本文讲的是网络安全老兵座谈:云安全审计(评估)应该怎么做?,最近国内的云建设如火如荼,且看1元、0.01元甚至0元中标的千万级云平台建设项目一个接一个冲击着我们的视野。作为一个有10多年网络安全从业经验的老兵,最近也常常被客户、友商问及如何去评估一个云建设和运维项目抑或是如何评估一个云平台、云服务提供商的服务内容与质量。其实,国际、国内早有了对云安全评估的详细的建设指南、评估矩阵、资质认证体系,很多资料也躺在笔者的电脑里多年,没有机会发挥这些资料的价值。所以一个想法突然出现:将我拥有的这些资料加上我的一些理解,梳理思路后进行分享,让更多刚投入到网络安全领域的新人或刚接触到某一领域的同行能有一定的帮助,这样就能和大家一起为网络安全行业发展做一点努力。
当前,云租户无法知道处在公有云上的信息资产是否真的安全,缺乏独立的第三方安全审计,在出现权责纠纷时,云服务提供商“既是运动员又 是裁判员”,租户处于绝对弱势。另一方面,由于云服务提供商得不到权威的审计和认证,导致合规性要求高的业务系统无法选择公有云模式,成为了公有云发展的阻碍。
当前的云安全审计,审计主体和审计标准还不够权威,也缺乏权威的审计标准,审计的主体和审计的范围也不够全面、完整。笔者认为未来成熟的审计模型必定是具有第三方机构参与的涵盖“行为”、“状态”两个维度的安全审计模型,最终实现全面性、权威性、实时性和审计报告披露的科学性。
先看看云服务的网络安全风险排名:
再看看云用户的关注点:
针对上述内容,相关的组织与部门其实都考虑到了。国际上NIST或ISO都有相关的标准规范,最有名的是云安全联盟CSA,CSA发布过《云计算关键领域安全指南》、《云计算控制矩阵(CCM)》(这些都有中文版,如有需要可通过关注“赛博朔方”公众号后留下邮箱和索取资料名称的方式获取)并推出了一个CSA-STAR认证体系。国内呢,已发布了《云计算服务安全能力要求》(GBT31168-2014,面向云服务商)、《云计算服务安全指南》(GBT31167-2014,面向政府部门),新的网络安全等级保护标准征求意见稿里也扩展了云计算部分(有基本要求、设计要求、测评要求三册),国内也有基于CSA-STAR的C-STAR认证体系、工信部的“可信云服务认证”等。
那么如何进行云安全评估呢?以下是一个以评估云服务商为主及评估云平台相关为辅的案例,供参考。
1. 确定评估方法
拟以安全服务招标需求为依据,通过文档审核、访谈、审计验证、抽样测试等手段进行评估。评估内容包括:等级保护三级(云平台、业务系统等)、事前评估检测与加固、事中监控与防护、安全事后评估与应急处置、安全工作与能力、项目管理等方面。
2. 确定评估框架
根据项目实际,确定具体的评估框架如下表所示:
3. 评估操作指南
本文不针对文档审核、渗透测试等环节提供操作指南,这部分各家公司都有自己的一套方法。针对云安全评估部分,是以C-STAR评估体系(此体系综合了等同参考或修订的CSA标准、ISO27001、CSA_CCM对应的中国国家标准与规范)为主(如需相关的评估操作指导文档,可通过关注“赛博朔方”公众号后留下邮箱和索取资料名称的方式获取)。
C-STAR评估体系,包括应用和接口安全、审计保证及合规性、业务连续性管理和操作弹性、变更控制和配置管理、数据安全和信息生命周期管理、数据中心安全、加密和密钥管理、治理和风险管理、人力资源、身份识别和访问管理、基础设施和虚拟化安全、互操作性和可移植性、移动安全、安全事件管理与电了证据及云端调查取证、供应链管理与透明性及责任、威胁和脆弱性管理16个领域164个条款,具体分布如下表所示:
根据上述164个评估条款进行评估/测试后或形成整体的云平台安全管理成熟度雷达图。
4. 输出评估报告
按照上述的评估框架,最终输出《验证与测试报告》、《安全服务评估总结报告》。
最后,说一点关于云平台建设、运营过程中各方最为关注的重点,就是云平基础设施提供者、云平台建设者、云平台管理者、云平台运营者、第三方安全服务商(有受雇于云平台方或云租户方)云租户、云上业务的用户等各方之前的关于网络安全的责任边界问题,下次有机会再与大家分享。
原文发布时间为:2017年7月9日
本文作者:赛博朔方
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。