。但是考慮到公共雲平台會部署多個租戶、多個業務系統，一旦雲計算平台發生安全事件，影響範圍較大。因此，公共雲的雲計算平台安全保護等級最低應該為二級。

結合雲計算安全防護技術體系框架，針對不同等級雲計算平台或雲計算信息系統的明確具體的安全設計目標、策略和技術要求，具體如下：

第1步：基於上述分析和雲等保系列標準的強度要求，確定各等級雲計算平台安全設計的設計目標、設計策略；

第2步：從安全計算環境、安全區域邊界、安全通信網路和安全管理中心等維度明確安全技術要求，明確具體安全機制；

第3步：結合雲計算功能框架各個層次以及具體保護對象，針對各個功能層次及保護對象的安全技術機制實現的要求。

雲計算的總體框架如下圖所示：

在安全計算環境方面，主要增加了虛擬化安全、介面安全、鏡像和快照安全等雲計算安全相關的控制點，同時也將身份鑒別、訪問控制等安全控制措施與雲計算不同層次對象安全特性相結合提出相應的安全措施，上圖給出了針對第三級介面安全、鏡像和快照安全的具體設計要求。

區域邊界設計除了互聯網邊界、第三方邊界、不同物理區域的邊界安全防護外，增加了虛擬網路區域邊界、虛擬機與宿主機之間的區域邊界等防護安全要求。安全通信網路在物理通信網路基礎上增加了虛擬網路通信的安全保護要求，安全管理中心高等級增加了對雲計算安全態勢的預測、預判能力要求以及運維地域的限定要求。

小結

隨著雲計算技術的應用和推廣，政務、金融、通信、公共服務等越來越多的行業和領域開始進行雲計算平台建設，雲計算安全與雲計算平台系統建設同步規劃、同步設計是迫切需要解決的問題，亟需相關的標準出台給予指導。

本文提出雲計算安全防護體系設計的方法論：

首先，研究雲計算平台或採用雲計算技術的信息系統的界定及突出特徵，確定定級對象及安全保護對象；

其次，分析雲計算平台或雲計算系統面臨的安全威脅；

第三，按照「一個中心，三重防護」的縱深防禦思想進行雲計算平台安全防護體系設計；

第四，給出安全體系結構實現的技術方法，即安全設計要求指標體系；

最後，結合等級保護不同等級的級差特點，明確不同等級的技術要求，並給出結合雲計算功能框架、保護對象的安全保護機制實現技術要求。

修訂工作分別針對公共雲、行業雲和某單位政務雲安全建設開展了試點驗證，在安全解決方案設計和安全建設過程中具有重要的指導作用，大大提升了試點平台系統的安全防護能力。目前，雲計算建設、應用越來越廣泛，大型雲計算平台已經成為國家關鍵基礎設施，保障雲計算的安全成為關注焦點，標準的頒布實施將成為指導雲計算安全、穩定和健康發展的基石。

推薦閱讀：