云计算安全扩展要求
四、安全区域边界
尽管云计算环境具有无边界性、分布式的特性,但每一个云数据中心的服务器仍然是局部规模化集中部署的。通过对每个云数据中心分别进行安全防护,可以实现云基础设施边界安全。通过在云计算服务的关键节点和服务入口处实施重点防护,可以实现从局部到整体的严密联防。
安全区域边界针对云计算环境物理网络边界和虚拟网络边界提出了安全控制扩展要求,主要对象为物理网络边界、虚拟网络边界等;涉及的安全控制点包括访问控制、入侵防范和安全审计。
控制点
1.
访问控制
安全区域边界侧的访问控制是指通过技术措施防止越过网络安全边界进行未授权的访问,确保通过网络边界的访问都是合法访问。在云计算网络边界安全方面,访问控制主要是通过在网络边界及各网络区域间部署访问控制设备(如VPC、云防火墙、边界防火墙等),在访问控制设备上制定特定的访问控制策略,依据策略执行连接操作来实现。
a)
安全要求:应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
要求解读:位于云平台边界外、云平台缺乏或缺失控制和管理的网络环境,被认为是不可信网络,与之对应的是云平台所管理和控制的内部可信网络,在可信与不可信网络间实施有效的安全控制,对于网络安全来说至关重要。通常使用虚拟防火墙进行可信与不可信网络间的连接控制,通过防火墙的访问控制策略配置,仅允许必要的流量通过,而其他流量均被禁止。虚拟网络边界主要包括云计算平台和云服务客户业务系统虚拟网络边界、不同云服务客户间的网络访问边界、云服务客户不同安全保护等级业务系统间的网络边界。可以防止攻击者通过未授权的IP地址访问可信网络,或者以未授权的方式访问服务、协议或端口。
检查方法
1.了解云计算平台的虚拟网络边界采用的访问控制机制,并核查访问控制规则;
2.核查并测试验证访问控制规则是否有效。
期望结果
1.通过VPC设置访问控制规则,安全组能够实现灵活的访问控制规则;
2.云防火墙提供了针对应用层访问的检测能力,内置威胁入侵防御模块(IPS),支持失陷主机检测、主动外联行为阻断、业务间访问关系可视,集中管理EIP,支持基于IP和端口的访问控制,支持基于域名和应用的策略。
b)
安全要求:应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
要求解读:云平台边界、云平台内网络区域边界、云服务客户不同业务边界将网络划分为不同等级的安全域,结合边界访问控制技术可以实现整个系统的纵深防御,可以降低未授权访问或运行环境变更的风险。因此应在不同等级的网络区域边界部署访问控制设备,设置访问控制规则。
检查方法
1.查阅网络拓扑图,核查网络安全区域划分情况;
2.核查各网络区域边界采用的安全控制机制,查看访问控制列表;
3.核查访问控制规则是否有效,测试验证是否能够拒绝不同区域间的非法访问。
期望结果
1. 在不同等级的网络区域边界部署了边界防火墙、云防火墙和VPC,并且设置了访问控制规则。2. 在云平台的内部采用VPC进行隔离,在VPC之间通过云防火墙实现了东西向流量的隔离。
控制点
2.
入侵防范
入侵防范技术可以保障网络环境的安全,入侵检测技术是一种积极主动的安全防护技术,能够及时发现各种攻击企图、攻击行为或攻击后果,以保证网络系统资源的机密性、完整性和可用性,入侵检测技术应用于云计算环境中,能够为云计算的安全性和可靠性提供强大的保护。
a)
安全要求:应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
要求解读:云平台应能够对云服务客户端发起的访问进行入口流量镜像分析,对东西向、南北向的攻击行为进行深入分析,并结合相关的云安全产品对异常流量进行处理,记录攻击类型、攻击时间、攻击流量等。
检查方法
1.访谈云服务商,了解云平台是否已采取入侵防范措施(如部署抗APT攻击系统、网络回溯系统、网络入侵保护系统等入侵防范设备或相关组件),是否能够对云服务客户发起的网络攻击行为进行检测和报警。
2.检查相关入侵检测产品规则库的更新是否及时,对异常流量和未知威胁的监控策略、报警策略是否有效。
3.检查相关入侵检测产品的技术白皮书及销售许可证。
期望结果
1.云平台部署了流量安全监控设备,能通过对云入口镜像流量包的深度解析实时检测各种攻击和异常行为。
2.在虚拟机层面,部署了防恶意代码软件(如阿里云安骑士)进行基线检查,已对恶意文件进行扫描、对恶意进程进行查杀,提供了入侵检测功能,规则库定期更新。
3.部署了主机入侵检测系统,能实时检测云环境中的所有物理服务器主机,并能及时发现文件篡改、异常进程、网络连接异常、可疑端口监听等情况,规则库定期更新。
4.部署了态势感知系统,能从攻击者的角度有效地捕捉高级攻击者使用的0Day及新型病毒攻击事件,展示正在发生的攻击行为,实现了业务安全的可视化和可感知,解决了因网络攻击导致的数据泄露问题,并能通过溯源服务追踪攻击者的身份。
b)
安全要求:应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等。
要求解读:在云计算服务的关键节点(例如虚拟网络节点的出入口)实施安全防护,部署应用层防火墙、入侵检测和防御设备、流量清洗设备(提升对网络攻击防范能力),对虚拟网络节点的网络攻击行为进行检测,并记录攻击类型、攻击时间、攻击流量等。
检查方法
1.检查是否部署了网络攻击行为检测设备,或者相关组件能否对虚拟网络节点的网络攻击行为进行防范,是否能记录了攻击类型、攻击时间、攻击流量等。
2.检查网络攻击行为检测设备或相关组件的规则库是否为最新版本。
3.测试验证网络攻击行为检测设备或相关组件对异常流量和未知威胁的监控策略是否有效。
期望结果
1.能够通过部署的流量安全监控设备对云入口镜像流量包进行深度解析,实时检测各种攻击和异常行为。
2.部署了入侵检测设备并有相关攻击行为的原始日志,当检测到攻击行为时能在本地生成告警日志并将其保存至日志服务(Log Service)。
c)
安全要求:应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。
要求解读:为避免异常流量影响虚拟机与宿主机的正常运行,及虚拟机与宿主机、虚拟机与虚拟机间的通信,应部署流量监测设备、入侵防护系统等,对虚拟机与宿主机、虚拟机与虚拟机之间的流量进行实时监测。
检查方法
1.了解云计算平台是否具备虚拟机与宿主机、虚拟机与虚拟机之间的异常流量监测功能;
2.查看异常流量的监测策略,测试验证对异常流量的监测策略是否有效。
期望结果
虚拟机与虚拟机之间通过云防火墙,虚拟机与宿主机之间通过流量安全监控系统对流量进行监测,在发现异常流量时能进行告警,并将告警日志同步到日志管理平台进行统一分析。
d)
安全要求:应在检测到网络攻击行为、异常流量情况时进行告警。
要求解读:应部署流量监测设备、入侵防护系统等对网络流量进行分析、检测,在检测到网络攻击行为、异常流量时提供告警机制,及时告知相关人员,避免网络攻击行为、异常流量影响系统的正常运行。
检查方法
1.检查网络入侵检测设备有哪些。
2.检查在检测到网络攻击行为、异常流量时是否能进行告警,查看相关告警记录。
3.测试验证异常流量监测策略是否有效。
期望结果
1.流量安全监控系统具备相关告警功能,包括本地日志告警、短信告警、邮件告警等。
2.主机入侵检测系统能实时检测云环境中的所有物理服务器主机,及时发现文件篡改、异常进程、异常网络连接、可疑端口监听等行为。
3.云防火墙通过流量的可视化来甄别出端口滥用情况、协助甄别流量是否安全,在检测到异常情况时可以进行短信或邮件告警。
控制点
3.
安全审计
在云计算环境下,建立完善的日志系统和审计系统,可以实现对资源分配、角色授权、角色登录后的操作行为的审计,提高系统对安全事故的审查和恢复能力。
a)
安全要求:应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
要求解读:特权命令的操作可能超越系统、实体、网络、虚拟机和应用的控制,因而,针对特权命令,应对其执行进行严格控制,对其使用加以限制并严格控制,对其操作进行审计,防止出现滥用特权命令的情况。
检查方法
1.了解是否已对特权命令的执行进行授权,是否已部署审计工具对云服务商和云服务客户执行特权命令的行为进行审计。
2.核查审计记录是否有效,以及审计记录是否包括虚拟机删除、虚拟机重启。
3.测试验证删除或重启测试虚拟机的行为是否能够被审计。
期望结果
能够提供完整的审计回放和权限控制服务,能够对操作过程进行实时监控,支持以切断操作会话的方式阻断违规操作等异常行为。
b)
安全要求:应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
要求解读:云服务商应在云服务客户授权后才能够访问云服务客户的系统和数据。为避免云服务商的恶意访问,规避和及时发现违规操作,云服务客户应对云服务商的操作行为进行审计。
检查方法
1.访谈云服务商,了解其是否能访问云服务客户的系统和数据。
2.了解是否采取了相关的审计机制,以及是否能够记录云服务商对云服务客户的系统和数据的操作,并核查审计记录的有效性。
期望结果
如果云服务商要对云服务客户的系统进行操作,就需要提交工单并使用云服务客户提供的账户,且相关操作行为能够通过云服务客户的管理平台进行审计。