◆楊睿超 岳劍暉 杭肖 張賞雪

基于等級(jí)保護(hù)的云租戶(hù)網(wǎng)絡(luò)安全防護(hù)研究

◆楊睿超 岳劍暉 杭肖 張賞雪

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

隨著云計(jì)算技術(shù)不斷發(fā)展與深化應(yīng)用，云平臺(tái)部署方式較傳統(tǒng)的IT系統(tǒng)部署已成為越來(lái)越多組織機(jī)構(gòu)更加傾向的IT系統(tǒng)部署解決方案?；谠朴?jì)算虛擬化、資源池化、動(dòng)態(tài)可擴(kuò)展、服務(wù)可計(jì)量、按需自助服務(wù)和高可用性等特點(diǎn)，云平臺(tái)在給云租戶(hù)IT系統(tǒng)部署、升級(jí)優(yōu)化帶來(lái)極大的便利和運(yùn)維成本顯著降低的同時(shí)，也在網(wǎng)絡(luò)安全防護(hù)方面引入了諸多安全隱患與挑戰(zhàn)。在等保2.0相關(guān)標(biāo)準(zhǔn)正式實(shí)施以來(lái)，有關(guān)部門(mén)高度重視云平臺(tái)和云租戶(hù)安全防護(hù)體系建設(shè)，本文將從云租戶(hù)角度對(duì)IT系統(tǒng)云化部署安全防護(hù)進(jìn)行研究。

等級(jí)保護(hù)；云安全防護(hù)；云租戶(hù)安全策略；網(wǎng)絡(luò)安全體系

近年來(lái)，隨著云計(jì)算技術(shù)與組織機(jī)構(gòu)信息化建設(shè)深入融合，不斷推動(dòng)云計(jì)算市場(chǎng)蓬勃發(fā)展，云計(jì)算更是被納入信息基礎(chǔ)設(shè)施中的新技術(shù)基礎(chǔ)設(shè)施建設(shè)，在組織機(jī)構(gòu)信息化轉(zhuǎn)型進(jìn)程中的重要性日益突顯。云平臺(tái)在持續(xù)快速發(fā)展的同時(shí)，在巨大利益驅(qū)使下，使其成為黑客攻擊的重災(zāi)區(qū)。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計(jì)，2019年，我國(guó)云平臺(tái)網(wǎng)絡(luò)安全事件或威脅情況進(jìn)一步加劇，DDoS攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的74.0%、被植入后門(mén)鏈接數(shù)量占境內(nèi)全部被植入后門(mén)鏈接數(shù)量的86.3%、被篡改網(wǎng)頁(yè)數(shù)量占境內(nèi)被篡改網(wǎng)頁(yè)數(shù)量的87.9%。由此可見(jiàn)，網(wǎng)絡(luò)安全已經(jīng)成為云計(jì)算發(fā)展的重要影響因素。

同時(shí)，國(guó)家高度重視云計(jì)算行業(yè)安全、健康、穩(wěn)步發(fā)展，在等保2.0標(biāo)準(zhǔn)體系中，將云計(jì)算作為新技術(shù)新應(yīng)用納入安全擴(kuò)展要求，對(duì)云計(jì)算安全體系規(guī)劃建設(shè)、安全防護(hù)能力測(cè)評(píng)、安全責(zé)任落實(shí)監(jiān)管等環(huán)節(jié)提出更加規(guī)范、系統(tǒng)、全面的要求。受市場(chǎng)發(fā)展、安全形勢(shì)和政策監(jiān)管等多方面因素影響，一方面，云平臺(tái)供應(yīng)商不斷增加安全方面投入，在提升云平臺(tái)安全防護(hù)水平的同時(shí)，向云租戶(hù)提供的安全服務(wù)和產(chǎn)品也極大豐富。另一方面，云租戶(hù)對(duì)云上系統(tǒng)安全運(yùn)行逐步重視，云安全需求日益增加。

雖然云租戶(hù)將云安全作為云服務(wù)商選擇的重要條件，但對(duì)于云上IT系統(tǒng)的安全防護(hù)仍然存在一定的誤區(qū)，這就往往導(dǎo)致云租戶(hù)與云服務(wù)供應(yīng)商之間的安全責(zé)任真空地帶成為云上IT系統(tǒng)安全防護(hù)能力木桶效應(yīng)的短板。

1 具體表現(xiàn)

（1）云服務(wù)供應(yīng)縱深延長(zhǎng)，云租戶(hù)整體能力考察不足

由于云服務(wù)形式靈活多變，使得現(xiàn)階段云計(jì)算服務(wù)在實(shí)際研發(fā)、運(yùn)營(yíng)、維護(hù)過(guò)程中存在服務(wù)關(guān)系多層嵌套的現(xiàn)象，將云服務(wù)供應(yīng)鏈不斷延伸，從而導(dǎo)致云服務(wù)整體受攻擊面大大增加，安全風(fēng)險(xiǎn)不斷滲透。云租戶(hù)在考察云服務(wù)商安全防護(hù)能力過(guò)程中，考察范圍大多局限于產(chǎn)生直接服務(wù)關(guān)系的云服務(wù)商，造成云服務(wù)供應(yīng)鏈整體能力考察深度不夠，反饋結(jié)果相對(duì)比較片面，無(wú)法真實(shí)反映云服務(wù)整體安全防護(hù)能力。互相嵌套，相互依托的供應(yīng)鏈關(guān)系，可能會(huì)因?yàn)槠渲幸画h(huán)的安全問(wèn)題，造成影響范圍擴(kuò)大化，危害程度嚴(yán)重化。

（2）云服務(wù)應(yīng)用場(chǎng)景復(fù)雜，云租戶(hù)安全責(zé)任劃分不清

眾所周知，云服務(wù)分為IaaS、PaaS和SaaS三種服務(wù)模式，在不同的服務(wù)模式下各種應(yīng)用場(chǎng)景存在差異，云安全責(zé)任劃分趨于復(fù)雜化。部分云租戶(hù)認(rèn)為“上云即安全”，對(duì)自身應(yīng)該承擔(dān)的安全責(zé)任認(rèn)識(shí)不夠明確，認(rèn)為IT系統(tǒng)只要部署于云平臺(tái)，安全責(zé)任就應(yīng)該由云供應(yīng)商負(fù)責(zé)，將云平臺(tái)安全等同為云上IT系統(tǒng)安全。更有云租戶(hù)在簽署云服務(wù)協(xié)議時(shí)，未明確規(guī)定雙方安全責(zé)任，甚至在未規(guī)定具體服務(wù)內(nèi)容和技術(shù)指標(biāo)的情況下進(jìn)行IT系統(tǒng)上云。安全意識(shí)薄弱，安全責(zé)任劃分不清等因素會(huì)導(dǎo)致IT系統(tǒng)上云后，在安全防護(hù)方面對(duì)云服務(wù)商約束不夠，云租戶(hù)消極對(duì)待，出現(xiàn)安全責(zé)任真空現(xiàn)象，甚至造成安全事件責(zé)任糾紛。

（3）云安全采購(gòu)?fù)度朐黾?，云租?hù)安全策略落實(shí)不夠

云租戶(hù)對(duì)云安全需求日益迫切，不斷加大云安全產(chǎn)品或服務(wù)的采購(gòu)?fù)度?，但部分云租?hù)陷入了云安全產(chǎn)品堆疊即安全的誤區(qū)。認(rèn)為通過(guò)云安全產(chǎn)品/服務(wù)形式的多樣化采購(gòu)，就可以滿(mǎn)足云上IT系統(tǒng)的安全防護(hù)需求，卻忽略了安全產(chǎn)品的協(xié)同運(yùn)用和安全策略的落實(shí)，造成投入產(chǎn)出的嚴(yán)重不對(duì)等。安全策略落實(shí)不夠，一應(yīng)俱全的安全防護(hù)產(chǎn)品亦會(huì)對(duì)黑客攻擊束手無(wú)策，形同虛設(shè)，無(wú)法保障云上IT系統(tǒng)安全穩(wěn)定運(yùn)行。

2 如何提升

為了提升云上IT系統(tǒng)安全防護(hù)水平，云租戶(hù)應(yīng)注重云服務(wù)商整體能力考察、安全責(zé)任劃分和安全策略落實(shí)等工作。

（1）云租戶(hù)要大力加強(qiáng)在云服務(wù)供應(yīng)商選擇方面的考察廣度和深度，對(duì)云服務(wù)供應(yīng)商從平臺(tái)安全能力、安全產(chǎn)品性能、安全運(yùn)維水平、安全服務(wù)參數(shù)和供應(yīng)鏈安全等方面制定或委托第三方制定符合相關(guān)法律法規(guī)、政策文件、標(biāo)準(zhǔn)規(guī)范和自身需求的評(píng)估指標(biāo)，進(jìn)行全面考察評(píng)估。在確立服務(wù)關(guān)系后，更是要根據(jù)安全需求變化在服務(wù)期內(nèi)周期性或觸發(fā)性對(duì)云服務(wù)供應(yīng)商進(jìn)行考察評(píng)估，確保其安全防護(hù)能力動(dòng)態(tài)滿(mǎn)足云租戶(hù)IT系統(tǒng)在網(wǎng)絡(luò)安全方面的需求。

（2）云租戶(hù)需清晰劃分與云服務(wù)供應(yīng)商之間的安全責(zé)任，并在云服務(wù)協(xié)議中明確規(guī)定雙方安全責(zé)任、云服務(wù)內(nèi)容、技術(shù)指標(biāo)和服務(wù)終止保障措施等，確保云租戶(hù)自身權(quán)益不受侵害。其中安全責(zé)任劃分可參考“云計(jì)算安全責(zé)任共擔(dān)模型”等相關(guān)依據(jù)，結(jié)合自身發(fā)展需要厘清應(yīng)該承擔(dān)的網(wǎng)絡(luò)安全責(zé)任。概括來(lái)說(shuō)，在“云計(jì)算安全責(zé)任共擔(dān)模型”中將云計(jì)算安全責(zé)任劃分為：物理基礎(chǔ)設(shè)施、資源抽象和管理、操作系統(tǒng)、網(wǎng)絡(luò)控制、應(yīng)用、數(shù)據(jù)、身份識(shí)別和訪問(wèn)管理（IAM）七大類(lèi)。其中，在SaaS服務(wù)模式下，云租戶(hù)對(duì)業(yè)務(wù)數(shù)據(jù)，身份鑒別和訪問(wèn)管理等方面負(fù)有安全責(zé)任；在PaaS服務(wù)模式下，云租戶(hù)除SaaS服務(wù)模式下安全責(zé)任外還應(yīng)對(duì)應(yīng)用系統(tǒng)安全，云計(jì)算資源間或云計(jì)算資源與外部間的網(wǎng)絡(luò)通信等方面負(fù)有安全責(zé)任；在IaaS服務(wù)模式下，云租戶(hù)較PaaS服務(wù)模式，還應(yīng)承擔(dān)云主機(jī)操作系統(tǒng)安全、鏡像安全等責(zé)任。

（3）云租戶(hù)應(yīng)根據(jù)等保2.0標(biāo)準(zhǔn)體系在云計(jì)算方面的要求，結(jié)合自身安全防護(hù)需求制定或委托第三方制定切合實(shí)際的安全防護(hù)策略和監(jiān)督機(jī)制，確保云租戶(hù)安全防護(hù)策略落實(shí)到位，使得云租戶(hù)采購(gòu)并投入使用的安全產(chǎn)品/服務(wù)達(dá)到多點(diǎn)協(xié)同，縱深防御的安全防護(hù)目的。同時(shí)，云租戶(hù)應(yīng)以GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為基本依據(jù)，積極落實(shí)等級(jí)保護(hù)責(zé)任，查找安全防護(hù)薄弱環(huán)節(jié)，對(duì)云租戶(hù)自身和云服務(wù)供應(yīng)商網(wǎng)絡(luò)安全工作落實(shí)情況形成閉環(huán)管理，從而不斷提升云租戶(hù)云上IT系統(tǒng)的安全防護(hù)水平。

隨著云計(jì)算產(chǎn)業(yè)的蓬勃發(fā)展，云計(jì)算已經(jīng)深深融入民眾日常生活，組織機(jī)構(gòu)業(yè)務(wù)開(kāi)展，國(guó)家經(jīng)濟(jì)發(fā)展等方方面面，其重要程度不言而喻。但在云計(jì)算安全能力建設(shè)得到高度重視，安全監(jiān)管機(jī)制不斷完善，安全技術(shù)應(yīng)用突飛猛進(jìn)，安全防護(hù)水平有效提升的同時(shí)，仍然存在諸多問(wèn)題。在云計(jì)算發(fā)展與應(yīng)用過(guò)程中，要清醒認(rèn)識(shí)到嚴(yán)峻的安全形勢(shì)，注重安全意識(shí)持續(xù)提升、安全責(zé)任有效落實(shí)、安全工作規(guī)范開(kāi)展、安全監(jiān)管和政策制定與時(shí)俱進(jìn)，確保云計(jì)算行業(yè)的健康發(fā)展。

[1]云計(jì)算開(kāi)源產(chǎn)業(yè)聯(lián)盟.云計(jì)算安全責(zé)任共擔(dān)白皮書(shū)（2020年）[R].2020：1-15.

[2]GB/T 22239-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].2019.