控制点安全要求要求解读
基础设施位
置应保证云计算基础设施位于中国境内
云服务商对机房选址时,应确保机房位于中国境
内、确保云计算服务器及运行关键业务和数据的
物理设备等基础设施位位于中国境内
a)应保证云计算平台不承载高于其安全保
护等级的业务应用系统
云服务方侧的云计算平台单独作为定级对象定级,
云租户侧等级保护对象也应作为单独的定级对象
定级,云平台的等级要不低于云上租户的业务应用
系统最高级
b)应实现不同云服务客户虚拟网络之间
的隔离
同一个物理主机上的虚拟机间可能通过硬件背板
、不同物理机上的虛拟机可能通过网络进行通
信,这些通信流量对传统的网络安全控制而言是
不可见的,无法进行监控或封堵,为防止多租户
间的相互影响及恶意攻击,确保租户安全及云平
台安全,应对不同的云服务客户网络间进行有效
的网络隔离,以保证云服务客户的访问与其他租
户能够实现有效隔离
c)应具有根据云服务客户业务需求提供通
信传输、边界防护、入侵防范制等安全
机制的能力
为应对源自各个层面的攻击,云服务商应该为云
服务客户提供通信传输、边界防护、入侵防范等
安全防护措施,云服务客户可根据业务安全防护
需求选择适当的安全防护措施,提升业务系统的
安全防护能力以应对外来的威胁攻击
d)应具有根据云服务客户业务需求自主
设置安全策略的能力,包括定义访问路径
、选择安全组件、配置安全策略
云服务客户可以根据自身的业务需求,在云服务商
提供的安全组件上自定义安全策略,如定义安全
访问路径、选择安全组件、配置安全策略
e)应提供开放接口或开放性安全服务,允
许云服务客户接入第三方安全产品或云
计算平台选择第三方安全服务
API(Application Ppogramming Interface,应用程
序编程接口)是一些预先定义的函数,目的是提
供应用程序与开发人员基于某软件或硬件的以访
问一组例程的能力,而又无需访问源码,或理解为
内部工作机制的细节,API本身是抽象,仅定义了
一个接口,云计算目前面临的互操作性问题的重
要原因就是缺乏标准化和被广泛认可接受的API
标准,因而云服务商应提供开放和公开的APIs,允
许第三方安全产品或服务接入
a)应在虚拟化部署访问控制机制,并设置
访问控制机则
位于云平台边界外,云平台缺乏或缺失控制和管
理的网络环境,被认为是不可信网络,与之对应
的是可信网络,在可信与不可信网络间实施有效
的安全控制,对,网络安全来说至关重要。通常
使用虚拟防火墙进行可信与不可信网络间的连接
控制,通过防火墙的访问控制策略配置,仅允许
必要的流量通过,而其他流量均被禁止。虚拟网
络边界主要包括云计算平台和云服务客户业务系
统虚拟网络边界,不同云服务客户间的网络访问
边界、云服务客户不同安全保护等级业务系统间
的网络边界。可以防止攻击者通过未授权的IP地
址访问可信网络,或以未授权的方式访问服务、
b)应在不同等级的网络区域边界部署访
访问控制机制,设置访问控制规则
云平台边界、云平台内网络区域边界、云服务客
户不同业务边界将网络划分为不同等级的安全
域,结合边界访问控制技术可以实现整个系统的
纵深防御,可以减少未授权访问或运行环境交更
的风险。因此,应在不同等级的网络区域边界部
署访问控制设备,设置访问控制规则
网络架构访问控制
a)应能检测到云服务客户发起的网络络攻击行为,并能记录攻击类型、攻击时时间、攻击流量等云平台应能够对云服务客户端发起的访问,进行入口流量镜像分析,对东西向、南北向的攻击行为进行深入分析,并结合相关的云安全产品对异常流量的处理。记录攻击类型、攻击时间、攻击流量等
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等在云计算服务的关键节点如虚拟网络节点出入口实施安全防护,部署应用层,防火墙、入侵检测和防御设备以及流量清洗设备来提升网络攻击防范能力,对虚拟
网络节点的网络攻击行为进行检测,并记录攻击类型、攻击时间、攻击流量等
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量为避免异常流量影响虚拟机与宿主机的正常运行,虚拟机与宿主机、虚拟机与虚拟机间的通信,部署流量监测设备、入侵防护系统等对虚拟机与宿主机、虚拟机与虚拟机之间的流量进行实时监测
d)应在检测到网络攻击行为、异常流量情况时进行告警部署流量监测设备、入侵防护系统等对网络流量进行分析、检测,当检测到网络攻击行为、异常流量时提供告警机制,及时告知相关人员,避免网络攻击行为、异常流量影响系统正常运行
a)应对服务商或云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启对特权命令的操作可能超越系统、实体、网络、虚拟机和应用控制的措施,因而需要对特权命令的执行进行严格控制,使用加以限制并严格控制,并对操作进行审计,以防止出现的滥用和破坏
b)应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计云服务商应在云服务客户授权后才能够对云客户系统和数据的访问,为避免云服务商的恶意访问,云服务客户应采取审计机制,对云服务商的操作行为进行审计,以避和及时发现违规的操作
身份鉴别当远程管理云计算平台中设备时,管理
终端和云计算平台之间应建立双向身份
验证机制
认证是验证或确定用户提供的访问凭证是否有效
的过程,是网络安全第一道防线。在远程管理云
计算平台中的设备时,双向认证有助于保证双向
安全,有效
的防止重放攻击和拒绝服务攻击。双向认证保证
了终端不会被伪装服务器攻击,云计算平台不会
被非法入侵,大大的提高了云计算平台和终端设备
连接的安全性
a)应保证当虚拟机迁移时,访问控制策略
随其迁移
虚拟机迁移包括不同云平台间的迁移,以及将云
平台中的服务器、应用和数据迁移至本地环境。
对于虚拟机迁移而言,若缺乏安全保障措施,监听
者可能通过监听源与目标服务器间的网络,获得迁
移过程中的全部数据,还可能修改传输数据,植
入恶意代码,控制虚拟机。因此,为保证迁移安
免费个人云服务器全,可进行加密传输,或通过链路加密模式,同
时将访问控制策略同时迁移,以防止未授权的访
入侵防范安全审计访问控制
b)应允许云服务客户设置不同虚拟机之间的访问控制策略云平台在同一时间段内,承载多个或大量的的租户。若租户虚拟机间无有效的安全访问控制策略可能导致虚拟机非法访问、租户数据泄露,对于多租户环境下,多个用户共享计算、存储、网络等虚拟资源,若共享模块存在漏洞,租户可对其他租
户资源发起攻击,或对自己的其他资源,如虚拟机进行攻击。因此,云计算环境下多租户或同一用户间不同虚拟机间应允许访问
a)应能检测虚拟机之间的资源隔离失效,并进行告警1)虚拟机和宿主机共享资源,若虚拟机间的资源、内存和存储空间隔离失效,云服务商未采取相应的应对措施检测恶意行为且无告警措施,可能导致虚拟机非法占用资源,从而导致其他虚拟机无法正常运行。因此,对虚拟机间的资源隔离进行实时监控,并在检测到异常时进行告警,从而降低虚拟机出现异常的风险
b)应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警规范虚拟机的管理操作,可强化虚拟化环境安全,所有的虚拟机新建或重启应都由系统管理员来创建和保护,若某些用户(如如开发人员、测试人员和培训中)需重启虚拟机,应通过系统管理员创建和管理或进行授权,为避免虚拟机的非授权创建或重启,应对所有虚拟机的运行状态进行检测,并提供异常报警机制;以便能及时发现虚拟机的非法重建和重启
c)应能够检测恶意代码感染及在虚拟机间蔓廷的情况,并进行告警恶意代码感染可能导致虚拟机无法正常运行或被非法利用,虚拟机被非法利用后,可能被作为跳板机,若无有效的虚拟机隔离技术措施,可能导致恶意代码任宿主机或虚拟机间蔓延,从而破坏整改云计算环境,因此对整个云平台进行恶意代码检测,防止恶意代码的入侵,并对恶意代码的感染和蔓延情况进行监测、告警,降低恶意代码感染的风险和损失
a)应针对重要业务系统提供加固的操作系统镜像像或操作系统安全加固服务进行操作系统安全如固,关闭不必要的端口、协议和服务,减少系统的攻击面。云计算环境中,所有操作系统均应进行安全加固处理、仅提供必要的端口、协议和服务,以满足业务需求。防恶意代码软件、文件完整性监控、日志记录均应作为基本的操作系统加固需求。通过安全加固,可提升服务器安全性,防止外来用户和木马病毒对服务器的攻击,保护云平台和云用户安全。应鉴于业内最佳实践,参考国际标准规范形成操作系统安全加固指南或手册,并应用到镜像或操作系统,并及时访问权限进行限制
b)应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改虚拟机镜像、快照无论在静止还是运行状态都有被窃取、篡改或替换的危险,攻击者可能是黑客,也可能是云服务商员工。若无法保证虚拟机镜像、快照的完整性,可能被非法篡改、恶意代码植入,或安全合规配置被更改,导致虚拟机被部署运行时,系统遭受攻击,因此必须保证虚拟机镜像、快照的完整性。虚拟机镜像、快照的完整性主要通过哈希校验的方式实现,一旦发生变化,哈希值将改变,因此,在下一次使用虚拟机镜像或快照时,应进行完整性校验,以保证期间未授权的更改。对虚拟机进行补丁更新或安全配置更改,都应进行审计记录并进行报警。虚拟机镜像、快照的完整性验证结果,应即通过电子的方式告知用
入侵防范访问控制
镜像和快照
保护
c)应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资
被非法访问数据加密技术是最基本的安全技术,被誉为信息安全的核心。采用密码技术将保护信息置换为密文,在存储或传输过程中,即使被非授权人员获得,也可以保证这些信息不为其所知,从而保护信息。对虚拟机镜像、快照采取密码技术进行加密,可有效的保证存在于镜像、快照中的敏感数据的安全性。此外,通过访问控制的方式,限制用户对虚拟机镜像、快照的非法访问,也可以保护
a)应确保云服务客户数据、用户个大信息等存储于中国境内,如需出境应遵循国家相关规定《网络安全法》第三十七条规定,基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。为满足网络安全法规定,云服务商
提供的存储机制应保证云服务客户数据、用户个人信息等存储于中国境内,若需
要出境,应当满足国家相关的规定
b)应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据管理权限为避免云客户数据的非法访问,对数据的管理权限进行控制,仅允许云服务客户管理员访问,若其他用户(云服务商或第三方用户)需对数据进行管理,必须由云服务客户管理员提供授权,方能进行数据管理
c)应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到整性受到破坏时采取必要的恢复措施为确保虚拟机迁移后业务能够正常切换,迅速进行,必须确保数据在迁移过程中完整性。因此,云服务商应对迁移过程中的数据提供完整性校验措施或或手段,且能够在发现数据完整性遭到破坏时提供恢复措施,来保证业务迁移后正常运行
d)应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程云计算环境中,云服务商和和用户对密钥管理系统具有不同的所有权和控制权,在云服务中,数据的所有权属于云服务客户,数据却保存在云服务商控制的存储资源上,服务客户可自行部署或采用云服务商提供的密钥管理解决方案,实现数据的加解密,云服务商应支持云客户部署密钥管理解决方案,保证云服务客户自行实现数据的加
a)云服务客户应在本地保存其业务数据的备份数据丢失会对客户业务造成重大巨大影响,在云计算中,用户数据大部分存在云中,有一定的风险。因此,云用户(租户)应将业务数据本地保存备份,防止数据意外丢失
b)应提供查询云服务客户数据及备份存储位置的能力在云计算环境中,大量用户数据被存储在不同的物理位置,供应用程序及操使用,在公有云、私有云、混合云中数据都有可能发生移动,其存储地点有可能位于同一数据中不同服务器或不同数据中心,云服务商应为云服务客户提供数据存储
c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副
本之间的内容应保持一致云服务商为云服务客户提供了云存储服务模式,对用户数据进行备份,并将多个副本存在不同的服务节点中。为降低成本,云服务商可能减少数据备份量,网络攻击也可能使多副本数据之间存在不一致,为确保备份数据的可用性、正确性和一致性,应定期核查数据是否多副本存储,并对多副本数据的完整性进行检测,确保各副本间内容的完整性和一致性
d)应为云服务客户将业务系统和数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程云服务商为云服务客户提供迁移服务,保证云服务客户业务系统和有关数据迁移到新的服务器上正常运行,云服务商应为云服务客户提供全程的协助,保证迁移活动顺利完成,确保数据在迁移过程中的完整性
数据完整性和保密性数据备份恢
复
a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除当用户退出云服务时,用户释放内存和存储空间后,云服务商需要保证安全地删除用户的数据,避免发生数据残留。数据残留是指存储介质中的数据被删除后,并未彻底清除,在存储介质中留下了存储过数据的痕迹,残留的数据信息可能被
攻击者非法获取,造成严重损失。一般来说,在数据销毁时可以采用覆盖、消磁、物理破坏等方法。云服务商应保证用户虚拟机释放内存和存储空间安全地删除,且采用了完全清除机制
b)云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除为防止业务数据意外丢失,云客户业务数据在云上一般多副本存储,当云服务客户删除业务数据时,应采取数据清除机制将云计算平台所有副本全部删除
a)应能对物理资源和虚拟资源按照策略做统一管理调度与分配云计算通过对物理资源的整合与再分配,提高了资源的利用率,一台物理机的资源可能被多个虚拟机所共享。对物理资源、虚拟资源的统一分配与调度,能
多提高资源利用率
b)应保证云计算平台管理流量与云服务客户业务流量分离通过带外管理或策略配置的方式将网管量和业务流量分开,为网管流量建专属的通道,在这个通道中,只传输管理流量,管理流量与业务流量分离,可以提高网管的效率与可靠性,有利于提升管理流量的安全性
c)应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并
实现各自的集中审计在云运维方面,为缓解云服务商和云服务客户间的不信任,云服务商和云服务客
户应进行明确的职责划分,各自收集各自部分的审计数据,并对审计数据进行集中审计,实现云计算平台全面的信息审计,实现云计算环境下合规性、业务连续性、数据安全性等方面的审计要求,有效控制审计数据在云中面临的风险
d)应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测为便于云服商和云服务客户能够及时掌握系统运行情况,云服务商和云服务客户的职责应明确划分,对各自控制的虚拟化资源(虚拟化网络、虚拟机、虚拟化安全设备等)运行状况集中监测
a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力为确保云服务商提供的服务符合安全性需求,云服务客户应当选取安全合规的云服务商,且云服务商提供的安全保护能力等级应具有相应的或高于业务应用系统需求的安全防护能力
b)应在服务水平协议中规定云服务的各项服务内容和具体技术指标云服务商与云服务客户签订协议(如SLA) ,协议的内容可能会因不同的云服务
客户、业务类型、服务形式等发生很大变化。协议内容应尽可能全面的包括信息安全管理需求,明确云服务商所提供的云服务内容以及云服务商需提供的技术指标
c)应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等云服务商与云服务客户签订协议(如SLA)中是否对云服务商的权限与责任进行规定,规定内容是否包括云服务商的管理范围,职责划分、访问授权、隐私保护、行为准则、违约责任等
d)应在服务水平协议中规定服务合约到期时,完整提供云服务客户数据,并承诺相关数据在云计算平台上清除云服务商与云服务客户签订协议(如SLA)中内容应包括业务关系到期和受影响的用户数据的处理方案,当云服务客户与云服务商服务合约到期后,云服商应向云服务客户提供完整的数据,且制定相关规定保证相关数据在云计算平台上完全清除
e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据云服务客户应与云服务商签署保密协议,协议中应规定云服务商不得以任何理由泄露云服务客户数据
剩余信息保
护
集中管控云服务商选
择
a)应确保供应商的选择符合国家有关规定在安全产品采购和使用、安全服务提供商选择以及云服务商的选择时,应确保符合国家有关规定要求。如《公安部关于加强信息网络安全检测产品销售和使用通知》,《含有密码技术的信息产品政府采购规定》等,此外部分特殊行业,如金融、电力、能源等。也对安全产品的采购和使用有规定。
云服务商在选择安全服务提供商时,应充分考虑国家法律法规、行业规范等要求,以保持云计算安全服务的而持续性和合规性,如(商用密码管理条例》规定,商用密码产品发生故障,
b)应提供应链安全事件信息或安全威胁信息及时传达到云服务客户云服务商应及时向云服务客户及相关供应商通报安全事件,保障其知情权的同时作为风险评估的输入(如影响服务正常提供或涉及敏感信息泄露等重大问题),应及时向相关方提供信息,便于采取相应的应对措施
c)应将供应商的重要变更及时的传达到云服务客户,并评估变更带来的安全风险,采取措施对风险进行控制云服务商与云服务客户应建立供应链协议(如SLA) ,如果云服务商所进行的的任何变更,可能对云服务客户造成影响,应评估变更带来的安全风险,告知云服务客户,或事前得到客户授权,以便于云服务客户能够制定相应的措施应对可能引发的风险
云计算环境
管理a)云计算平台的运维地点应位于中国境
内,对境内云计算平台实施运维操
作应遵循国家相关规定
云计算平台的运维地点原则应位于中国境内,若
确实因业务需求,需通过对境内的云计算实
施运维操作,应满足国家相关规定
供应链管理
发表评论