云计算安全联盟CSA发布新版云安全指南v2.1
2009年12月17日,云计算安全联盟发布了新版的《云安全指南》v2.1[1],代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。
云安全联盟CSA是在2009年RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际知名公司成为其企业成员,绿盟科技也在上个月成为企业会员(似乎应该是亚太地区的第一个企业会员,使用Twitter的朋友请关注@nsfocus_update)。其发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。下面简要回顾一下云计算、云计算面临的安全威胁、新版云安全指南及其使用。
1 什么是云计算?
虽然云计算到目前已经广为人知,但是关于到底什么是云计算还没有完全统一的看法或定义。在业界有影响的机构组织或商业公司有多种不同的描述。按照美国技术和标准研究院的描述,云计算应该具有以下五个基本特征[2][3]:
C1: 按需的自服务。这个特征非常直接了当,自己动手、丰衣足食。作为云服务,不同于传统网络服务或普通IT服务的一个鲜明特征就是云服务是不用人工干预的自助服务,例如服务开通、配置变更、缴费、取消等。
C2: 宽带接入。该特征要求云服务通过网络提供,并且应该涵盖基本上所有的客户端,包括各种电脑、上网本、智能手机等。
C3: 虚拟池化的资源。该特征来源于云服务的多客户性质。在同一套物理资源之上,给多个客户提供服务,需要将原来孤立的、个体的物理资源通过虚拟化映射成为虚拟的、功能模块化的、面向多用户服务的资源池。并由系统统一地、动态地、按需地再分配给各个客户。由此而来的另外一个结果就是客户不再关心、也基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。这些资源包括CPU计算能力、内存、存储、流程进程过程、网络带宽、虚拟机、备份数据、维护人员等等。
C4: 快速弹性架构。这个特征被认为是云计算带来的最大好处之一。用户不再为系统扩容跟不上用户需求预测而苦恼,也不用为短期项目完工后闲置的IT资源而担心。系统规模扩大、减小,对于云服务的用户来说,变成了鼠标点击事件,就好像云里的服务和虚拟资源是无限的、召之即来、挥之即去的。
C5: 可测量的服务。这里强调的是“服务”,它应该是可以测量的、有明确价格和收费政策的。在使用过程中,各种服务(例如存储、带宽、活动用户账号、各种计算资源等)的使用、监视、控制等对于服务提供者和用户都是透明的。
CSA特别强调除了上述五个关键特征之外,多客户是云计算的重要特征,不管是外部的多客户,还是企业组织内部的多客户。这些关键特征直接影响到了云计算环境的安全威胁和相关的安全保护策略。
2 云计算面临的安全威胁和挑战
在互联网进入Web2.0年代以后,网络安全威胁的发展趋势有了很大变化。云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移进一步加剧了围绕着Web的各种安全威胁。按照IDC 2008年8月份的调查结果,在人们对按需-云计算(Cloud/On-Demand)的担心问题排序中,安全问题高居第一,下面依次是性能、可用性、集成问题、可定制能力等
云计算面临的安全威胁林林总总,简而言之,比较有特殊性的包括:
T1: 大量迅猛涌现的Web安全漏洞。 云计算服务推动了Internet的Web化趋势。与传统的操作系统、数据库、C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对网络安全来说意味着巨大的挑战,甚至是灾难[5]。
T2: 拒绝服务攻击[6]。拒绝服务攻击DoS和DDoS不是云服务所特有的。但是,在云服务的技术环境中,企业中的关键核心数据、服务离开了企业网,迁移到了云服务中心。更多的应用和集成业务开始依靠互联网。拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。
T3: 内部的数据泄漏和滥用。企业的重要数据和业务应用处于云服务提供商的IT系统中,如何保证云服务商自身内部的安全管理和职责分离体系SOD,审计保障等?如何避免云计算环境中 多客户共存带来的潜在风险?这些都成为云计算环境下用户的最严肃的安全顾虑或挑战之一。
T4: 潜在的合同纠纷和法律诉讼等。当然,这里我们讨论的主要还是和网络安全相关的。云服务合同、服务商的SLA和IT流程、安全策略、事件处理和分析等都可能存在不完善。另外,云服务中大量使用虚拟化技术。虚拟化带来的物理位置不确定性和国际相关法律法规的复杂性都使得潜在的合同纠纷和法律诉讼成为成功利用云服务的重大挑战。
3 保护云计算
新版的CSA安全指南(以下简称指南)将原来版本1.0中的15个域(Domain)重新架构成了新版中的13个域:原来第3 – 法律和第4 – 电子发现合并成了新版的第3域 – 法律和电子发现,原来的第6 – 信息生命周期管理和第14 – 存储合并成了新版的第5域 – 信息生命周期。
新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点。
特色2: 技术上面明确描述了法律、电子证据发现(D3)以及虚拟化(D13),另外对于数据的可转移性和互操作性(D6)也是新版CSA安全指南的鲜明特色。大家知道,信息安全相关法律和信息安全技术业界的相互沟通是当前国际范围的一个趋势和热点。例如,识别用户隐私数据和适用的法律法规符合性要求是云计算提供商的安全必修课。指南在此作出了重要的探索,将法律和电子证据发现单独列为一个域,就云服务用户在服务商选择、合约内容和签署等过程中应该注意的相关要点做了总结推荐。虚拟化是云服务的基石技术,它给包括安全在内的各种IT流程提出了新课题。而这些内容在ISO27001或者PCI-DSS中或者没有要求,或者很少阐述。
云安全指南不是像通用评估准则(CC:Common Criteria)和国际认可的ISO标准( ISO/IEC 15408 )那样的理论模型,不像PCI-DSS的12个安全要求那样具体[7],也不具备ISO27001和CoBit那样的安全框架。实际上,指南明确推荐云服务提供商参考ISO/IEC 27001来开发自己的安全策略和路线图、以及相关的审计标准。
那么,云安全指南是什么?又怎么使用它呢?
事实上,云安全指南是和云计算有关的安全保护最佳实践的一个汇编和参考。指南着重总结了云计算的技术架构模型、安全控制模型以及相关的合规性模型之间的映射关系,围绕着13个识别出来的关注点,即13个域,从云用户角度阐述了可能存在的商业隐患、安全威胁、以及推荐采取的安全措施。
指南是一份云计算服务的安全实践手册,准备或已经采用了云计算服务的IT团队从中可以获得在如何选择云服务提供商、如何签署合约、如何实施项目和监视服务交付等商业活动中的安全注意事项,这些推荐事项可以用来保证企业安全策略的正确顺利实施,避免出现因为安全事件、法律法规方面的疏忽或合同纠纷等带来的商业损失。
云计算处于快速发展之中,同样,指南也是一个“活”的文档。这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要,其它12个域的全文将会随后陆续发布。指南的开发和发布是一个开放的过程,欢迎更多的相关行业的专家学者参与其中,在贡献自己的经验和观点的同时,也能够最快速地从指南的开发过程中与国际同行保持交流,获取最前沿的实践信息。
参考文献:
[1] Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, http://www.cloudsecurityalliance.org/csaguide.pdf
[2] NIST Definition of Cloud Computing v15, http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-def-v15.doc
[3] Presentation on Effectively and Securely Using the Cloud Computing Paradigm v26, http://csrc.nist.gov/groups/SNS/cloud-computing/cloud-computing-v26.ppt
[4]Biggest Cloud Challenge: Security, http://cloudsecurity.org/2008/10/14/biggest-cloud-challenge-security/
[5] Cisco CEO: Cloud Computing a ‘Security Nightmare’, http://www.csoonline.com/article/490368/Cisco_CEO_Cloud_Computing_a_Security_Nightmare_
[6] DDoS: A Threat You Can’t Afford to Ignore, Forrester whitepaper, http://whitepapers.zdnet.com/abstract.aspx?docid=1155831
[7]PCI-DSS v1.2.1 https://www.pcisecuritystandards.org/pdfs/pci_dss_chinese_simplified.pdf
很棒!