作為一項(xiàng)全新的信息技術(shù),云計(jì)算具有兩面性:一方面,它對(duì)提升包括保密管理在內(nèi)的信息化水平有很大幫助;另一方面,由于云計(jì)算本身的一些特點(diǎn),云計(jì)算安全管理比我們傳統(tǒng)信息系統(tǒng)的安全管理要更為復(fù)雜。
一、云計(jì)算的兩面性
云計(jì)算從誕生之初,人們對(duì)其的討論就從來(lái)沒(méi)有中斷過(guò)。有人覺(jué)得云計(jì)算帶來(lái)了巨大的計(jì)算力提升,有人卻懼怕其帶來(lái)的安全風(fēng)險(xiǎn)。
具體而言,一方面,云計(jì)算的資源集中與服務(wù)提供模式對(duì)云安全具有獨(dú)特的優(yōu)勢(shì),如更好的可靠性、可用性,更易于實(shí)施先進(jìn)復(fù)雜的統(tǒng)一安全防護(hù),同時(shí)云計(jì)算更強(qiáng)的一致性和協(xié)調(diào)性使得安全管理工作變得更加便利;另一方面,云計(jì)算本身的特性以及部署模型和服務(wù)模型的多樣性,導(dǎo)致云計(jì)算面臨比傳統(tǒng)網(wǎng)絡(luò)安全更加復(fù)雜的安全風(fēng)險(xiǎn)。特別是虛擬化、多租戶、資源池、隨時(shí)隨地訪問(wèn)等,會(huì)帶來(lái)基礎(chǔ)設(shè)施資源隔離困難、用戶接口和API接口管理、用戶賬戶實(shí)時(shí)提供與注銷、云計(jì)算廠商內(nèi)部人員惡意入侵等新的安全問(wèn)題。
IaaS(基礎(chǔ)設(shè)施即服務(wù))、PaaS(平臺(tái)即服務(wù))、SaaS(軟件即服務(wù)),不同層級(jí)的云服務(wù)對(duì)于用戶所承擔(dān)的安全職責(zé)也不盡相同,云服務(wù)商所在的層級(jí)越低,用戶所要具備和承擔(dān)的安全能力和管理職責(zé)就越多;不同的云部署方式,如公有云、私有云、混合云或者其他行業(yè)云等,因?yàn)椴渴鸱绞胶头⻊?wù)對(duì)象的不同,會(huì)帶來(lái)不同的安全風(fēng)險(xiǎn),也給用戶提出了新的管控要求。因此,云服務(wù)的安全機(jī)制需要有一定的透明度。
那么,關(guān)于安全機(jī)制需要注意4點(diǎn):第一,安全風(fēng)險(xiǎn)管控就是要尋找云計(jì)算的漏洞,做到預(yù)防、檢測(cè)和有效的反制反應(yīng);第二,針對(duì)已知威脅,要盡可能對(duì)云安全威脅有預(yù)判,提供保護(hù)機(jī)制;第三,檢測(cè)是要發(fā)現(xiàn)那些未知的、正在實(shí)施的攻擊行為,所以它對(duì)時(shí)效性要求很高;第四,響應(yīng)就是要對(duì)威脅能夠及時(shí)采取應(yīng)對(duì)措施。
二、各方協(xié)同——美國(guó)云計(jì)算快速發(fā)展之路
美國(guó)作為云計(jì)算使用和發(fā)展最充分的國(guó)家之一,其政府對(duì)云安全風(fēng)險(xiǎn)管控是怎么做的呢?在戰(zhàn)略方面,2011年2月,美國(guó)聯(lián)邦政府制定了“云優(yōu)先”戰(zhàn)略,通過(guò)政策推動(dòng)機(jī)構(gòu)廣泛采用基于云的解決方案;2018年9月,為了跟上美國(guó)當(dāng)前的創(chuàng)新步伐,聯(lián)邦政府又發(fā)布了“云智能”戰(zhàn)略,推動(dòng)各機(jī)構(gòu)采用更加智能的云解決方案,這個(gè)戰(zhàn)略側(cè)重于為機(jī)構(gòu)提供所需的最智能的工具,也充分反映了美國(guó)云計(jì)算的發(fā)展已進(jìn)入了一個(gè)新的階段。
同時(shí),美國(guó)政府十分重視頂層設(shè)計(jì),并設(shè)置專業(yè)的機(jī)構(gòu)去做云計(jì)算的統(tǒng)一管理。聯(lián)邦政府和國(guó)防部制定了云計(jì)算發(fā)展戰(zhàn)略,建立了相應(yīng)的云計(jì)算標(biāo)準(zhǔn)、發(fā)展路線圖和技術(shù)路線圖,甚至各個(gè)機(jī)構(gòu)和軍兵種也制定了自己的云計(jì)算發(fā)展戰(zhàn)略。
值得關(guān)注的是,國(guó)土安全部負(fù)責(zé)檢測(cè)云計(jì)算運(yùn)營(yíng)安全;NIST負(fù)責(zé)制定云計(jì)算的標(biāo)準(zhǔn);總統(tǒng)執(zhí)行辦公室負(fù)責(zé)各政府機(jī)關(guān)的活動(dòng),協(xié)調(diào)各機(jī)構(gòu)之間設(shè)立全面的“云優(yōu)先”策略,并為政府提供指導(dǎo);規(guī)劃辦公室主要負(fù)責(zé)建立政府云計(jì)算采購(gòu)機(jī)制和采購(gòu)平臺(tái)。這幾個(gè)機(jī)構(gòu)聯(lián)合組成了美國(guó)政府的云計(jì)算管理委員會(huì),同時(shí)制定了云安全的風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)(FedRAMP),像美國(guó)政府有聯(lián)邦風(fēng)險(xiǎn)和認(rèn)證管理項(xiàng)目,美國(guó)國(guó)防部有云計(jì)算安全需求指南(SRG)。
FedRAMP是聯(lián)邦政府云安全風(fēng)險(xiǎn)管控標(biāo)準(zhǔn),用于聯(lián)邦政府云的安全建設(shè),是對(duì)NIST SP800-53r4所列安全控制及控制增強(qiáng)目錄的選擇,主要考慮解決云計(jì)算環(huán)境的獨(dú)特安全問(wèn)題,包括但不限于多租戶、可視化、控制和責(zé)任劃分,以及像共享資源池的使用和信任問(wèn)題。美國(guó)軍方云安全指南是美國(guó)軍方云計(jì)算項(xiàng)目安全建設(shè)的總依據(jù)。與政府FedRAMP相對(duì)應(yīng)的國(guó)防部標(biāo)準(zhǔn)是FedRAMP+,它以FedRAMP為基線,加入國(guó)防部增強(qiáng)的安全需求后生成,特別是FedRAMP標(biāo)準(zhǔn)可直接作為國(guó)防部2級(jí)信息的安全控制要求。
不管是奧巴馬政府還是特朗普政府都強(qiáng)調(diào)云計(jì)算的發(fā)展應(yīng)充分利用成熟商業(yè)創(chuàng)新成果和商業(yè)產(chǎn)品,減輕政府和軍方的建設(shè)壓力,還可以大大縮短建設(shè)周期。各方分工明確,云服務(wù)商主要開(kāi)展云項(xiàng)目的建設(shè)和運(yùn)維,軍政部門主抓標(biāo)準(zhǔn)制定、授權(quán)評(píng)估以及實(shí)施審計(jì)監(jiān)控等環(huán)節(jié),各司其職,多方協(xié)同,從而大大促進(jìn)了美國(guó)從政府到軍隊(duì)云計(jì)算能力的快速發(fā)展。
三、嚴(yán)謹(jǐn)?shù)脑瓢踩L(fēng)險(xiǎn)管控機(jī)制
具體到云安全風(fēng)險(xiǎn)管控,美國(guó)政府有這么幾個(gè)基本步驟:第一步是系統(tǒng)分類,即針對(duì)系統(tǒng)的使用性質(zhì),進(jìn)行安全分類;第二步是安全控制選擇,開(kāi)發(fā)系統(tǒng)級(jí)持續(xù)監(jiān)控策略,同時(shí)復(fù)審標(biāo)準(zhǔn)安全計(jì)劃和持續(xù)監(jiān)控策略;第三步是安全控制執(zhí)行,保證執(zhí)行和控制解決方案與政府要求的安全架構(gòu)一致;第四步是安全控制評(píng)估,確定并認(rèn)可安全評(píng)估計(jì)劃;第五步是系統(tǒng)授權(quán),通過(guò)準(zhǔn)備活動(dòng)安排和大事記報(bào)告,向授權(quán)官員提交安全授權(quán)包,授權(quán)官員確定最終的風(fēng)險(xiǎn),制定授權(quán)決定;第六步是安全控制監(jiān)控,確定系統(tǒng)和環(huán)境變化的影響,執(zhí)行系統(tǒng)淘汰策略,更新安全計(jì)劃、活動(dòng)安排與大事記等。
詳細(xì)來(lái)說(shuō),安全評(píng)估是由經(jīng)過(guò)授權(quán)的第三方按照既定標(biāo)準(zhǔn),在三年內(nèi)要對(duì)所有的安全措施至少評(píng)估一次,最后形成評(píng)估報(bào)告,發(fā)送給項(xiàng)目管理辦公室和授權(quán)委員會(huì)。持續(xù)監(jiān)控是針對(duì)操作系統(tǒng)、基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)、網(wǎng)站等IT資產(chǎn)做到持續(xù)的實(shí)時(shí)監(jiān)控,同時(shí)引入自動(dòng)化工具支持安全事件分析。滲透測(cè)試也非常嚴(yán)謹(jǐn),共分兩個(gè)階段,第一個(gè)階段是從因特網(wǎng)進(jìn)行測(cè)試,第二個(gè)階段是從云網(wǎng)絡(luò)的內(nèi)部進(jìn)行滲透測(cè)試,包括端口的掃描,依據(jù)目標(biāo)IP范圍內(nèi)的主機(jī)識(shí)別等,由獨(dú)立的第三方機(jī)構(gòu)每年進(jìn)行一次。
四、四點(diǎn)啟示
美國(guó)的云安全風(fēng)險(xiǎn)管控機(jī)制給我們帶來(lái)了一些啟示。
第一是要加強(qiáng)云安全的風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)化和規(guī)范化建設(shè),F(xiàn)如今,云計(jì)算和大數(shù)據(jù)技術(shù)的重要性不言而喻,國(guó)家也在標(biāo)準(zhǔn)政策等方面積極推動(dòng),希望借助新技術(shù)來(lái)提升我國(guó)政府、軍隊(duì)以及各個(gè)企事業(yè)單位的信息化水平,從而提高我們的國(guó)家建設(shè)和管理的能力。但就目前而言,我國(guó)缺乏相應(yīng)的云計(jì)算風(fēng)險(xiǎn)管控頂層設(shè)計(jì),標(biāo)準(zhǔn)、政策依舊處于摸索當(dāng)中,在這一點(diǎn)和美國(guó)有著很大的差距。與國(guó)內(nèi)不同的是,美國(guó)的云計(jì)算發(fā)展是先從頂層設(shè)計(jì)入手,安全風(fēng)險(xiǎn)管控和新技術(shù)應(yīng)用同步開(kāi)展。
第二是要加強(qiáng)云安全風(fēng)險(xiǎn)管控的集中管理和專業(yè)化分工。美國(guó)政府有專業(yè)的云計(jì)算安全管控的委員會(huì),由5個(gè)政府職能部門組成,分工明確,各司其職,并且形成了一個(gè)高效協(xié)同的管理機(jī)制。從實(shí)踐經(jīng)驗(yàn)來(lái)看,美國(guó)這種多方協(xié)同、集中管理、專業(yè)化分工的安全風(fēng)險(xiǎn)管控適應(yīng)了云計(jì)算的特點(diǎn),也適應(yīng)了政府期望快速發(fā)展的要求,有效保證了云計(jì)算安全。
第三是要高度重視安全風(fēng)險(xiǎn)的評(píng)測(cè)工作。根據(jù)網(wǎng)絡(luò)安全的木桶原理,系統(tǒng)的安全性是由最薄弱的地方?jīng)Q定的,我們需要事先設(shè)想各項(xiàng)風(fēng)險(xiǎn),并且采取適當(dāng)措施預(yù)防已知風(fēng)險(xiǎn)。不過(guò),由于安全風(fēng)險(xiǎn)處于一個(gè)動(dòng)態(tài)變化的過(guò)程中,所以難以做到靠預(yù)防去完全規(guī)避安全風(fēng)險(xiǎn)。因此,實(shí)時(shí)的風(fēng)險(xiǎn)評(píng)測(cè)就顯得十分重要,它是一個(gè)不可缺少的環(huán)節(jié),也是解決未知風(fēng)險(xiǎn)的必要手段之一。美國(guó)政府的做法是授權(quán)第三方獨(dú)立機(jī)構(gòu)來(lái)進(jìn)行評(píng)估,從項(xiàng)目的初始評(píng)估授權(quán)到實(shí)時(shí)監(jiān)測(cè)、周期的評(píng)估、定期報(bào)告,以及對(duì)脆弱性掃描工具和技術(shù)提出明確的要求。
第四是要加強(qiáng)自動(dòng)化管理機(jī)制的研發(fā)和應(yīng)用。美國(guó)FedRAMP標(biāo)準(zhǔn)在相關(guān)項(xiàng)目增強(qiáng)要求中多處建議采用自動(dòng)化機(jī)制與技術(shù),因?yàn)樵朴?jì)算系統(tǒng)非常龐大,靠人工管理不僅效率低,而且伴隨著相對(duì)較高的安全風(fēng)險(xiǎn),因此盡量采用自動(dòng)化的配置管理、自動(dòng)化的賬戶管理、自動(dòng)化的安全審計(jì)、自動(dòng)化的工具掃描等自動(dòng)化管理機(jī)制,同樣顯得十分重要。
(原載于《保密科學(xué)技術(shù)》雜志2018年12月刊)