网络安全等级保护基本要求之云计算安全扩展

本期关键词：

网络安全等级保护基本要求云安全扩展

NIST将云计算定义为：

云计算是一个模式，它是一种无处不在的、便捷的、按需的，基于网络访问的，共享使用的，可配置的十算资源(如：网络、服务器、存储、应用和服务)可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。

描述云的一种简单的方法是，它需要一组资源，比如处理器和内存，并将它们放到一个大的池中（在这种情况下，使用虚拟化）。消费者需要从池中获得需要的东西，比如8CPUs和16GB的内存，而云将这些资源分配给客户端，然后客户端连接到网络并在网络上使用这些资源。

在NIST对云计算的定义中，包括了五个基本特征、三种云服务模式、以及四个云部署模型。

云计算服务的五个基本特征

●按需自助；

●无所不在的网络访问；

●资源池化；

●快速弹性；

●可度量的服务。

云计算的三种服务模式：

●软件即服务， Software as a Service(SaaS)

通过网络为最终用户提供应用服务。绝大多数SaaS应用都是直接在浏览器中运行，不需要用户下载安装任何程，。是由服务商管理和托管的完整应用软件。用户可以通过web浏览器、移动应用或轻量级客户端应用来访问它。

●平台及服务， Plat from as a Service(PaaS)

主要作用是将一个开发和运行平台作为服务提供给用户，能够提供开发或应用平台，如数据库、应用平台(如运行Python、PHP或其它代码的地方)，文件存储和协作，甚至专有的应用处理(例如机器学习、大数据处理或直接API访问完整的SaaS应用的特性)。

●基础设施即服务，Infrastructure as a Service(IaaS)

主要提供一些基础资源，包括服务器、网络、存储等服务，由自动化的、可靠的、扩展性强的动态计算资源构成。用户能够部署和运行任意软件，包括操作系统和应用程序，无需管理或控制任何云计算基础设施，但能控制操作系统的选择、存储空间、部署的应用，也有可能获得网络组件的控制。

四个云计算部署模式：

●公共云

云基础设施提供服务给一般公众或某个大型行业团体，并由销售云计算服务的云平台所有。

●私有云

云基础设施专为一个单一的云平台运作，它可以由该云平合或某个第三方管理并可以位于云平台内部或外部。

●社区云

云基础设施由若干个云平台共享，支持某个特定有共同关注点的社区(例如使命、安全要求、政策或合规性考虑等)它可以由该云平台或某个第三方管理并可以位于云平台内部或外部。

●混合云

云基础设施由两个或多个云(私有、社区、或公共)组成，以独立实体存在，但是通过标准的或专有的技术绑定在一起，这些技术促进了数据和应用的可移植性(例如：云间的负载平衡)，混合通常用于描述非云化数据中心与云服务提供商的互联。

云计算是一种颠覆性的技术，它可以增强协作、提高敏捷性、可扩展性以及可用性，还可以通过优化资源分配、提高计算效率来降低成本。云计算模式构想了一个全新的世界，组件可以迅速调配、置备、部署和回收，还可以迅速地扩充或缩减，以提供按需的、类似于效用计算的分配和消费模式。

采用了云计算技术的信息系统，通常称为云计算平台。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。云计算平台中通常有云服务商和云服务客户/云租户两种角色，根据云服务商提供服务的类型，云计算平台有软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)三种基本的云计算服务模式。在不同的服务模式中，云服务商和云服务客户对资源拥有不同的控制范围，控制范围则决定了安全责任的边界。

云计算安全扩展要求针对云计算平台提出了安全通用要求之外额外需要实现的安全要求。云计算安全扩展要求涉及的控制点主要包括与云计算技术相关的控制点，例如基础设施位置、镜像和快照保护、云服务商选择、云计算环境管理等，以及云计算环境下需要增强的控制点，例如网络架构、访问控制、入侵防范、安全审计、集中管控、身份鉴别、资源控制、数据安全性、数据备份恢复、剩余信息保护等。

云计算安全扩展要求控制点/要求项的逐级变化

序号	控制点	一级	二级	三级	四级
1	基础设施位置	1	1	1	1
2	网络架构	2	3	5	8
3	访问控制	1	2	2	2
4	入侵防范	0	3	4	4
5	安全审计	0	2	2	2
6	集中管控	0	0	4	4
7	身份鉴别	0	0	1	1
8	访问控制	2	2	2	2
9	入侵防范	0	0	3	3
10	镜像和快照保护	0	2	3	3
11	数据安全性	1	3	4	5
12	数据备份恢复	0	2	4	4
13	剩余信息保护	0	2	2	2
14	云服务商选择	3	4	5	5
15	供应链管理	1	2	3	3
16	云计算环境管理	0	1	1	1

基本要求一至四级，详情见下表

云计算安全扩展要求	云计算安全扩展要求	云计算安全扩展要求	云计算安全扩展要求
安全物理环境	安全物理环境	安全物理环境	安全物理环境
基础设施位置	基础设施位置	基础设施位置	基础设施位置
应保证云计算基础设施位于中国境内。	应保证云计算基础设施位于中国境内。	应保证云计算基础设施位于中国境内。	应保证云计算基础设施位于中国境内。
安全通信网络	安全通信网络	安全通信网络	安全通信网络
网络架构	网络架构	网络架构	网络架构
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统；	a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统；	a)应保证云计算平台不承载高于其安全保护等级的业务应用系统；	a)应保证云计算平台不承载高于其安全保护等级的业务应用系统；
b) 应实现不同云服务客户虚拟网络之间的隔离。	b) 应实现不同云服务客户虚拟网络之间的隔离；	b)应实现不同云服务客户虚拟网络之间的隔离；	b)应实现不同云服务客户虚拟网络之间的隔离；
—	c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。	c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；	c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力；
—	—	d)应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略；	d)应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略；
—	—	e)应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。	e)应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务；
—	—	—	f)应提供对虚拟资源的主体和客体设置安全标记的能力，保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问；
—	—	—	g)应提供通信协议转换或通信协议隔离等的数据交换方式，保证云服务客户可以根据业务需求自主选择边界数据交换方式；
—	—	—	g)应为第四级业务应用系统划分独立的资源池。
安全区域边界	安全区域边界	安全区域边界	安全区域边界
访问控制	访问控制	访问控制	访问控制
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。	a) 应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；	a)应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；	a)应在虚拟化网络边界部署访问控制机制，并设置访问控制规则；
	b)应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。	b)应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。	b)应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。
入侵防范	入侵防范	入侵防范	入侵防范
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	a) 应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	a)应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	a)应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；
—	b) 应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	b)应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；	b)应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；
—	c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。	c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；	c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量；
—	—	d)应在检测到网络攻击行为、异常流量情况时进行告警。	d)应在检测到网络攻击行为、异常流量情况时进行告警。
安全审计	安全审计	安全审计	安全审计
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；	a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；	a)应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启；
—	b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。	b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。	b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
安全计算环境	安全计算环境	安全计算环境	安全计算环境
身份鉴别	身份鉴别	身份鉴别	身份鉴别
—	—	当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。	当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制。
访问控制	访问控制	访问控制	访问控制
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
a) 应保证当虚拟机迁移时，访问控制策略随其迁移；	a) 应保证当虚拟机迁移时，访问控制策略随其迁移；	a)应保证当虚拟机迁移时，访问控制策略随其迁移；	a)应保证当虚拟机迁移时，访问控制策略随其迁移；
b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。	b) 应允许云服务客户设置不同虚拟机之间的访问控制策略。	b)应允许云服务客户设置不同虚拟机之间的访问控制策略。	b)应允许云服务客户设置不同虚拟机之间的访问控制策略。
入侵防范	入侵防范	入侵防范	入侵防范
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	—	a)应能检测虚拟机之间的资源隔离失效，并进行告警；	a)应能检测虚拟机之间的资源隔离失效，并进行告警；
—	—	b)应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；	b)应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警；
—	—	c)应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。	c)应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。
镜像和快照保护	镜像和快照保护	镜像和快照保护	镜像和快照保护
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；	a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；	a)应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务；
—	b) 应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改。	b)应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；	b)应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改；
—	—	c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。	c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
数据完整性和保密性	数据完整性和保密性	数据完整性和保密性	数据完整性和保密性
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定。	a) 应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；	a)应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；	a)应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定；
—	b) 应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；	b)应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；	b)应保证只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；
—	c) 应确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施。	c)应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；	c)应使用校验技术或密码技术保证虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；
—	—	d)应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。	d)应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。
数据备份恢复	数据备份恢复	数据备份恢复	数据备份恢复
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	a) 云服务客户应在本地保存其业务数据的备份；	a)云服务客户应在本地保存其业务数据的备份；	a)云服务客户应在本地保存其业务数据的备份；
—	b) 应提供查询云服务客户数据及备份存储位置的能力。	b)应提供查询云服务客户数据及备份存储位置的能力；	b)应提供查询云服务客户数据及备份存储位置的能力；
—	—	c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保持一致；	c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保待一致；
—	—	d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。	d)应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。
剩余信息保护	剩余信息保护	剩余信息保护	剩余信息保护
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除；	a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除；	a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除；
—	b) 云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。	b)云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。	b)云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。
安全管理中心	安全管理中心	安全管理中心	安全管理中心
集中管控	集中管控	集中管控	集中管控
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
—	—	a)应能对物理资源和虚拟资源按照策略做统一管理调度与分配；	a)应能对物理资源和虚拟资源按照策略做统一管理调度与分配；
—	—	b)应保证云计算平台管理流量与云服务客户业务流量分离；	b)应保证云计算平台管理流量与云服务客户业务流量分离；
—	—	c)应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；	c)应根据云服务商和云服务客户的职责划分，收集各自控制部分的审计数据并实现各自的集中审计；
—	—	d)应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。	d)应根据云服务商和云服务客户的职责划分，实现各自控制部分，包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
安全建设管理	安全建设管理	安全建设管理	安全建设管理
云服务商选择	云服务商选择	云服务商选择	云服务商选择
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
a) 应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；	a) 应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；	a)应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；	a)应选择安全合规的云服务商，其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力；
b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标；	b) 应在服务水平协议中规定云服务的各项服务内容和具体技术指标；	b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标；	b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标；
c) 应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。	c) 应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；	c)应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；	c)应在服务水平协议中规定云服务商的权限与责任，包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等；
—	d) 应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除。	d)应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；	d)应在服务水平协议中规定服务合约到期时，完整提供云服务客户数据，并承诺相关数据在云计算平台上清除；
—	—	e)应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。	e)应与选定的云服务商签署保密协议，要求其不得泄露云服务客户数据。
供应链管理	供应链管理	供应链管理	供应链管理
本项要求包括：	本项要求包括：	本项要求包括：	本项要求包括：
应确保供应商的选择符合国家有关规定。	a) 应确保供应商的选择符合国家有关规定；	a)应确保供应商的选择符合国家有关规定；	a)应确保供应商的选择符合国家有关规定；
—	b) 应将供应链安全事件信息或安全威胁信息及时传达到云服务客户。	b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；	b)应将供应链安全事件信息或安全威胁信息及时传达到云服务客户；
—	—	c)应将供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。	c)应保证供应商的重要变更及时传达到云服务客户，并评估变更带来的安全风险，采取措施对风险进行控制。
安全运维管理	安全运维管理	安全运维管理	安全运维管理
云计算环境管理	云计算环境管理	云计算环境管理	云计算环境管理
—	云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。	云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。	云计算平台的运维地点应位于中国境内，境外对境内云计算平台实施运维操作应遵循国家相关规定。