信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全 管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求本标准为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的 安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考 2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适 用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T 25069—2010信息安全技术术语GB/T 31168—2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件3.1 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的 模式注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等3.2 云计算服务 cloud computing service使用定义的接口,借助云计算提供一种或多种资源的能力3.3云服务商cloud service provider云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源3.4云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方注:本标准中云服务客户简称客户3.5 第三方评估机构 Third Party Assessment Organizations; 3PAO独立于云计算服务相关方的专业评估机构3.6 云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施注:硬件资源包括所有的物理计算资源,包括服务器CPU、内存等)、存储组件(硬盘 等)、网络组件(路由器、防火 墙、交换机、网络链路和接口等)及其他物理计算基础元素 资源抽象控制组件对物理计算资源进行软件抽象,云服务商通过这些组件提供和管理对物 理计算资源的访问3.7 云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合3.8 云计算环境 cloud computing environment云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。
4云计算概述4.1云计算的主要特征云计算具有以下主要特征:a) 按需自助服务在不需或较少云服务商的人员参与情况下,客户能根据需要获得所 需计算资源,如自助确定资源占用时间和数量b) 泛在接入客户通过标准接入机制,利用计算机、移动、平板等各种终端通过 网络随时随地使用服务c) 资源池化云服务商将资源(如:计算资源、存储资源、网路资源)能供给多个客 户使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配d) 快速伸缩性客户可以根据需要快速、灵活、方便地获取和释放计算资源对于客 户来讲,这种资源是“无限”的,能在任何时候获得所需资源量e) 服务可计量云计算按照多种计量方式(如按次付费或充值使用等)自动控制或量 化资源,计量的对象可以是存储空间、计算能力、网路带宽或账户等4.2服务模式根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类:a) 软件即服务(SaaS):在SaaS模式下,云服务商向客户提供的是运行在云基础设施 之上的应用软件客户不需要购买、开发软件,可利用不同设备上的客户端(如 WEB浏览器)或程序接口通过网络访问和使用云服务商提供的应用软件,如电子邮 件系统、协同办公系统等。
客户通常不能管理或控制支撑应用软件运行的低层资源, 如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理b) 平台即服务(PaaS):在PaaS模式下,云服务商向客户提供的是运行在云计算基础设 施之上的 软件开发和运行平台,如:标准语言与工具、数据访问、通用接口等客 户可利用该平台开发和 部署自己的软件客户通常不能管理或控制支撑平台运行 所需的低层资源,如网络、服务器、操作系统、存储等,但可对应用的运行环境 进行配置,控制自己部署的应用c) 基础设施即服务(IaaS):在IaaS模式下,云服务商向客户提供虚拟计算机、存储、 网络等计算资源,提供访问云计算基础设施的服务接口客户可在这些资源上部 署或运行操作系统、中间件、数据库和应用软件等客户通常不能管理或控制云计 算基础设施,但能控制自己部署的操作系统、存储和应用,也能部分控制使用的 网络组件,如主机防火墙4.3部署模式根据使用云计算平台的客户范围的不同,将云计算分成私有云、公有云、社区云和混合 云等四种部署模式:a) 私有云:云计算平台仅提供给某个特定的客户使用私有云的云计算基础设施可由 云服务商拥有、管理和运营,这种私有云称为场外私有云(或外包私有云);也可由客户自 己建设、管理和运营,这种私有云称为场内私有云(或自有私有云)。
b) 公有云:云计算平台的客户范围没有限制公有云的云计算基础设施由云服务商拥 有、管理和运营c) 社区云:云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如 职能、安全 需求、策略等)社区云的云计算基础设施可由云服务商拥有、管理和运营,这 种社区云称为场外社区云;也可以由群体中的部分客户自己建设、管理和运营,这种社区 云称为场内社区云d) 混合云:上述两种或两种以上部署模式的组合称为混合云4.4云计算的优势在云计算模式下,客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等 基础设施,只需要为动态占用的资源付费,即按需购买服务客户采用云计算服务可获得如 下益处:a) 减少开销和能耗采用云计算服务可以将硬件和基础设施建设资金投入转变为按需 支付服务费用,客户只对使用的资源付费,无需承担建设和维护基础设施的费用,避免了自 建数据中心 的资金投入云服务商使用虚拟化、动态迁移和工作负载整合等技术提升运行 资源的利用效率,通过关闭空闲资源组件等降低能耗;多租户共享机制、资源的集中共享 可以满足多个客户 不同时间段对资源的峰值要求,避免按峰值需求设计容量和性能而造成 的资源浪费。
资源利用效率的提高有效降低云计算服务的运营成本,减少能耗,实现绿色 ITb) 增加业务的灵活性客户采用云计算服务不需要建设专门的信息系统,缩短业务系 统建设周期,使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务 系统的快速部署c) 提高业务系统的可用性云计算的资源池化和快速伸缩性特征,使部署在云计算平 台上的客户业务系统可动态扩展,满足业务需求资源的迅速扩充与释放,能避免因需求突增 而导致客户业务系统的异常或中断云计算的备份和多副本机制可提高业务系统的健壮性, 避免数据丢失和业务中断d)提升专业性云服务商具有专业技术团队,能够及时更新或采用先进技术和设备, 可以提供更加专业的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务5云计算的风险管理5.1概述云计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问 题在云计算环境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险本章通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要 求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采 购和使用云计算服务的生命周期安全管理。
5.2云计算安全风险5.2.1客户对数据和业务系统的控制能力减弱传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制 下在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数 据和业务的直接控制能力客户数据以及在后续运行过程中生成、获取的数据都处于云服 务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力将数据和业务系统迁移到云计算平台后,安全性主要依赖于云服务商及其所采取的安全 措施云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户在 缺乏必要的知情权的情况下,难以了解和掌握云服务商安全措施的实施情况和运行状态,难 以对这些安全措施进行有效监督和管理,不能有效监管云服务商的内部人员对客户数据的 非授权访问和使用,增加了客户数据和业务的风险5.2.2客户与云服务商之间的责任难以界定传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清楚在云 计算模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如 何界定,缺乏明确的规 定不同的服务模式和部署模式、云计算环境的复杂性也增加了界 定云服务商与客户之间责任的难度。
云服务商可能还会采购、使用其他云服务商的服务,如提供SaaS服务的云服务商可能 将其服务建 立在其他云服务商的PaaS或IaaS之上,这种情况导致了责任更加难以界定5.2.3可能产生司法管辖权问题在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外 数据中心,改变了数据和业务的司法管辖关系注:一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径, 甚至要求云服务商提供位于他国数据中心的数据5.2.4数据所有权保障面临风险客户将数据存放在云计算平台上,没有云服务商的配合很难独自将数据安全迁出在服 务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客户对数据的 所有权和支配权云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计,可 以获取客户的大量相关信息,对这些信息的归属往往没有明确规定,容易引起纠纷5.2.5数据保护更加困难云计算平台采用虚拟化等技术实现多客户共享计算资源,虚拟机之间的隔离和防护容易 受到攻击,跨虚拟机的非授权数据访问风险突出云服务商可能会使用其他云服务商的服务, 使用第三方的功能、性能组件,使云计算平台结构复杂且动态变化。
随着复杂性的增加,云 计算平台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的 风险增大5.2.6数据残留存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质当客户 退出云计算服务时,云服务商应该完全删除客户的数据,包括备份数据和运行过程中产生的 客户相关数据目前,还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除 操作,客户退出云计算服务后 其数据仍然可能完整保存或残留在云计算平台上5.2.7 容易产生对云服务商的过度依赖由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,同样 也难以从云计算平台迁移回客户的数据中心另外云服务商出于自身利益考虑,往往不愿意 为客户的数据和业务 提供可迁移能力这种对特定云服务商的潜在依赖可能导致客户的业 务随云服务商的干扰或停止服务而停止运转,也可能导致数据和业务迁移到其他云服务商 的代价过高由于云计算服务市场还未成熟,供客户选择的候选云服务商有限,也可能导致 客户对云服务商的过度依赖5.3云计算服务安全管理的主要角色及责任云计算服务安全管理的主要角色及责任如下:a) 云服务商为确保客户数据和业务系统安全,云服务商应先通过安全审查,才能向 客户提供云计算服务;积极配合客户的运行监管工作,对所提供的云计算服务进行运行监 视,确保持续满足客户安全需求;合同关系结束时应满足客户数据和业务的。