《云服务安全分析及监管策略-2015---完整稿..》由会员分享,可在线阅读,更多相关《云服务安全分析及监管策略-2015---完整稿..(16页珍藏版)》请在金锄头文库上搜索。
1、云服务安全分析及监管策略一、云服务成为 ICT领域最具活力的增长点之一当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑。根据Gartner的统计,2014年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中,绝大多数的用户或买单者是互联网服务的提供商。云计算充分体现了互联网“快速迭代”的特征,是当前 ICT产业技术和应用创新最活跃的领域之一,同时其服务范围也从最初单纯的资源出租向包括IT 资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的I
2、aaS提供商,也是最大的云服务提供商,据估计AWS 2014年业务收入将达到50亿美元左右,约占全球IaaS市场的三分之一。根据公开的数据,仅到2013年年中,AWS上托管网站数量就达到了1160万,年增长达到了71%,这一数量是我国网站总数的近4倍。在国内,阿里云作为最大的云服务提供商,其用户数量已经超过百万,2013年双十一活动中,有75%的交易业务量利用阿里云平台完成,而2012年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台,80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。在互联网之外的其他领域,云计算也正在不断抢占IT设备制造商的传统市场,从产品到服务的迁移不断加
3、速。这其中,政府行业是最受关注,最具影响力的领域。各国政府近年来纷纷制定国家战略和行动计划,加速政策改革和创新,将政府采购作为重要的支持政策,通过政府的示范先导,培育和拉动国内市场。一方面,加快政府部门内的IT系统向云计算的迁移,改造日趋复杂的政府信息化系统,可以节省庞大的IT经费支出;另一方面,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。二、云服务安全事件屡屡出现 带动安全市场快速增长2014年全球范围内的云服务数据泄露问题严重,美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事件,各行业数据泄露事件逐年呈
4、上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用,网络攻击逐步向各类业务系统和个人用户信息渗透,例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点;随着大数据时代的到来,丰富和集中的数据更加容易被滥用或窃取。虽然世界各互联网发达国家均重视网络数据保护并出台相关保护举措,但是网络数据承载日益重要的价值以及数据跨国界流动等特点使得数据安全保护仍然是世界性难题,拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者,面临着巨大的网络安全压力。2014年云安全联盟(CSA)发布的云故障事件统计报告显示亚马逊、谷歌、微软、索尼、苹果、Facebook等六家公司出现的云服务故
5、障接近统计的50%。不安全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。图1 各云服务商发生的云故障事件比例统计来源:云安全联盟(CSA)图2 云服务发生故障的原因来源:云安全联盟(CSA)云安全服务市场正在快速增长。以安全驱动业务的强烈需求,数据安全、移动安全、云安全成为2014年最大热点。Gartner发布的报告“2014年全球云安全服务市场趋势”中预测,随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。图3 云安全服务市场
6、快速增长从Gartner的统计数据可以看出,2014年基于云的安全服务市场规模将达到26亿美元,到2015年将增长到31亿美元。云安全将保持强劲增长,但是收入机会将有所不同。企业投入最多的云安全服务安全邮件网关服务今年的市场规模将增长至8亿美元,2015年将爬升至9.42亿美元,2017年将达10亿美元。但是其年度增长速度与其他云安全服务如IAM的增长相比较为缓慢。IAM目前总体市场规模约5亿美元,2015年将增长至8.6亿美元,2017年约12亿美元,年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaS。IAM云安全服务的主要增长动力
7、来自中小企业的日益增长的需求,包括扩展基础IAM功能,为越来越多的访问SaaS应用和内部web应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代原来的内部部署的IAM工具,而大企业则倾向以混合云和内部部署的方式使用IAM。此外,IAM市场的云单点登录服务(SSO)和云加密服务都是云安全市场新的增长热点。未来最抢手的云服务将仍然是电子邮件安全、网络安全服务、身份和访问管理(IAM)。不过,在2013年和2014年,最强劲的增长仍在基于云的特征标记和加密、安全信息和事件管理(SIEM)、漏洞评估和网络应用防火墙。考虑到成熟度、问价接受度和本地IT基础架构等方面的差异,不同地区的云安全系
8、统部署率还存在着相当大的差异。与预置部署相比,相关业务社区、地方性法规和问价等方面的成熟度都影响着专门向这种交付模式投入开支的水平。隐私仍然是阻碍所有云服务模式的重要因素,尤其是在那些执行强有力监管要求的地区和国家(例如欧洲,有自己数据保护立法)。三、国际云计算安全应对措施进展3.1国际云安全标准化进展国际上,从事云计算安全标准的部分主要机构包括:ISO/IEC JTC1:开放虚拟机格式、云计算安全与隐私管理系统、 ISO/IEC 27017 基于ISO/IEC 27002的云计算服务的信息安全控制措施实用规则、 ISO/IEC 27018 公共云计算服务的数据保护控制措施实用规则、 ISO/
9、IEC 27036-4 供应商关系的信息安全第四部分:云服务安全指南、 ISO/IEC 27009 ISO/IEC 27001在特定行业/服务的认可的第三方认证中的使用和应用NIST :云计算参考体系架构、完全虚拟化技术安全指南、云计算安全障碍与缓和措施、公共云计算中安全与隐私、通用云计算环境、美国政府云计算安全评估与授权的建议(FedRAMP)ENISA:云计算信息安全保障框架、云计算信息安全的好处,风险和建议、政府云的安全和弹性CSA:云计算面临的严重威胁、关键领域的云计算安全指南、身份隐私与接入安全ITU-T:云安全、威胁与需求、电信领域云计算安全指南CIO委员会:美国政府云计算风险评估
10、方法The Open Group:云安全和SOA参考架构OASIS:身份在云中的使用DMTF:云管理体系结构3.2数据安全是云服务管理的重点随着互联网数据流量的高速增长,数据已被看作是与石油等处于同等重要地位的新兴战略资源,数据主权也提高到国家安全和主权的高度,很多国家从国家安全层面给予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商,将会出现大量经济运行、社会服务乃至国家安全相关的信息和数据向主要云服务企业集中的趋势,这一数据集聚效应带来了不可知的、潜在的国家信息安全和用户信息安全风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业,因此,发展中国家普遍担心
11、数据信息向跨国企业聚集,并开始采取措施加强数据安全管理。第一,加强个人信息保护立法,保护个人数据安全。近几年来各国掀起了个人数据保护立法的新高潮。截至2013 年中期,有不同种类的数据隐私法律的国家大约有99 个。其中,墨西哥2011 年对云计算进行了特别规定,要求云服务提供者的隐私政策应当符合法律规定,云服务的外包应当透明,云服务提供者要确保个人数据的安全,云服务合同中应当包含隐私政策披露和数据保护安全措施等内容。第二,部分国家禁止云计算的相关数据跨境流动。几乎所有的国家都通过立法,授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利:甚至为避免重要数据在境外被其他国家获取,一些国家还对
12、重要数据的跨境存储和流动采取了限制措施。印尼在其公共服务法( Public Services (Law25) )中提出数据中心本地化要求。该法要求提供公共服务的电子系统运营商( electronic system operator)必须在印尼国内建立数据中心。除此以外,印度政府管制规则要求电子系统运营商必须把交易数据存储在印尼境内。3.3支撑政府采购云服务的制度和法律环境不断完善各国通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性,也为其他国家提供了十分有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私保护法的基
13、础上,通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控、管理制度等多个环节。 建立标准:美国 NIST编制了标准800-53 REV3,Information Security,英国编制了标准HMG Information Standards No. 1 & 2.,以上标准对云服务的安全和服务质量等方面提出了具体要求。 规范合同:英国建议在与服务提供商的合同中应包括服务器地点等与云计算环境安全相关的条款;日本规定应将云服务的安全特性、服务水平等方面的要求事项等写入协议书。 评估认证:美国 FISM
14、A 法案规定为政府提供云服务的提供商必须通过测试认证,美国医疗行业要求第三方机构对云服务提供商进行监督审查。 采购管控:英国建立政府云服务采购机制,所有的公共 ICT 服务的采购和续用都必须经过G-Cloud委员会的审查;日本规定云设备采购要通过信息安全委员会的安全审查。 管理制度:美国建立了较为完善的政府采购云管理制度,包括开展周期性评估,SLA 监控,服务质量的管理等。3.4第三方评估和认证成为保障云服务质量和安全性的必要手段在各国为政府采购云服务所建立的制度体系环境中,第三方评估和认证成为保障云服务质量和安全性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测
15、活动。 2010 年美国云计算管理办公室 PMO 的安全工作组提出 FedRamp(Federal Risk and Authorization Management Program)认证项目,进入政府采购清单目录的云服务商,必须经过 FedRamp的认证。FedRAMP认证基于NIST SP 800-53 REV3标准,由美国标准研究所(NIST)负责标准的维护。目前IaaS通过认证进入采购清单的有 12家,EaaS有22家。2012 年,英国政府开通“云市场”(Cloud Store)网站,启动G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO27
16、001和HMG Information Standards No. 1 & 2. 。截至 2014 年初, “云市场”上已有 1200 家提供商的 13000 多项云服务通过了认证,可供英国的政府部门选择使用。从2008年开始, 在日本信息通信部的支持下, FMMC (Foundation for Multimedia Communications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证,ASPIC(ASP-SaaS-Cloud CONSORTIUM)作为协作单位,负责具体认证标准的制定,目前包括 ASP/SaaS、IaaS/PaaS 和数据中心三类认证。ASP/SaaS 认证于 2008 年开始启动,已认证 1
