- 快召唤伙伴们来围观吧
- 微博 QQ QQ空间 贴吧
- 文档嵌入链接
- 复制
- 微信扫一扫分享
- 已成功复制到剪贴板
云服务安全治理白皮书
前 言
时至今日,云计算已经显著改变了全球信息技术的服务方式,广泛地成为 IT服务和交付的既定模 式。与此同时,对于云计算安全性的关注也日益变得突出和紧迫,这不仅表现在对云服务安全性、保密 性和可用性的担心,也包括在全球网络安全监管趋严的大背景下云服务合规性的忧虑。
为了提高云计算的安全控制水平以增强客户信心,引导行业健康有序发展,政府机构、行业协会 等相关团体制定了一系列的云安全政策、法律、法规及标准。这些要求构成了云服务提供商(Cloud Service Provider,简称CSP)的安全基准,也在一定程度上代表了客户的信任水平。随着要求的不断增 多,云服务供应商的安全合规管理逐渐面临着更加复杂的挑战,因此,应当建立一种更为全面、高效 的安全治理方式,可以对云服务的安全进行控制、审核、度量与评估。它以业界多个主流安全标准为参 考基础,并融合华为三十年安全运营管理经验,既满足客户的安全需求,又契合云服务供应商的运营 方式,为云服务供应商安全目标的实现提供支撑。
云服务提供商已建立广泛共识,具备公信力的云计算安全能力对于云服务的成功而言是必要而决定 性的,应在此基础上构建起多维立体且遵从法规要求的基础设施架构,不断优化与完善云服务安全能力。
为了实现上述云计算的安全能力,满足相关的监管要求,保护客户的云上资产,华为云通过持续 经营和反复探索,确立了一种开放、包容、不断发展和优化的安全治理方法,用以控制、审核、度量与 评估云服务安全管理的有效性以及对监管合规要求的遵从性,形成了一套涵盖业界主流云安全标准 以及华为云安全管理要求的方法体系,并称之为“云服务网络安全与合规标准”(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD,简称“3CS”)。“3CS”的发布是华为云安全战略的贯 彻体现,也是华为云切实保护云服务客户利益,打造安全、可信的云服务,为客户业务赋能增值、保驾 护航,实现云服务提供商、云客户、合作伙伴三方长期共赢的重要实践。
为了将华为云的云安全思考与建设经验分享给业界,华为云与信通院联合推出《云服务安全治理 白皮书》(简称“白皮书”),向业界推广“3CS”安全管理框架,以求相互了解与借鉴,共同推动云计 算、云安全行业的开放与发展。
本白皮书面向各行业、各地区的广大读者群,帮助大家从中了解云服务提供商应具备的安全管理能力,
» 可为云服务客户、社区及互联网用户在对比、选择合适的云服务提供商时提供安全性方面的
信息参考;
» 可为云服务提供商、生态伙伴在云运营管理过程中提供安全方面的指导和参考。
展开查看详情
1 .云服务安全治理白皮书 2021年07月
2 . 云服务安全治理白皮书 前言 时至今日,云计算已经显著改变了全球信息技术的服务方式,广泛地成为IT服务和交付的既定模 式。与此同时,对于云计算安全性的关注也日益变得突出和紧迫,这不仅表现在对云服务安全性、保密 性和可用性的担心,也包括在全球网络安全监管趋严的大背景下云服务合规性的忧虑。 为了提高云计算的安全控制水平以增强客户信心,引导行业健康有序发展,政府机构、行业协会 等相关团体制定了一系列的云安全政策、法律、法规及标准。这些要求构成了云服务提供商(Cloud Service Provider,简称CSP)的安全基准,也在一定程度上代表了客户的信任水平。随着要求的不断增 多,云服务供应商的安全合规管理逐渐面临着更加复杂的挑战,因此,应当建立一种更为全面、高效 的安全治理方式,可以对云服务的安全进行控制、审核、度量与评估。它以业界多个主流安全标准为参 考基础,并融合华为三十年安全运营管理经验,既满足客户的安全需求,又契合云服务供应商的运营 方式,为云服务供应商安全目标的实现提供支撑。 云服务提供商已建立广泛共识,具备公信力的云计算安全能力对于云服务的成功而言是必要而决定 性的,应在此基础上构建起多维立体且遵从法规要求的基础设施架构,不断优化与完善云服务安全能力。 为了实现上述云计算的安全能力,满足相关的监管要求,保护客户的云上资产,华为云通过持续 经营和反复探索,确立了一种开放、包容、不断发展和优化的安全治理方法,用以控制、审核、度量与 评估云服务安全管理的有效性以及对监管合规要求的遵从性,形成了一套涵盖业界主流云安全标准 以及华为云安全管理要求的方法体系,并称之为“云服务网络安全与合规标准”(CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD,简称“3CS”)。 “3CS”的发布是华为云安全战略的贯 彻体现,也是华为云切实保护云服务客户利益,打造安全、可信的云服务,为客户业务赋能增值、保驾 护航,实现云服务提供商、云客户、合作伙伴三方长期共赢的重要实践。 为了将华为云的云安全思考与建设经验分享给业界,华为云与信通院联合推出《云服务安全治理 白皮书》(简称“白皮书”),向业界推广“3CS”安全管理框架,以求相互了解与借鉴,共同推动云计 算、云安全行业的开放与发展。 本白皮书面向各行业、各地区的广大读者群,帮助大家从中了解云服务提供商应具备的安全管理能力, » 可为云服务客户、社区及互联网用户在对比、选择合适的云服务提供商时提供安全性方面的 信息参考; » 可为云服务提供商、生态伙伴在云运营管理过程中提供安全方面的指导和参考。 01
3 . 云服务安全治理白皮书 CONTENTS 目录 全球经济下行,难阻云计算市场持续增长 .....................................................04 全球云服务市场仍然持续增长 ....................................................................................................................................05 中国云服务市场增幅放缓,但仍超过世界其他地区 ...........................................................................................05 云服务安全威胁是企业上云的主要顾虑 ............................................................06 云客户普遍对云安全感到担忧 ....................................................................................................................................06 业界对云服务安全的主要忧虑 ....................................................................................................................................08 云服务提供商与云客户应双方协作,共同提升云安全能力 .............................................................................10 业界可参考实施的主流安全管理体系 ................................................................... 12 对主流云安全治理体系进一步优化的思考 .............................................................................................................14 基于云服务全流程的安全治理新体系 —— “3CS” .........................................................................................16 对“3CS”体系的详细介绍 ...................................................................................................18 基本框架 ..............................................................................................................................................................................18 安全控制要求 ....................................................................................................................................................................20 审核方法 ..............................................................................................................................................................................28 度量方法 ..............................................................................................................................................................................29 成熟度评估 .........................................................................................................................................................................31 02
4 . 云服务安全治理白皮书 “3CS”在华为云的应用实践 ................................................................................................ 32 云服务安全治理 ................................................................................................................................................................33 云服务管理支撑 ................................................................................................................................................................36 数据中心运营 ....................................................................................................................................................................39 云基础架构 .........................................................................................................................................................................40 云平台运维 .........................................................................................................................................................................42 云服务产品安全 ................................................................................................................................................................47 安全运营 ..............................................................................................................................................................................49 商业运营 ..............................................................................................................................................................................51 附录 A —— “3CS”框架下的华为云安全服务 ................................... 53 华为云安全服务总览 .......................................................................................................................................................54 华为云特色安全服务介绍 .............................................................................................................................................56 附录 B —— 主要参考来源 .....................................................................................................63 控制要求 ..............................................................................................................................................................................63 审核方法 ..............................................................................................................................................................................64 度量方法 ..............................................................................................................................................................................64 成熟度评估方法 ................................................................................................................................................................64 03
5 . 云服务安全治理白皮书 全球经济下行, 难阻云计算市场持续增长 云计算是当前IT领域最热门的话题之一,可伸缩的、弹性的IT能力通过互联网技术作为服务进行交付,促进了许多相 关技术的合并和升级,并在不同行业中促进了商业模式的创新。云服务的普及,使组织能够快速地响应不断变化的市场需 求,并通过创新的应用和服务吸引更多的客户,越来越多的业务运作通过云计算实现,并通过云服务进行交付。在全球范 围内,许多组织正在从根本上改变它们对内和对外的服务交付方式。 在过去的十几年中,全球数据量呈现爆炸性增长,移动应用、物联网的发展促使企业和个人对计算的需求大大增加, 并且希望数据能够被随时随地获取,这已经直接推动云计算成为数字经济时代的新型信息基础设施。 04
6 . 云服务安全治理白皮书 全球云服务市场仍然持续增长 根据国际业界多家机构的调研,未来两三年内云服务市场将持续快速增长。Gartner的报告显示,到2023年,40%的 企业工作负载将部署在云基础设施和平台服务上,而2020年这一比例为20%。而Fortinet委托CyberSecurity Insider进行的 调研显示,目前有33%的组织在云中运行超过50%的工作负荷,在未来12-18个月,这类组织的比例可能升到56%。 特别是去年以来受COVID-19新冠疫情的影响和催化,全球云计算技术、产业、应用等多方面的发展呈现了新的趋势,远 程办公、在线教育及网络游戏等互联网应用火爆、计算量骤增,企业开始加速线下业务在线化、数字化的进程,开始不约 而同地将“上云”作为近期数字化转型的目标之一,纷纷借助云计算的力量重启疫情之前的业务繁荣。 由于全球新冠疫情的大爆发,许多国家和地区颁布了禁制措施,限制民众出行和聚集。许多公司也发布工作指引,鼓 励员工远程办公。新的工作模式促进了业务协同的创新,人们开始感受到传统VPN远程访问公司资源的不便,云端协同办 公应用的大量使用无疑使公众直观感受到云服务的高效与便利。调研报告显示,新冠疫情爆发以来,总体企业应用云服务 大幅增长了50%,其中协同办公服务增长达600%。 中国云服务市场增幅放缓,但仍超过世界其他地区 2021年第一季度,中国的云基础设施服务支出增长了55%,达到60亿美元。根据Canalys统计数据显示,总支出较 2020年第一季度增长21亿美元,较上一季度增长超过2亿美元。在政府的支持下,中国云基础设施服务的增长速度继续 超过世界其他地区,使其成为首要战略重点。推动投资的关键因素包括经济快速增长和新冠疫情大流行后对数字转型的 更加重视。 美元 十亿 中国云基础架构服务 2021 Q1 60亿美元 7 6 5 4 3 2 1 0 Q3 2019 Q4 2019 Q1 2020 Q2 2020 Q3 2020 Q4 2020 Q1 2021 数据来源:Canalys: China cloud services market Q1 2021 图 1 中国云基础架构服务 05
7 . 云服务安全治理白皮书 云服务安全威胁是企业上云的主要顾虑 云客户普遍对云安全感到担忧 与许多新兴技术一样,云服务的安全性一直备受关注,层出不穷的安全与合规问题将会对云服务的广泛部署和发展 带来挑战。安全厂商Ermetic调研了超过300位信息安全主管,近80%的企业在过去18个月里至少经历过一次云数据泄露, 43%的企业报告了超过10次。 根据安全厂商Barracuda 进行的调查,70%的受访者表示安全问题限制了他们的组织采用公共云。这些安全问题包括 公共云基础设施的安全性、网络攻击的影响以及部署在公共云中的应用程序的安全性。 (ISC)2 2021年发布的云安全报告也显示,高达96%的企业对公有云的安全性感到忧虑,按忧虑程度划分分别为23%-中 度(Moderate),41%-非常(very)、32%-极度(extremely)。 06
8 . 云服务安全治理白皮书 96% 的组织对云安全感到忧虑 (从中等忧虑到极度忧虑) 1% 3% 23% 41% 32% 一点也不忧虑 有点忧虑 中等忧虑 很忧虑 极度忧虑 数据来源:(ISC)2 Cloud Security Report 2021 图 2 96% 的组织对云安全感到忧虑 而组织最担忧的云安全问题中,头三位分别是数据丢失或泄露、数据隐私或机密性、凭证的意外曝露。 64% 62% 46% 数据丢失或泄露 数据隐私或机密性 凭证的意外暴露 比去年下降5% 比去年下降4% 比去年上升2% 数据来源:(ISC)2 Cloud Security Report 2021 图 3 企业最担忧的头三位云安全问题 07
9 . 云服务安全治理白皮书 业界对云服务安全的主要忧虑 云服务提供商在提供服务的过程中,可能同时面临来自于内部和外部的安全威胁。例如: » 内部威胁方面,可能存在未知的或不受安全管控的资产设备;数据中心可能遭受极端自然灾害的破坏;云服务产 品可能存在设计缺陷导致的安全漏洞;无效的访问控制可能造成数据泄漏、数据恶意使用和访问权限滥用等。 » 外部威胁方面,组织可能面临黑客攻击、第三方供应商的产品可能存在缺陷、业务流程可能存在漏洞而被利用进 行欺诈等。 受访企业对使用公有云基础设施的主要忧虑 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 公有云基础设施的安全性 42% 网络攻击的影响 36% 云上应用的安全性 33% 与旧技术进行集成的难度 28% 与监管要求保持一致 28% 数据来源:Barracuda Future shock: the cloud is the new network 图 4 企业对使用公有云设施的主要忧虑 08
10 . 云服务安全治理白皮书 云安全联盟(Cloud Security Alliance,简称CSA) 2020年9月发布了11类云计算顶级威胁。相比上一版2016年发布的 12个威胁,CSA注意到在云服务提供商的努力下,传统云安全问题的排名有所下降。像拒绝服务、共享技术漏洞以及云服 务提供商数据丢失和系统漏洞之类的担忧(在以前的潜在风险 TOP 12中都具有)现在的评分非常低,已不在最关注的威胁 列表之内。这表明,由云服务提供商负责的传统安全问题似乎已经有效的缓解。 CSA 2016年2月 CSA 2020年9月 12类云计算顶级威胁 11类云计算顶级威胁 1.�数据泄露 1. 数据泄露 2.�弱身份、凭证和访问管理 2. 配置错误和变更控制不足 3.�不安全的API 3. 缺乏云安全架构和策略 4.�系统和应用程序漏洞 4. 身份,凭证,访问和密钥管理不足 5.�账户劫持 5. 帐户劫持 6.�恶意的内部人员 6. 内部威胁 7.�高级持续威胁(APTs) 7. 不安全的接口和 API 8.�数据丢失 8. 控制平面薄弱 9.�足够的尽职调查 9. 元结构和应用程序结构失效 10.�滥用和恶意使用云服务 10. 有限的云使用可见性 11.�拒绝服务 11. 滥用及违法使用云服务 12.�共享的技术漏洞 继续存在的威胁 新出现在列表中的威胁 图 5 CSA 两次发布的云计算顶级威胁差异对比 CSA所列举的这些顶级云计算威胁,也得到了安全行业组织的研究佐证。例如Fortinet的2021年云安全报告显示,对云 安全专业人士而言,TOP的威胁是:错误的安全配置,敏感数据的泄露,未经授权的访问等。 09
11 . 云服务安全治理白皮书 云服务提供商与云客户应双方协作,共同提升云安全能力 云服务提供商需提升安全管理能力,获取市场信任 如何解决云服务提供商面临的云服务安全问题和挑战,降低客户的担忧,是所有云服务提供商持续提供服务的关键问 题。为了更好的应对公共云服务带来的潜在安全风险、组织内外部的安全威胁、云安全合规性风险,以及增强各相关方对 共享安全责任模型的理解,云服务提供商必须通过合适的管理和技术手段,逐步提高云安全和隐私的管理能力。例如: » 集成第三方安全供应商的相关安全服务,以快速地使云平台融入更多更新的安全产品和能力。 » 加强内部人员的访问管理、日志审查、安全培训等措施,以缓解内部安全风险。 » 加强漏洞管理、纵深防护等措施,以抵御外部威胁。 » 深入理解合规要求,提高合规遵从能力,避免出现违法违规事件而导致的罚款、诉讼,以及对企业声誉的损害。 加强沟通,指导客户清晰了解自身的安全责任等。 基于上述的挑战和安全管理需求,云服务提供商需要建立一个可覆盖云计算服务所有流程的云安全管理体系,能将 各业务领域对应的安全控制要求按职能进行落实,帮助各业务部门更好地了解云安全管理要求,从而更好地为客户提供安 全、合规的云计算服务,获取和增强客户的信任。 云服务客户可借力云服务提供商提供的安全服务和产品 由于云计算安全的责任是在云服务提供商和云服务客户之间进行分担,云服务客户也需要思考在云计算环境中如何进 行安全管理。客户在云安全管理的知识方面可能相对不够全面,或者原有的安全管理手段在云上不适用。面对日益增加的 云安全管理需求,云服务客户可借助云服务提供商提供的服务产品,提升自身的云安全管理能力。 » 可视的高级安全防护能力 云服务客户可以借助云服务提供商提供的安全防护服务和产品,获得及时有效的安全保障。云服务提供商可提供针对云 计算环境的可视化安全监控和防护能力,以帮助云服务客户发现和堵塞安全漏洞、检测可疑行为、及时响应可能的入侵攻击 等。云服务提供商可提供的安全能力包括基础设施保护、数据保护、入侵检测和分析、身份认证与管理、托管防火墙等。 » 适配多场景的安全解决方案 云服务客户在进行数字化转型的过程中,会应用许多新技术,并开发新的业务场景。新技术应用和业务流程变革的同 时也带来了新的安全风险,这些风险可能会对云服务客户造成困扰并引发对应用新技术的担忧。企业的数字化转型往往离 10
12 . 云服务安全治理白皮书 不开云服务,云服务提供商通过运用创新能力,整合多种成熟的产品,整合最新的技术,为云服务客户的各种业务场景设 计网络安全解决方案,为客户的数字化转型保驾护航,使客户可以更放心地对新技术变更进行投资。例如,部分云服务提 供商向客户提供内容审核服务,可自动进行违规内容检测,帮助客户降低业务违规风险。 » 丰富的云安全生态体系 丰富的云安全生态体系极大地拓展了云安全服务的品种,使云服务客户在产品选型上有更大的自主空间,有助于云服 务客户更灵活地根据不同的场景需求选择适配的服务和产品,提高其IT系统的安全性。 » 其他云安全服务 云服务提供商还可以向客户提供安全与合规咨询、安全托管等服务,使云服务客户可借助云服务提供商的能力和经 验,快速获得高水准的安全管理能力。尤其是在多云环境下,云服务客户在获得高水平云服务提供商的帮助后,在提升多 云安全管理能力上将起到事半功倍的作用。 11
13 . 云服务安全治理白皮书 业界可参考实施的主流安全管理体系 无论是云服务提供商(Cloud Service Provider,简称CSP)还是云服务客户(Cloud Service Customer,简称CSC), 都需要对彼此的云资产安全承担各自的责任。国内外可供组织选择的安全标准有多个,其中的典型代表列举如下: » 以ISO/IEC 27017 及 ISO/IEC 27018为代表的ISO信息安全标准 国际标准化组织ISO制定并发布了ISO/IEC 27000系列,指导组织建立信息安全管理的体系。ISO/IEC 27000系列是是 目前国际上被广泛接受和应用的信息安全管理体系认证标准集,以ISO/IEC 27001为典型代表,目标是提供建立、实施、 保持和持续改进信息安全管理体系(ISMS)的要求,该标准以风险管理为核心,通过定期评估风险和对应的控制措施来有效 保证组织信息安全管理体系的持续运行。云安全业界多个标准均以ISO/IEC 27001 ISMS体系为基础,这些标准包括CSA CCM、MTCS、C5等。2019年,在融入以欧盟GDPR为参考的隐私保护控制要求后,ISMS体系扩展为隐私信息保护体系 (PIMS),并形成了新的标准ISO/IEC 27701。 在云服务环境中,组织可通过实施基于ISO/IEC 27001的云安全扩展要求ISO/IEC 27017及云隐私保护要求ISO/IEC 27018,使信息安全保护体系更适应云计算安全的特殊需求。 12
14 . 云服务安全治理白皮书 » 云安全联盟CSA CCM 由云安全联盟(CSA)推出的云控制矩阵 v4(CCM v4)包括17个控制域中的197个控制目标,全方位涵盖了云计算技 术的安全领域。它可以用作对云计算实施的系统性评估工具,也可以作为云计算供应链中各角色与安全控制关系的指导。 其目标是: » 确保覆盖来自新云技术的需求(例如,微服务、容器)和新的法律和监管需求,特别是在隐私领域。 » 改善控制的可审核性,并为组织提供更好的实施和评估指导。 » 在共享责任模型中明确云安全责任的分配。 » 改善与其他标准的互操作性和兼容性。 » 新加坡多层云安全 (MTCS) 标准 MTCS 在新加坡资讯通信媒体发展管理局 (IMDA) 信息技术标准委员会 (ITSC) 的指导下拟定,是首个具有不同安全级 别的云安全标准,可让经认证的云服务提供商指定他们所属的级别。 MTCS 建立在公认的国际标准(如 ISO/IEC 27001)基础之上,覆盖的领域有数据保存、数据主权、数据可移植性、债 务、可用性、业务连续性、灾难恢复和事件管理。 MTCS旨在提供: a)常用标准,云服务提供商可采用该标准来解决客户对云端数据的安全性和机密性以及使用云服务对业务的影响的顾虑。 b)可验证的操作透明度,以及对客户在使用云服务时所面临的风险的洞察。 该标准还包括一种机制,可供客户按照一系列最低基线安全性要求对各大云服务提供商的能力进行标准检查和排名。 » 德国云计算合规标准目录(C5) C5的全称是Cloud Computing Compliance Criteria Catalogue(云计算合规标准目录),是由德国联邦信息 安全办公室(BSI)在德国推出的一种德国政府支持的鉴 证机制,可帮助云服务提供商证明其在德国政府的“对 于云提供商的安全建议”中提到的常见网络攻击方面的 运营安全性。 由于云计算硬件、软件以及其服务的高度标准化, 客户通常不了解其详细信息,导致云服务提供商必须想 方设法以建立和维持极高的信任度。C5推出的目的就是 13
15 . 云服务安全治理白皮书 为了评估云服务的信息安全性,从而建立这种信任。C5以业内已有的信息安全标准(例如ISO/IEC 27001和CSA CCM)为 基础,并使审计员可以根据国际审计标准进行审计。 该标准目录包含有关云服务信息安全的17个目标。每个目标均被分解为实现该目标所需的标准。这些标准分为基本标 准和附加标准。 基本标准反映了云服务客户使用云服务时,云服务提供商必须提供的最低信息安全级别,这也是C5审计的最小范围。 对于信息对保护有更高需求的云服务客户,可基于附加标准来进行评估。另外,云服务提供商还可以在C5评估时中包括其 他的安全标准。 云客户可以通过阅读C5鉴证报告来了解云服务提供商为满足C5要求而实施的安全控制,并对控制机制的设计适当性和 执行有效进行评估。 对主流云安全治理体系进一步优化的思考 目前业界广泛接受的云安全治理体系,如ISO/IEC 27001/27701/27017/27018系列、CSA CCM、MTCS、C5等,大多是 以传统安全概念分类为基础来划分安全管理领域。 信息安全方针 信息安全组织 资产管理 隐私信息管理体系 ISO/IEC 27701 PIMS 隐私保护要求 访问控制 人力资源安全 密码学 A.对PII控制者的控 制目标和控制措施 物理和 操作 通信 信息系统获取、 环境安全 安全 安全 开发和维护 供应商关系 B.对PII处理者的控 信息安全事件管理 制目标和控制措施 业务连续性管理的信息安全方面 符合性 图 6 ISO/IEC 27701 隐私信息管理体系框架 14
16 . 云服务安全治理白皮书 信息安全组织(OIS) 安全政策和说明(SP) 资产管理(AM) 人力资源︵ 访问控制(IDM) 加密和密钥管理(CRY) 物理安全 操作安全 通信安全 信息系统获取、开发和维 (PS) (OPS) (COS) (DEV) HR ︶ 可协性和互通性(PI) 对服务提供商核供应商的控制和监测(SSO) 安全事件管理(SIM) 业务连续性管理(BCM) 合规(COM) 处理政府机构的调查请求(INQ) 产品安全性(PSS) 图 7 德国 C5:2020 云安全管理框架 云安全联盟(CSA)在2017年推出的《云计算关键领域安全指南V4.0》中,将ISO/IEC 27001信息安全管理体系进行拓展, 结合云安全控制矩阵(Cloud Control Matrix,CCM),将云安全框架分为治理(Governance)和运行(Operations)两大域。 治理域 治理和企业风险管理 法律问题 合理性和审计管理 信息治理 运行域 管理平面和业务连续性 基础设施安全 虚拟化和容器技术 事件响应、通告和补救 应用安全 数据安全和加密 身份、授权和访问管理 安全即服务 相关技术 (大数据、物联网loT和边缘计算等) 图 8 CSA 云计算关键领域安全指南 V4.0 云安全架构 中国信息通信研究院牵头制订《云计算风险管理框架》行业标准,并同步于国际电信联盟(ITU)进行国际标准立项推 进。标准针对云计算运行过程中面临出现的服务不可用、数据丢失、数据泄露等风险后果提出管理方法,包括风险评估、风 险处置、风险接受、风险沟通以及风险监视和评审等内容,对云计算涉及的所有系统、人员、管理制度进行风险管理。 15
17 . 云服务安全治理白皮书 诸如此类安全框架划分方式的优点是让组织容易理解需要采取什么安全措施,容易集中专业领域知识,但与云服务各 管理流程缺乏关联性,不利于职能部门理解自己角色所需要承担的安全职责,这可能导致一些安全职责无人承担。 以华为云为例,目前已上线220+云服务、210+解决方案,云市场商品达4500+,服务全球众多知名企业。如何在维 护如此巨大的产品线及业务规模的同时,仍然坚持对内实施最高标准的信息安全治理,其实对华为云的安全合规部门来 说是一个极其巨大的挑战。为了在企业内有效牵引网络安全及隐私保护的治理体系建设,华为云已参照国际主流安全标 准建立了网络安全及隐私保护的治理体系,并通过了80+国内外权威组织的信息安全认证与评估(参考链接https://www. huaweicloud.com/intl/zh-cn/securecenter/compliance.html),但仍感觉到在传统安全标准的框架内,要在组织内部众多 业务部门中明确安全职责、使各业务岗位理解本职安全合规要求,面临着重重困难,制约着企业在网络安全与合规治理水 平方面达到新的高度,妨碍华为云实现打造国际业界领先安全竞争力的目标。 另外,目前业界主要的云安全标准主要有ISO/IEC 27017/27018、CSA CCM、新加坡MTCS、德国C5,以及我国的GB/T 31168等。这些标准对于指导云服务企业建设与完善网络安全与隐私保护治理体系发挥了重要而积极的作用。但是由于这 些标准需要考虑被行业内各云服务提供商普遍接受并可执行,需要照顾到各云服务提供商的平均发展水平,因此相关控制 要求的高度和解决方案的先进程度受到一定限制。 基于云服务全流程的安全治理新体系 —— “3CS” 出于上述原因,华为云认为有必要对目前的安全治理体系进行整合与优化。其基础理念是基于云服务各业务模块的 流程,划分相对应的安全控制领域,使安全控制要求得以嵌入到云服务管理流程中,且确保安全管理责任清晰明确、可度 量、可追溯,从而实现全面有效的安全治理。安全部门在与业务部门沟通安全控制要求时,业务部门也更加容易理解基于 本职流程需要执行哪些控制措施。 另外,针对安全风险的控制措施,需要与国内领先云服务提供商的业务体量与市场地位相匹配,确保相关安全控制措 施的先进性,可牵引国内领先云服务提供商安全治理能力向世界领先水平迈进。 基于上述理念,华为云开发了一套涵盖业界主流云安全标准以及华为云安全管理要求的治理体系,并称之为“云服务 网络安全与合规标准”(Cloud Service Cybersecurity & Compliance Standard),简称“3CS”。这套治理体系可为有 意愿借鉴华为实践经验的企业或合作伙伴提供有价值的参考方案。 “3CS”体系的配套方法 为了有效检查对安全控制要求的执行效果,云服务提供商还需要与之配套的审核和度量方法,以检验执行的符合性和 有效性。因此,本治理体系包括以下组成模块: 16
18 . 云服务安全治理白皮书 » 云服务全流程安全与隐私治理框架。 » 可分级实施的控制集。 » 对控制要求的审核方法。 » 对各管理领域度量方法。 » 对云服务安全成熟度评估方法。 由于云安全责任已经落实到每个云服务管理流程,通过对安全控制的实施效果进行度量,云服务提供商能够了解某个 流程的负责部门是否执行了足够的安全保障,以及存在哪些薄弱环节和改进空间。通过管理措施的优化,云服务提供商能 够进一步提升云安全治理的效率和有效性。 “3CS”体系在进行框架设计时已考虑到在行业内的普遍适用性,各组织在应用此治理框架时可根据本组织的职能划 分,进一步对框架内各控制领域进行调整,使之更好地适配组织的治理架构。 “3CS”体系的特点 “3CS”包含了华为云的网络安全与隐私保护管理控制集,是目前国内已知最全面最严格的云服务安全控制集合之 一。该体系紧密结合云服务相关业务管理流程集,实现可审核、可度量、可追溯的云服务安全控制。其长远目标是全面降 低云服务各相关流程的安全风险,打造国内云服务行业新的安全治理体系。 该体系具有以下特点: » 以云服务相关业务流程集作为治理框架,将安全治理与云服务业务紧密结合。 » 以全球十多个主流安全标准为基础。 » 融合华为在云安全治理方面的深刻理解与全球运营实践经验。 » 已经在华为云内部实施,确保体系可落地实施。 » 考虑了行业共性特点,确保体系具备普遍适用性。 如应用“3CS”治理体系,云服务提供商将可得到不低于国际主流安全标准的安全控制集,以及配套的审核与度量方 法。云服务提供商可根据自身的业务发展水平,选择适合本单位的成熟度等级进行对标,牵引自身安全管理水平的提升。 该治理体系能够帮助云服务提供商提高对云安全治理的理论认知和实践水平,共同构筑安全稳健的云计算环境,使得 云服务提供商可从不断增长的云计算服务市场中获益。 除此之外,云服务客户也能够从中获得启发。一方面,云服务客户可根据其自身的实际情况,选取合适的安全和隐私 保护基线,作为提高本组织安全和隐私保护能力的参考依据,尤其是那些拥有私有云服务的云服务客户。另一方面,根据 相关控制要求,云服务客户能够增进对云服务提供商信息安全和隐私保护能力水平的理解,有助评估云服务提供商在提供 云服务时是否能够满足预定义的管理目标和相关控制要求,从而在挑选云服务提供商时,能够更好地进行决策。 17
19 . 云服务安全治理白皮书 对“3CS”体系的详细介绍 基本框架 在“3CS”框架中,各种安全控制活动可被划分为三大板块,涵盖云服务安全治理、云服务管理支撑、数据中心运 营、云基础架构、云平台运营、云服务产品安全、安全运营、商业运营八个领域(如图9)。 对三大板块、八大安全领域与云服务流程集的关联关系可作如下理解: 第一大板块涵盖“云服务安全治理”与“云服务管理支撑”两个领域。“云服务安全治理”领域包含了企业进行安 全治理的各种职能,从确定战略、管理组织、基于风险进行安全管理规划、高度重视数据安全和隐私保护的专项治理、持 续执行评估和审计,形成了可持续优化的云安全治理循环机制。“云服务管理支撑”领域包含了人员管理、办公环境管 理、供应链管理、资产管理、业务连续性管理、项目管理等管理职能,为企业提供了通用的运营管理支持。云服务安全治 理流程集对全公司的网络安全和隐私保护管理进行控制和指导,并结合云服务管理支撑流程集对各业务领域的安全管理提 供支持。 18
20 . 云服务安全治理白皮书 云服务全流程安全隐私治理 1、云服务安全治理 1、云服务安全治理 1.1 战略与规划管理 1.2 安全管理组织 1.3 风险管理 1.4 数据安全 1.5 隐私保护 1.6 评估与审计 2、云服务管理支撑 2.1 人员安全管理 2.2 办公环境安全 2.3 供应链安全管理 2.4 资产管理 2.5 业务连续性管理 控制、指导、支持 7、安全运营 5、云平台运维 6、云服务产品安全 8、商业运营 5.1 制定规程 5.2 身份与访问管理 6.1 制定规程 需求 7.1 制定规程 5.3 证书与密钥管理 5.4 配置管理 6.2 云服务安全 8.1 制定规程 5.5 变更管理 5.6 容量管理 6.3 开发过程安全 7.2 威胁与漏洞管理 5.7 日志与监控 5.8 备份与恢复 6.4 开发环境安全 8.2 业务风控 7.3 渗透测试 4、云基础架构 能力 4.1 制定规程 4.2 云安全架构 4.3 网络安全架构 8.3 合同协议 7.4 安全监控 4.4 主机与容器安全架构 4.5 虚拟化安全能力 4.6 应用安全能力 7.5 安全事件响应与恢复 3、数据中心运营 8.4 透明与沟通 3.1 制定规程 3.2 数据中心建设 3.3 数据中心管理 图 9 基于云服务全流程的“3CS”安全管理框架 第二大板块包括“数据中心运营”、“云基础架构”、“云平台运维”、“云服务产品安全”、“安全运营”等五个 领域。组织的云平台及服务能力可由数据中心建设与运营、云基础架构的构建与运维、云产品的开发与运营、安全漏洞管 理与攻击防护等一系列活动来实现。围绕这些活动流程的各个环节,识别需要进行安全控制的节点,明确需要采取的安全 控制措施,便可根据不同的IT职能模块以及相应的管理流程集,划分出与云服务安全能力相关的五个领域。这五个领域之 间有明确的分工,共同协力打造安全可靠的云计算服务能力。 第三大板块对应“商业运营”领域。技术部门提供云计算能力,商业运营部门则负责将这些能力向客户推广和交付, 并且从客户收集对云服务能力的新需求,促使技术部门提升云服务能力,以此不断推动企业云服务水平的提升。在进行业 务运营的过程中,相关业务部门需要注意规避或消减相关的业务安全与合规风险。“商业运营”领域明确了对云服务提供 商业运营过程中需采取的控制措施,指导业务部门以安全、合规的方式向客户传递云服务的商业价值。 依据此管理逻辑,各种组织均可参考“3CS”各领域流程活动建立适合本组织的安全治理体系。由于框架中各领域之 间鲜明的层次关系,组织可以有明确的依据将各种安全管理职责落实到相关职能的责任部门当中,并结合安全绩效度量与 奖惩牵引,实现全面有效安全治理的目标。 19
21 . 云服务安全治理白皮书 安全控制要求 华为云“3CS”安全体系框架涉及八大安全域的控制内容,当中包括云服务安全治理、云服务管理支撑、数据中心运 营、云基础架构、云平台运维、云服务产品安全、安全运营和商业运营。在这八大控制领域下,又分别划分为若干子领 域,并进一步细分为一级要求和二级要求,其中二级要求是为实现一级要求的管理目标而采取的具体行动或措施,且二级 要求当中包含若干关键因素,必须在实施时予以实现。 一级编号 主题 一级要求 二级编号 二级要求 关键要素 补充说明 安全区域划分如:受信任区域、不受信任区域。 网络安全区域划分原则应满足以下要求: 应根据资产敏感度、风 另CIS建议: 在逻辑上或物理上对云客户进行隔离; 1 险评估结果等制定网络 14.1根据存储在服务器上的信息标签或分类级别对网络进行分段,在分离的虚拟局域网(VLANs)上定位 避免将关键网络区域部署在云服务提供商 安全区域划分原则。 所有敏感信息。 内外网络边界处。 应为第四圾业务应用系统划分独立的资源池。 “允许公开直接访问的系统组件”指云服务门户(Portal)等 隔离保护应满足以下要求: CIS指引要求 应对云基 应对提供外部或租户访问 将允许公开直接访问的系统组件,划分在隔离的子 14.2启用vlan之间的防火墙过滤功能,确保只有经授权的系统才能与其他系统通信,且此类系统是履行 础设施的 2 的网络进行隔离保护。 网上(如DMZ),确保与租户面网络的隔离; 特定业务所必需的。 网络 网络进行 对云客户之间的数据流量进行隔离。 14.3禁用所有工作站到工作站的通信,以限制攻击者横向移动(通过私有vlan或微分段等)技术危害邻近 4.3.2 分区 安全分区 系统的能力。 隔离 管理,并 进行相应 隔离。 租户面网络、云服务管理网络和内部网络之间的隔离 1)租户面网络:客户访问云服务,可用来承载其数据或应用程序的计算资源。 应满足以下要求: 2)云服务管理网络:用于对租户面网络执行管理和维护任务的网络段。 确保租户面网络和云服务管理网络之间,以及租户 3)内部网络:用于内部业务流程的网络段,与提供云服务无关。 应对租户面网络、云服 面网络和内部网络之间的隔离,不允许直接访问; 4)关于隔离的实现方式:以下标准条文有较明确要求,应实现物理隔离,如:根据C5 COS-06增强要求: 3 务管埋网络、内部网络 确保云服务管理网络和内部网络之间的隔离,仅允 在laaS/PaaS的场景下,可以通过物理隔离的网络或强加密VLAN进行安全隔离。 分别实施隔离保护。 许通过授权和双因素身份验证进行访问; 根据(GBT 31168 6142 c)构建物理上独立的运维管理网络,部署资源管理平台、运维管理系统,以对 确保租户面网络和内部网络的身份验证源应分开; 云计算平台进行管理,如新的网络隔离技术方案并非严格意义上的物理隔离,则应提供详细说明,证明该 确保仅允许从内部网络的特定IP地址访问云服务管 方案可提供与物理隔离同等强度的安全控制。 理网络和租户面网络。 图 10 完整“3CS”控制要求示例 本体系所使用的控制措施,以及相关的实施要求,是综合参考了多个国际广泛认可的信息安全标准和技术指南,以及 华为公司内部安全管理要求和行业优秀实践后,精心制定的。各领域的控制目标及相关控制要求的概述如下: 领域一 云服务安全治理 本领域描述了云服务提供商在进行安全治理和规划时,应执行的若干活动,从而得以在组织层面确立遵循PDCA(Plan- Do-Check-Act)质量改进循环的安全治理方法。本领域的主要面向对象为云服务提供商内部的安全治理及规划职能相关部门。 本领域的管理目标是根据业务要求和法律法规提供云安全管理方向,建立管理框架,指导和控制组织范围内安全和隐 私保护的实施和运行;定义和组织风险评估,及时识别和处置安全和隐私保护风险;执行云安全和隐私保护审计,确保相 关的管理和控制有效实施。 20
22 . 云服务安全治理白皮书 本领域的相关控制要求可概括为: » 战略与规划管理 云服务提供商应确定网络安全和隐私保护的治理目标,制定网络安全和隐私保护的管理策略,并制定、实施相关行动 计划,同时提供所需资源,以实现企业网络安全与隐私保护目标。此外,云服务提供商还应对网络安全和隐私保护管理策 略的实施情况进行监控、度量与评估,并通过对网络安全与隐私保护管理策略的定期审核与更新以实现策略的持续改进。 » 安全管理组织 云服务提供商应建立网络安全与隐私保护管理组织。 » 风险管理 云服务提供商应明确安全风险管理的目标与范围,并制定风险管理的策略、流程及操作指导,形成文档后分发给相关 人员指导实施活动有效开展。同时,云服务提供商还应定期对组织范围内的信息资产及活动进行风险识别与评估,并对风 险进行处理,以确保残余风险降低到可接受水平。 » 数据安全 云服务提供商应制定数据安全治理的策略、流程及操作指导;同时应制定和维护数据流图与数据清单,用以准确识别系 统敏感数据的状况。在数据采集过程中,应进行数据的分级分类与标识,并确保数据的保密性、完整性和合规性;在数据使用过程 中,应对数据的使用实施控制,以保障数据安全和正当使用;在数据传输过程中,应实施技术措施,以确保数据在传输过程中的安 全性;在数据存储过程中,应采取相关安全控制措施,以满足当地法律法规的要求,防止数据被破坏、篡改和泄露;在数据销毁过 程中,应建立数据数据安全销毁流程,以确保数据的完全删除。此外,还应定期审核并更新数据安全相关控制措施的执行情况。 » 隐私保护 云服务提供商应制定隐私保护的策略、流程及操作指导。在开展涉及个人信息的业务活动时,应遵循隐私保护的基 本原则,以确保业务活动的合法合规。在收集个人信息前,应以完整、透明、及时、清晰易懂与易于访问的形式告知个人 信息主体,并基于个人信息主体的同意、合同协议的履行或者其他法定事由,实施对个人信息的收集。且在收集个人信 息时,应遵循最小化原则,并确保对个人信息的使用、处理和存储与所授权的范围保持一致。此外,还应进行隐私影响评 估,以识别可预见的隐私风险和威胁,并在实施控制措施确保向第三方披露的隐私安全的同时,提供处理个人信息主体合 法请求的机制,以保障个人信息主体的合法权利。 » 评估与审计 云服务提供商应成立网络安全与隐私保护审计委员会,并制定评估与审计的策略、流程及操作指导。此外,还应制定 并维护网络安全与隐私保护审计计划,并按计划实施网络安全与隐私保护相关的审计,对审计发现进行持续跟踪,确保纠 正措施的有效实施。 21
23 . 云服务安全治理白皮书 领域二 云服务管理支撑 本领域描述了云服务提供商企业内部的通用管理模块和流程中的安全管理要求。这些管理模块可能并不直接参与云计 算业务的运营,更多地是向云计算业务提供企业内部管理能力的支持,其职能可以由集团总部、共享服务中心、外部服务 商等单位来承担。本领域主要面向对象为云服务提供商内部负责制定或执行相关内部管理流程的部门。 本领域的管理目标是根据云安全和隐私保护的管理方向,建立在人员安全、物理环境安全、供应链安全、信息资产安 全、业务连续性等方面的具体管控措施,确保相关管理措施能够有效的运行。 本领域的相关控制要求可概括为: » 人员安全管理 云服务提供商应制定人员安全管理的策略、流程及操作指导。应在雇佣时对员工进行背景调查,并签订安全相关合同 协议,并对已聘用的内外部人员进行安全意识教育与岗位安全技能培训。应建立对内外部人员安全违规处分的机制,对内 外部人员岗位变更或终止任用实施安全控制,并对其安全责任和义务进行沟通。 » 办公环境安全 应制定办公环境与设施安全管理的策略、流程及操作指导。一方面应建立办公环境的安全控制机制,以确保文件、介 质等资产的安全性;另一方面应实施终端安全控制,确保办公环境中使用的系统、软件、数据的安全与合规,并限制对无 线网络的非授权使用。 » 供应链安全管理 应制定供应链安全的策略、流程及操作指导,并制定和维护供应商管理机制,对产品和服务采购进行安全管理,以确 保产品和服务的安全性,。此外,还应对供应商的合同履行情况进行审核,并建立供应商的替换或退出机制。对供应商安 全管理的策略文档、清单和合同协议,应至少每年一次进行审核。 » 资产管理 应制定资产管理的策略、流程及操作指导,对资产进行分类和标识,制定和维护资产清单,并对资产生命周期实施安 全管理和控制。 » 业务连续性管理 应制定网络安全与隐私保护相关的业务连续性管理的策略、标准及流程,在为基础设施配备冗余资源,确保关键业务持 续运营的基础上,针对各种场景制定业务连续性及灾难恢复计划,并定期对业务连续性及灾难恢复计划进行演练与改进。 22
24 . 云服务安全治理白皮书 领域三 数据中心运营 本领域描述了云服务提供商数据中心运营管理过程中的相关安全管理要求。云服务提供商除了管理自有的数据中心 外,还可能大量租用外部的数据中心,因此对数据中心的安全管理,应单独制定控制集,以便对不同服务商提供的数据中 心执行统一的安全管理要求。本领域的主要面向对象为云服务提供商内部的数据中心运营管理部门。 本领域的管理目标是从环境、访问控制、监控、灾备等方面,定义组织数据中心的安全和隐私保护要求,防止对数据 中心的未授权访问、损坏和干扰。 本领域的相关控制要求可概括为: » 数据中心建设 数据中心选址应考虑物理位置和环境的风险,实施环境安全防护措施,以防范自然灾害,恶意攻击或意外事故。并配 备冗余的物理、环境与电力资源,以满足基础设施的可用性需求。同时,实施物理访问控制措施,以防止对数据中心的非 授权访问。 » 数据中心管理 应对数据中心物理访问权限以及访客进行管理并对数据中心实施安全监测和管控,以降低断电、火灾、中断或者非法 入侵等风险。 领域四 云基础架构 本领域描述了在对云计算平台进行规划和设计的阶段,应考虑和实现的安全技术要求,主要面向对象为云服务提供商 内部的技术架构管理部门。 本领域的管理目标是建立云安全架构,定义和建设云基础架构安全能力,包括网络安全、主机等基础设施的安全性、 虚拟化管理系统和容器的安全性、云上运用或开发的应用的安全性等。 本领域的相关控制要求可概括为: » 云安全架构 云基础架构应具备统一管理的云安全能力,能对物理资源和虚拟资源按照策略做统一管理调度与分配,并保持先进性。 » 网络安全架构 应对云基础设施的网络进行安全分区和隔离,并在网络边界实施防护和监控措施。同时,应实施网络准入控制措施和 23
25 . 云服务安全治理白皮书 远程访问限制,以限制设备的网络接入,以及未经授权的连接或越权操作等。应确保通信线路和设备的冗余,以满足可用 性需求。对于网络通信的控制措施应定期进行审查。 » 主机与容器安全架构 应为主机和容器实施安全加固与恶意软件防护,并定期审核安全措施的有效性。 » 虚拟化安全能力 应实现虚拟化平台的资源隔离和访问控制,对虚拟机的状态进行监控并告警,并对虚拟机镜像实施安全保护措施,以 确保镜像的可用性、机密性与完整性。 » 应用安全能力 应实施应用安全防护措施,以防范网络攻击,保护应用通信安全性。 领域五 云平台运维 本领域描述了对云计算平台进行持续运维的过程中,需要考虑并实施的安全管理要求,主要面向对象为云服务提供商 内部的SRE或运维管理部门。 本领域的管理目标是根据企业业务及安全目标,定义和实施云平台的相关安全运行和维护管理,包括建立身份与访问 控制,防止未授权访问;实施证书与密钥管理,恰当和有效的保护信息的安全性、真实性和完整性;定义安全配置基线, 实施并定期审查实施有效性;对资源的使用进行预测、监控和调整,确保所需的系统资源;利用日志和监控,记录事态和 生成相关证据;开展备份,防止数据的丢失。 本领域的相关控制要求可概括为: » 身份与访问管理 应明确基于业务和安全需求的账号管理要求,对用户账号实施管理措施,对共享、服务或应用账号制定安全控制措 施,在限制特权账号的使用场景及访问的方式的同时,实施权限管理,制定、维护账号与权限清单,并定期进行审核,以 减少对资产的未经授权访问或无意的修改与误用。此外,还应通过实施密码管理措施,并对密码的存储和传输实施加密保 护,来确保密码的强度以及密码使用时的安全;通过实施多因素认证管理,来防止身份被未经授权的使用;以及通过实施 会话管理措施,来确保会话的机密性。 » 证书与密钥管理 应明确定义组织允许使用的加密算法和密码技术产品,制定贯穿密钥的全生命周期的使用和保护策略,对密钥的生 24
26 . 云服务安全治理白皮书 成、分发、使用与存储实施安全控制,以确保其机密性和完整性,并定义密钥的轮换与销毁策略。另一方面,应对证 书进行统一安全管理,实施保护策略贯穿其整个生命周期。同时,还应定期对证书与密钥管理的策略与技术进行审核。 » 配置管理 应建立和实施符合行业标准的安全配置基线来对软硬件资产进行加固,并对安全配置的实施情况进行自动化检查。对 安全配置基线应定期进行审核。 » 变更管理 应对变更请求进行记录与评估,在制定变更后对其进行相应的测试与授权,根据变更的影响通知相关方,并记录实施 过程,变更完成后进行有效性验证。 » 容量管理 应定期进行容量规划,并持续监控容量的利用率,确保资源容量的可用性和充足性。 » 日志与监控 应启用系统日志功能,确保可对重要的用户行为和安全事件进行审计。通过对日志的使用和存储实施集中管理,保护 日志的完整性与可用性,并定期对日志策略进行审核。 » 备份与恢复 应进行备份和恢复管理,实施备份保护措施并定期进行备份恢复测试,以满足业务连续性的要求。 25
27 . 云服务安全治理白皮书 领域六 云服务产品安全 本领域描述了云服务产品从需求分析、开发、测试、上线等一系列过程,以及对开发环境进行管理的安全控制要求,主 要面向对象为云服务提供商内部的产品开发部门。 本领域的管理目标是定义和确保为客户提供的云服务的安全,包括建立网络安全能力、应用安全能力、数据安全能力 和安全管理能力等;定义和控制开发过程的安全,包括安全需求开发、编码安全、安全测试、开发环境安全、测试数据安 全和第三方安全管理等。 本领域的相关控制要求可概括为: » 云服务安全 云服务提供商应为云客户提供访问控制、安全传输、应用安全防护、数据安全等安全管理能力。 » 开发过程安全 应对系统的安全需求进行识别和分析,并在设计方案及架构中进行实现。在系统开发过程中应执行编码与配置管理,确 保开发过程中的质量和安全性,通过执行安全测试确保不存在已知的安全漏洞;在开发完成后进行验收测试,并对发布上 线过程进行管理。 » 开发环境安全 应对开发环境以及开发涉及的组件、数据和资料进行安全管控,如实施环境隔离管理,对源代码和开发文档进行控制 和保护,对测试数据的使用进行限制,仅使用受信任的第三方组件等。 领域七 安全运营 本领域描述了对云服务的安全运营管理要求,包括漏洞管理、渗透测试、对安全事件的监控、响应与恢复等,主要面 向对象为云服务提供商内部的网络运营中心(SOC),或承担类似职能的网络安全管理部门。 本领域的管理目标是构建云安全运营体系,提高云安全能力,提高威胁和漏洞的实时发现、跟踪和闭环处理能力;建 立渗透等安全测试流程,及时发现系统安全风险;实时监控网络和主机等活动,识别攻击行为,对异常行为进行统计和跟 踪;对安全事件进行管理,确保有效的进行响应。 本领域的相关控制要求可概括为: » 威胁与漏洞管理 26
28 . 云服务安全治理白皮书 应定期对云平台进行漏洞扫描,并对漏洞进行分析评级,基于不同级别漏洞的修复目标时间对漏洞进行响应,制定漏 洞修补方案,实现漏洞的闭环管理,并定期对威胁与漏洞管理策略进行审核。 » 渗透测试 应定期对指定对象进行渗透测试和分析,编制渗透测试报告,对渗透测试发现的漏洞应进行整改修复和验证,并对问 题进行复盘。 » 安全监控 应进行安全监控、分析与告警,记录攻击或异常行为,并对攻击和异常情况进行处理。 » 安全事件响应与恢复 应对事件进行风险评估和分类分级,并制定相应的事件响应措施,确保事件的闭环管理。在制定安全事件的应急预案 后,应定期开展重大安全事件的应急演练,并对安全事件和应急演练进行经验总结。对安全事件响应策略应定期进行审核。 领域八 商业运营 本领域描述了云服务提供商业运营过程中应考虑并实现的安全风险控制措施,主要面向对象为云服务提供商内部的商 业运营管理部门。 本领域的管理目标是定义和确保云平台服务安全,避免云平台被恶意利用;根据业务和法律法规要求,建立统一、标 准的服务合同协议,加强用户之间的沟通,清楚划分云服务提供商与用户之间的相关责任,避免相关运营及法律风险。 本领域的相关控制要求可概括为: » 业务风控 基于当地法律要求,云服务提供商应具备安全防护和监控能力,防止云服务的资源被非法使用或恶意滥用。 » 合同协议 应制定与维护服务水平协议,明确与云客户的责任与义务,规定双方的权限与责任,并定期审核相关合同或协议。 » 透明与沟通 应建立并维护与云客户和外部组织的沟通机制,应确保利益相关方能及时有效地接收到云服务提供商的有关信息。 27
29 . 云服务安全治理白皮书 审核方法 能够及时发现组织自身控制措施的缺陷是非常关键的。组织必须了解自身控制的有效性并进行定期的自我审查。基于 审查结果,组织能够认识到整体的合规遵从情况,发现不足之处。 为了在组织范围内形成统一的安全质量基准,工作组参考和结合了多个国际广泛认可的审核准则,为“3CS”的各项 控制要求制定了审核方法,并结合内部的实践,定义了统一的、易于业务部门理解的审核通过标准。这将有助于安全控制 措施的执行部门更好地理解控制要求和期望的结果,也方便他们对执行情况进行自我检查,并维护相关的证据链。 通过执行严格的、标准化的审核,并记录相关的证据链,云服务提供商可确保在通过对“3CS”控制点的审核后,也 能满足国际认证对相关控制点的审核要求。 典型的审核方法包括访谈、交叉询问、穿行测试、抽样测试、现场观察、文档审阅、重新运行、系统验证、分析性复 核、数据验证以及漏洞扫描等。在审核实施过程中,审核人员可根据组织的实际情况,采取最合适的方法。 访谈 向适合的人员询问有关控制运行的情况,了解控制现状 交叉询问 通过询问企业内其他人员,从多角度了解控制的执行情况。 穿行测试 追踪信息系统或业务流程的处理过程,以证实所了解的流程与控制。 抽样测试 通过抽样并收集相关证据以验证控制点运行的有效性。 现场观察 现场观察控制运行的实际情况。 文档审阅 检查相关的政策,流程,以及控制生成的记录和文件,作为控制设计和执行情况的证据。 重新运行 重新履行某些控制程序,以证明其运行是正确、有效的。 系统验证 测试信息系统中的应用程序控制是否按设计要求运行。 分析性复核 对各种系统日志进行分析,调查是否存在异常行为或者与预期数额和相关信息的差异。 数据验证 直接从数据库提前数据进行完整性与准确性的验证。 漏洞扫描 利用第三方专业工具,对关键主机及网络进行漏洞扫描,识别潜在的安全隐患和漏洞。 表 1 典型审核方法 华为云根据上述审核方法对“3CS”体系在组织内部的执行现状进行了评估,相关评估结果描述请参见第六章“3CS在 华为云的应用实践”。 28