作为一项全新的信息技术,云计算具有两面性:一方面,它对提升包括保密管理在内的信息化水平有很大帮助;另一方面,由于云计算本身的一些特点,云计算安全管理比我们传统信息系统的安全管理要更为复杂。
一、云计算的两面性
云计算从诞生之初,人们对其的讨论就从来没有中断过。有人觉得云计算带来了巨大的计算力提升,有人却惧怕其带来的安全风险。
具体而言,一方面,云计算的资源集中与服务提供模式对云安全具有独特的优势,如更好的可靠性、可用性,更易于实施先进复杂的统一安全防护,同时云计算更强的一致性和协调性使得安全管理工作变得更加便利;另一方面,云计算本身的特性以及部署模型和服务模型的多样性,导致云计算面临比传统网络安全更加复杂的安全风险。特别是虚拟化、多租户、资源池、随时随地访问等,会带来基础设施资源隔离困难、用户接口和API接口管理、用户账户实时提供与注销、云计算厂商内部人员恶意入侵等新的安全问题。
IaaS(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务),不同层级的云服务对于用户所承担的安全职责也不尽相同,云服务商所在的层级越低,用户所要具备和承担的安全能力和管理职责就越多;不同的云部署方式,如公有云、私有云、混合云或者其他行业云等,因为部署方式和服务对象的不同,会带来不同的安全风险,也给用户提出了新的管控要求。因此,云服务的安全机制需要有一定的透明度。
那么,关于安全机制需要注意4点:第一,安全风险管控就是要寻找云计算的漏洞,做到预防、检测和有效的反制反应;第二,针对已知威胁,要尽可能对云安全威胁有预判,提供保护机制;第三,检测是要发现那些未知的、正在实施的攻击行为,所以它对时效性要求很高;第四,响应就是要对威胁能够及时采取应对措施。
二、各方协同——美国云计算快速发展之路
美国作为云计算使用和发展最充分的国家之一,其政府对云安全风险管控是怎么做的呢?在战略方面,2011年2月,美国联邦政府制定了“云优先”战略,通过政策推动机构广泛采用基于云的解决方案;2018年9月,为了跟上美国当前的创新步伐,联邦政府又发布了“云智能”战略,推动各机构采用更加智能的云解决方案,这个战略侧重于为机构提供所需的最智能的工具,也充分反映了美国云计算的发展已进入了一个新的阶段。
同时,美国政府十分重视顶层设计,并设置专业的机构去做云计算的统一管理。联邦政府和国防部制定了云计算发展战略,建立了相应的云计算标准、发展路线图和技术路线图,甚至各个机构和军兵种也制定了自己的云计算发展战略。
值得关注的是,国土安全部负责检测云计算运营安全;NIST负责制定云计算的标准;总统执行办公室负责各政府机关的活动,协调各机构之间设立全面的“云优先”策略,并为政府提供指导;规划办公室主要负责建立政府云计算采购机制和采购平台。这几个机构联合组成了美国政府的云计算管理委员会,同时制定了云安全的风险管控标准(FedRAMP),像美国政府有联邦风险和认证管理项目,美国国防部有云计算安全需求指南(SRG)。
FedRAMP是联邦政府云安全风险管控标准,用于联邦政府云的安全建设,是对NIST SP800-53r4所列安全控制及控制增强目录的选择,主要考虑解决云计算环境的独特安全问题,包括但不限于多租户、可视化、控制和责任划分,以及像共享资源池的使用和信任问题。美国军方云安全指南是美国军方云计算项目安全建设的总依据。与政府FedRAMP相对应的国防部标准是FedRAMP+,它以FedRAMP为基线,加入国防部增强的安全需求后生成,特别是FedRAMP标准可直接作为国防部2级信息的安全控制要求。
不管是奥巴马政府还是特朗普政府都强调云计算的发展应充分利用成熟商业创新成果和商业产品,减轻政府和军方的建设压力,还可以大大缩短建设周期。各方分工明确,云服务商主要开展云项目的建设和运维,军政部门主抓标准制定、授权评估以及实施审计监控等环节,各司其职,多方协同,从而大大促进了美国从政府到军队云计算能力的快速发展。
三、严谨的云安全风险管控机制
具体到云安全风险管控,美国政府有这么几个基本步骤:第一步是系统分类,即针对系统的使用性质,进行安全分类;第二步是安全控制选择,开发系统级持续监控策略,同时复审标准安全计划和持续监控策略;第三步是安全控制执行,保证执行和控制解决方案与政府要求的安全架构一致;第四步是安全控制评估,确定并认可安全评估计划;第五步是系统授权,通过准备活动安排和大事记报告,向授权官员提交安全授权包,授权官员确定最终的风险,制定授权决定;第六步是安全控制监控,确定系统和环境变化的影响,执行系统淘汰策略,更新安全计划、活动安排与大事记等。
详细来说,安全评估是由经过授权的第三方按照既定标准,在三年内要对所有的安全措施至少评估一次,最后形成评估报告,发送给项目管理办公室和授权委员会。持续监控是针对操作系统、基础设施、数据库、网站等IT资产做到持续的实时监控,同时引入自动化工具支持安全事件分析。渗透测试也非常严谨,共分两个阶段,第一个阶段是从因特网进行测试,第二个阶段是从云网络的内部进行渗透测试,包括端口的扫描,依据目标IP范围内的主机识别等,由独立的第三方机构每年进行一次。
四、四点启示
美国的云安全风险管控机制给我们带来了一些启示。
第一是要加强云安全的风险管控标准化和规范化建设。现如今,云计算和大数据技术的重要性不言而喻,国家也在标准政策等方面积极推动,希望借助新技术来提升我国政府、军队以及各个企事业单位的信息化水平,从而提高我们的国家建设和管理的能力。但就目前而言,我国缺乏相应的云计算风险管控顶层设计,标准、政策依旧处于摸索当中,在这一点和美国有着很大的差距。与国内不同的是,美国的云计算发展是先从顶层设计入手,安全风险管控和新技术应用同步开展。
第二是要加强云安全风险管控的集中管理和专业化分工。美国政府有专业的云计算安全管控的委员会,由5个政府职能部门组成,分工明确,各司其职,并且形成了一个高效协同的管理机制。从实践经验来看,美国这种多方协同、集中管理、专业化分工的安全风险管控适应了云计算的特点,也适应了政府期望快速发展的要求,有效保证了云计算安全。
第三是要高度重视安全风险的评测工作。根据网络安全的木桶原理,系统的安全性是由最薄弱的地方决定的,我们需要事先设想各项风险,并且采取适当措施预防已知风险。不过,由于安全风险处于一个动态变化的过程中,所以难以做到靠预防去完全规避安全风险。因此,实时的风险评测就显得十分重要,它是一个不可缺少的环节,也是解决未知风险的必要手段之一。美国政府的做法是授权第三方独立机构来进行评估,从项目的初始评估授权到实时监测、周期的评估、定期报告,以及对脆弱性扫描工具和技术提出明确的要求。
第四是要加强自动化管理机制的研发和应用。美国FedRAMP标准在相关项目增强要求中多处建议采用自动化机制与技术,因为云计算系统非常庞大,靠人工管理不仅效率低,而且伴随着相对较高的安全风险,因此尽量采用自动化的配置管理、自动化的账户管理、自动化的安全审计、自动化的工具扫描等自动化管理机制,同样显得十分重要。
(原载于《保密科学技术》杂志2018年12月刊)