云计算安全扩展要求（五）安全计算环境

云计算安全扩展要求

五、安全计算环境

安全计算环境针对云平台提出了安全控制扩展要求，主要对象为云平台内部的所有对象，包括网络设备、安全设备、服务器设备（物理机、虚拟机）、虚拟机镜像、虚拟机监视器、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、镜像和快照保护、数据完整性、数据保密性、数据备份与恢复、剩余信息保护。

控制点

1.

身份鉴别

云服务商依据访问者的身份信息为其赋予相应的权限，从而允许其访问相应的功能，保护资源不被非法利用。因此，身份鉴别是云计算环境的首要安全机制，也是用户进行操作、云服务商提供服务的基本前提。

a)

安全要求：当远程管理云计算平台中设备时，管理终端和云计算台之间应建立双向身份验证机制。

要求解读：认证是验证或确定用户提供的访问凭证是否有效的过程，是网络安全第一道防线。在远程管理云计算平台中的设备时，双向认证有助于保证双向安全，有效地防止重放攻击和拒绝服务攻击。双向认证能够保证终端不会被伪装的服务器攻击，云计算平台不会被非法入侵，大大地提高了云计算平台和终端设备连接的安全性。

检查方法

1.访谈系统管理员，了解在远程管理云计算平台的设备时管理终端和云计算平台之间采用的身份验证机制是怎样的。

2.核查并验证双向身份验证机制是否有效。

期望结果

1.认证方式为双向身份验证机制；

2.统一身份认证中心对接入网络的所有用户进行身份认证。

控制点

2.

访问控制

安全计算环境中的访问控制是一种基于预定模型和策略对资源访问过程进行实时控制的技术。访问控制为经过身份认证的合法用户提供所需要的、经过授权的服务，并拒绝用户的越权服务请求，访问控制除了负责对资源进行访问控制，还负责对访问控制策略的执行过程进行追踪审计。

a)

安全要求：应保证当虚拟机迁移时，访问控制策略随其迁移。

要求解读：虚拟机迁移包括不同云平台之间的迁移，以及将云平台中的服务器、应用和数据迁移至本地。若缺乏安全保障措施，则监听者不仅可能通过监听源服务器与目标服务器间的网络获得迁移过程中的全部数据，还可能修改传输的数据，植入恶意代码，从而控制虚拟机。因此，为保证虚拟机迁移安全，可以进行加密传输，或通过链路加密模式同时迁移访问控制策略，以防止未授权的访问。

检查方法

1.访谈管理员，了解是否对虚拟机进行了迁移，以及采取的迁移方式是什么。

2.检查在虚拟机迁移过程中是否已将控制策略随迁，查看迁移记录。

期望结果

能够提供虚机迁移前后安全组策略的对比截图。

b)

安全要求：应允许云服务客户设置不同虚拟机之间的访问控制策略。

要求解读：云平台在同一时间段内会承载多个或大量的的租户。若租户的虚拟机之间没有有效的访问控制策略，就可能导致虚拟机之间的非法访问、租户数据泄露等。在多租户环境下，多个用户共享计算、存储、网络等虚拟资源，若共享模块存在漏洞，租户就可能对其他租户的资源发起攻击，或者对自己的其他资源（例如虚拟机）进行攻击。因此，在云计算环境中，多个租户或同一租户的不同虚拟机应配置有效的访问控制策略。

检查方法

1.访谈系统管理员，了解在不同虚拟机之间是否允许配置访问控制策略。

2.核查访问控制策略是否真实、有效。

期望结果

能够提供安全组、云防火墙的访问控制策略。

控制点

3.

入侵防范

入侵防范是一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。安全计算环境层面的入侵防范是指计算环境受到危害之前对入侵行为进行拦截和响应，对虚拟网路、虚拟机进行实时监测和保护，从而提升安全防护能力。

a)

安全要求：应能检测虚拟机间的资源隔离失效，并进行告警。

要求解读：虚拟机和宿主机共享资源。若虚拟机间的资源（CPU、内存和存储空间）隔离失效，云服务商未采取相应的措施检测恶意行为且没有告警措施，就可能导致虚拟机非法占用资源，使其他虚拟机无法正常运行。因此，应对虚拟机间的资源隔离进行实时监控，并在检测到异常情况时进行告警，从而降低虚拟机出现异常的可能性。

检查方法

1.访谈系统管理员，了解对虚拟机资源采取的隔离措施。

2.核查是否已对虚拟机资源进行监控，是否能够检测到虚拟机资源隔离失效的状况并进行告警。

期望结果

能够提供虚拟机资源监控、隔离措施，以及入侵告警方式和记录。

b)

安全要求：应能检测非授权新建虚拟机或者重新启用虚拟机，并进行告警。

要求解读：规范虚拟机的管理操作，可以强化虚拟化环境的安全性。所有的虚拟机新建或重启操作都应由系统管理员来进行。若某些用户（例如开发人员、测试人员）需要重启虚拟机，则应通过系统管理员进行操作或授权。为避免和及时发现虚拟机的非授权创建或重启操作，应对所有虚拟机的运行状态进行检测，并提供异常告警机制。

检查方法

1.核查非授权用户是否有权限新建或重启虚拟机（应为否）。

2.访谈管理员，了解是否已采取相关措施对虚拟机新建或重启操作进行监视，并对虚拟机新建或重启行为进行安全审计。

3.核查安全监视工具是否能对虚拟机新建或重启等操作进行告警。

期望结果

能够提供新建或重启虚拟机的授权机制，已部署安全监视工具对新建或重启虚拟机等操作进行监视、审计，能够提供违规启停客户虚拟机的数据安全审计记录，能够提供告警方式及相关记录。

c)

安全要求：应能够检测恶意代码感染及在虚拟机间蔓延的情况，并进行告警。

要求解读：感染恶意代码可能导致虚拟机无法正常运行或被非法利用。虚拟机被非法利用后，可能被当成跳板机，若未采取有效的虚拟机隔离措施，则可能导致恶意代码在宿主机或虚拟机之间蔓延，从而破坏整个云环境。因此，应对整个云平台进行恶意代码检测，防止恶意代码入侵，并对恶意代码的感染和蔓延情况进行监测、报警，从而有效降低恶意代码感染的风险和损失。

检查方法

1.核查是否部署了用于对虚拟机进行恶意代码进行检测、告警的安全产品或服务。

2.核查是否已采取虚拟机隔离或其他技术手段有效防止病毒蔓延至整个云环境。

3.核查是否已采用相关安全措施检测恶意代码在虚拟机之间的蔓延并进行告警。

期望结果

部署了能对恶意代码感染及蔓延情况进行检测、记录、分析、告警的安全防护产品。

控制点

4.

镜像和快照保护

镜像是云服务器（ECS）实例运行环境的模板，一般包括操作系统和预装软件。快照是指在某一时间点上某个磁盘的数据备份。当用户目标数据源损坏或数据丢失时，镜像可用于迅速恢复所有数据，快照可用于恢复到最近的一个快照上。因此，对镜像和快照的保护，能够保证业务的连续性。

a)

安全要求：应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务。

要求解读：应进行操作系统安全加固，关闭非必要的端口、协议和服务，减少系统的攻击面。在云环境中，所有的操作系统均需进行安全加固处理，操作系统仅提供必要的端口、协议和服务以满足业务需求。防恶意代码软件、文件完整性监控机制、日志记录均应作为基本的操作系统加固需求。通过安全加固，可提升服务器的安全性，防御外来用户和木马病毒对服务器的攻击，保护云平台和云用户的安全。应基于业内最佳实践，参考国际标准规范，形成操作系统安全加固指南或手册，应用到镜像或操作系统中，并及时对访问权限进行限制。

检查方法

1.核查云服务商是否提供了操作系统安全加固基线或相关安全加固服务。

2.核查安全加固基线是否合规，是否定期对安全加固基线进行更新。

期望结果

云服务商能够提供经过加固的操作系统镜像。

b)

安全要求：应提供虚拟机镜像、快照完整性校验功能，防止虚拟机镜像被恶意篡改。

要求解读：虚拟机镜像、快照，无论是在静止状态，还是在运行状态，都有被窃取、篡改或替换的危险，攻击者可能是黑客，也可能是云服务商的员工。若虚拟机镜像、快照的完整性无法得到保证，就可能面临非法篡改、恶意代码植入、安全合规配置非授权更改等问题，使系统在虚拟机部署和运行时遭受攻击。虚拟机镜像、快照的完整性主要通过哈希校验的方式实现，一旦发生变化，哈希值就会改变。因此，应在使用虚拟机镜像或快照前进行完整性校验，以保证其未遭受非授权的更改。在对虚拟机进行补丁更新或安全配置更改时，都应进行审计记录并报警。一旦得到虚拟机镜像、快照的完整性验证结果，应立即通过短信、电子邮件等方式告知用户。

检查方法

1.核查是否已对通过快照功能生成的镜像文件或快照文件进行完整性校验，是否有严格的校验记录机制来防止虚拟机镜像或快照被恶意篡改。

2.测试验证是否能够对镜像、快照进行完整性验证。

期望结果

已提供ECS、虚拟机镜像和快照的完整性校验机制，并有相关的记录和结果。

c)

安全要求：应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。

要求解读：数据加密技术是最基本的安全技术，被誉为信息安全的核心。如果采用密码技术将信息转换为密文，那么在存储或传输过程中，即使密文被非授权人员获得，也可以保证信息不为非授权人员所知。采用密码技术对虚拟机镜像、快照进行加密，可有效保证镜像、快照中的敏感数据的安全性。此外，通过访问控制的方式限制用户对虚拟机镜像、快照的非法访问，也可以保证其安全性。

检查方法

1.核查是否已对虚拟机镜像、快照进行加密以及采用何种加密技术。

2.核查是否采用访问控制或其他措施对虚拟机镜像、快照进行保护。

期望结果

1. 已采用加密技术对虚拟机镜像、快照进行加密。
2. 已通过访问控制的方式限制虚拟机镜像、快照被非法访问。

控制点

5.

数据完整性和保密性

数据完整性要求数据不会受到各种原因造成的破坏，数据保密性要求数据不被泄露给未授权的用户。云计算环境中，用户大量数据集中在云中，存储设备是共享的。因此，保证数据安全的基本目标就是要确保数据的安全属性，即完整性、保密性和可用性。

a)

安全要求：应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定。

要求解读：《网络安全法》第三十七条规定，基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。为满足《网络安全法》的要求，云服务商提供的存储机制应保证云服务客户数据、用户个人信息等存储于中国境内；若需出境，则应当符合国家的相关规定。

检查方法

1.查阅相关文档，了解云服务客户数据的存储方式，核查用于存储客户业务数据、用户个人信息等的服务器节点及与其存储相关的设备是否部署在中国境内的机房中。

2.核查客户业务数据、用户个人信息等数据是否存在出境的情况，是否依据国家相关规定制定了数据出境的规定。

期望结果

1.机房部署及数据存储位置均位于中国境内。

2.制定了云上数据出境的相关规定且内容符合国家相关要求。

b)

安全要求：应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限。

要求解读：为避免云客户数据被非法访问，应对数据的管理权限进行控制，仅允许云服务客户管理员访问。若其他用户（云服务商或第三方用户）需对数据进行管理，必须由云服务客户进行授权。

检查方法

1.核查云服务客户的数据访问授权机制，例如授权流程、授权方式及授权内容。

2.核查云计算平台是否有云服务客户数据的管理权限，以及是否具有相关的授权证明。

期望结果

云服务客户根据根账户创建子账号供云服务商或第三方使用，云服务客户可以对子账号进行授权和收回。

c)

安全要求：应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施。

要求解读：为确保虚拟机迁移后业务能够正常切换和迅速运行，必须确保数据在迁移过程中的完整性。因此，云服务商应对迁移过程中的数据提供完整性校验措施或手段，并在发现数据完整性遭到破坏时提供恢复措施，以保证迁移后虚拟机的正常运行。

检查方法

1.核查在虚拟机迁移过程中是否使用了校验码或密码技术。

2.测试验证所使用的校验码或密码技术是否能够保证数据在迁移过程中的完整性。

3.核查是否能在数据完整性受到破坏时提供相应的恢复手段以保证业务正常运行。

期望结果

云服务商提供的虚拟机迁移技术，能保证迁移过程通过密码机加密传输、实现源机与目标机的数据同步及业务的正常切换。

d)

安全要求：应支持云服务客户部署密钥管理解决方案，保证云服务客户自行实现数据的加解密过程。

要求解读：在云计算环境中，云服务商和和用户对密钥管理系统具有不同的所有权和控制权。在云服务中，数据的所有权属于云服务客户，而数据保存在由云服务商控制的存储资源内。为保证云用户数据的机密性，云服务客户可自行部署或采用云服务商提供的密钥管理解决方案实现数据加解密。云服务商应支持云客户部署密钥管理解决方案，保证云服务客户能够自行实现数据的加解密过程。

检查方法

1.核查云服务客户是否已部署密钥管理解决方案。

2.核查云服商为云服务客户提供的密钥管理解决方案。

3.查阅密钥管理解决方案的相关文档，核查部署的密钥解决管理方案是否能够保证云服务客户自行实现数据的加解密过程。

期望结果

云服务商或云服务客户部署了经国家密码管理局检测认证的硬件加密机，云服务客户借助此服务实现对加密密钥的完全控制及数据加解密操作。

控制点

6.

数据备份与恢复

数据丢失会对客户业务造成重大影响，在云服务中，用户数据存储在云中，会增加用户对这一安全问题的忧虑。数据的丢失，后果可能是灾难性的，甚至引发社会工程学问题。因此，在云计算环境中，数据备份恢复尤为重要。数据能否快速恢复关系到企业业务能否正常运行。为避免数据无法及时恢复给企业带来的损失，不仅需要定期备份数据，还需进行定期进行数据恢复演练。

a)

安全要求：云服务客户应在本地保存其业务数据的备份。

要求解读：在云服务中，大部分用户数据存储在云中，存在一定的安全风险。因此，云用户（租户）应将业务数据备份保存在本地，以防止数据意外丢失。

检查方法

1.核查云服务商是否支持云服务客户将数据备份保存在本地。

2.核查云服务客户是否已在本地保存业务数据备份。

期望结果

1. 云服务商能够提供支持云客户将数据备份保存在本地的开放API的说明。

2. 云服务商支持云服务客户在本地保存业务数据备份和进行转存，并有数据备份的相关记录。

b)

安全要求：应提供查询云服务客户数据及备份存储位置的能力。

要求解读：在云环境中，大量用户数据存储在不同的物理位置，供应用程序及操作系统使用。在公有云、私有云、混合云中，数据都可能发生移动，其存储地点可能位于同一数据中心的不同服务器或不同的数据中心。因此，云服务商应为云服务客户提供数据及备份存储位置查询服务。

检查方法

1.核查云服务商是否提供了查询数据及备份存储位置的接口。

2.测试验证是否能够查询用户数据及备份的储存位置。

期望结果

1. 能够提供ECS查询实例所在物理机房的截图。

2. 能够提供RDS（关系型数据库服务）查询实例所在宿主机的机房位置的截图

3. 能够提供OSS（运营支撑系统）查询Buket所在服务器和资产系统查询此服务器所在机房地址的说明。

c)

安全要求：云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本，各副本之间的内容应保持一致。

要求解读：云服务商为云服务客户提供云存储服务模式对用户数据进行备份，并将多个副本存在不同的服务节点。为降低成本，云服务商可能会减少数据备份量。网络攻击则可能使多副本出现数据不一致的问题。为了确保备份数据的可用性、正确性和一致性，应定期核查数据是否由多个副本存储，并对多个副本数据的完整性进行检测，确保各副本数据的完整性和一致性。

检查方法

1.核查云服务商为云服务客户提供的云存储模式是否由多个副本存储，以及各副本是否均可用。

2.核查是否对多个副本进行了一致性比对，以及是否有比对记录。

期望结果

有云服务商提供的数据存储说明，以及副本一致性比对机制及比对记录和结果。

d)

安全要求：应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段，并协助完成迁移过程。

要求解读：云服务商应为云服务客户提供迁移服务，以保证云服务客户的业务系统和有关数据能够迁移到新的服务器上正常运行。云服务商应为云服务客户提供迁移全程协助，保证迁移活动顺利完成，确保数据在迁移过程中的完整性。

检查方法

1.核查云服务商是否支持云服务客户业务系统及数据的迁移，以及云服务商是否为云服务客户完成迁移提供了帮助。

2.核查云服务商提供的迁移措施和手段。

期望结果

有关于迁移服务的说明及对云服务商所提供的协助的说明。

控制点

7.

剩余信息保护

剩余信息是指云计算资源的残余信息，其保护是指确保任何资源的任何残余信息内容在资源分配或释放时对于所有的客体都是不可再利用的。应及时对剩余信息进行清除，以防止对剩余信息的未授权使用与访问。

a)

安全要求：应保证虚拟机所使用的内存和存储空间回收时得到完全清除。

要求解读：当用户退出云服务时，用户释放内存和存储空间后，云服务商需要彻底删除用户的数据，避免发生数据残留。数据残留是指存储介质中的数据被删除后，并未彻底清除，在存储介质中留下了数据存储的痕迹。残留的数据信息可能被攻击者非法获取，造成严重损失。一般来说，在数据销毁时可以采用覆盖、消磁、物理破坏等方法。云服务商应保证用户虚拟机释放的内存和存储空间中的数据被完全删除并采用完全清除机制。

检查方法

1.核查在迁移或删除虚拟机后回收内存和存储空间时采用的删除机制是否能够完全清除数据。

2.核查内存清零机制、数据删除机制，检测其是否能够实现数据的完全清除。

期望结果

各云租户之间的内存和持久化存储空间相对独立，当云租户释放资源时能够被释放和清除（内部系统鉴别信息被完全清除），当物理硬盘报废时使用随机数据多次写入的方法进行数据写入和清除。曾经存储过用户数据的内存和磁盘一旦被释放和回收，其上的残留信息将被自动填零覆盖，释放的存储空间由分布式文件系统回收，禁止任何用户访问，并在被再次使用前进行内容擦除，从而最大限度保证用户数据的安全性。

b)

安全要求：云服务客户删除业务应用数据时，云计算平台应将云存储中所有副本删除。

要求解读：为防止业务数据意外丢失，云客户业务数据在云上一般采用多副本的方式存储。当云服务客户删除业务数据时，应采取数据清除机制将云存储中的所有副本删除。

检查方法

核查云服务客户在删除业务数据时采用的删除机制是否能够将云存储中的所有副本删除。

期望结果

删除机制能够保证云服务客户的业务数据被删除时云存储中的所有副本都被删除。