摘要：針對等保2.0的新變化，結合下一代云計算的發(fā)展趨勢，指出云計算環(huán)境下開(kāi)展安全工作的優(yōu)勢及挑戰。本文著(zhù)重分析IaaS、PaaS和SaaS三種服務(wù)模式面臨的主要威脅，詳細闡述了云平臺風(fēng)險評估流程，該流程在傳統風(fēng)險評估的基礎上，融入云平臺特有的資產(chǎn)、威脅和脆弱性，能夠很好地覆蓋云平臺存在的風(fēng)險。最后，對典型的幾種評估方法提出相關(guān)建議。

關(guān)鍵詞：信息安全 云計算 風(fēng)險評估

1.1 云計算發(fā)展趨勢

近幾年虛擬化、容器、邊緣計算、人工智能和區塊鏈得到快速發(fā)展，混合云、異構云、邊緣云等逐漸興起。通過(guò)融合這些新興技術(shù)，云平臺將變得更富彈性、更綠色、更可信和可靠。對于云服務(wù)來(lái)說(shuō)，隨取隨用、按需使用、簡(jiǎn)單易用將是云應用的未來(lái)。

1.2 云安全優(yōu)勢及挑戰

計算環(huán)境：相比于傳統計算中心，云計算平臺的結構更加一致。同構的設施平臺能更好地支持安全管理活動(dòng)的自動(dòng)化。同時(shí)，安全響應活動(dòng)也可從一致、同構的云基礎設施獲益，如容錯管理、系統維護。但云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權和商業(yè)秘密，客戶(hù)在缺乏必要的知情權的情況下，難以了解和掌握云服務(wù)商安全措施的實(shí)施情況和運行狀態(tài)，不能有效監管云服務(wù)商的內部人員對租戶(hù)數據的非授權訪(fǎng)問(wèn)和使用。

資源可用性：基于云計算環(huán)境的冗余能力、可拓展性可以更好地應對彈性伸縮需求或分布式拒絕服務(wù)攻擊。然而可用性高意味著(zhù)需要投入更多的網(wǎng)絡(luò )和計算資源，這也就暴露了更多的風(fēng)險面。

備份和恢復：云提供商的備份和恢復策略、規程可能優(yōu)于用戶(hù)機構并具備更高的魯棒性，能夠從嚴重事件中快速恢復。然而當一個(gè)資源存在多個(gè)副本時(shí)，各個(gè)副本內容的一致性和剩余信息保護方面難以得到保證。

移動(dòng)端點(diǎn)：云解決方案的體系結構擴展到了位于服務(wù)端點(diǎn)的云客戶(hù)端處，為移動(dòng)辦公人員帶來(lái)更高的生產(chǎn)效率。需要注意的是，移動(dòng)設備需要進(jìn)行正確的設置和保護，包括限制在其上可以保留的數據類(lèi)型。

數據集中：公有云環(huán)境下的數據維護和處理減少了移動(dòng)工作人員使用便攜式計算機、嵌入式設備、移動(dòng)存儲進(jìn)行傳播的風(fēng)險以及因設備失竊、丟失帶來(lái)的風(fēng)險。但云服務(wù)商如果沒(méi)有采取足夠的安全措施，將面臨數據泄漏和被篡改的安全風(fēng)險。

1.3 等保2.0中的新變化

與等保1.0的標準體系相比，等保2.0在適用性、時(shí)效性、易用性、可操作性上得到進(jìn)一步擴充和完善，以適應云計算、物聯(lián)網(wǎng)、工業(yè)控制系統等新技術(shù)的發(fā)展。表1給出了等保2.0發(fā)生的重要變化。

2.1 IaaS面臨的主要威脅

采用IaaS服務(wù)時(shí)，客戶(hù)可以用鏡像模板來(lái)創(chuàng )建虛擬機實(shí)例，并在虛擬機上部署自己的應用軟件?？蛻?hù)不需要負責底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負責實(shí)施外，位于其他層的安全措施由客戶(hù)負責實(shí)施，需要對這些安全措施實(shí)施有效監管。

2.1.1 鏡像篡改

通過(guò)鏡像開(kāi)通云主機，即可獲得一致的系統環(huán)境或軟件，從而避免復雜的配置過(guò)程，但如果該鏡像被惡意篡改，如被植入病毒，那么后續基于此鏡像創(chuàng )建的云主機都會(huì )遭到破壞。

2.1.3 虛擬機隔離

云計算平臺是一個(gè)多租戶(hù)共享的平臺，如果隔離機制控制不足，具有利害關(guān)系的租戶(hù)的虛擬機之間可能相互干擾，甚至存在越權訪(fǎng)問(wèn)。圖1中使用了虛擬防火墻來(lái)隔離虛機，若防火墻失效或存在缺陷，有可能給租戶(hù)造成損失。

2.1.4 資源遷移

在虛擬環(huán)境中，虛擬機的遷移很常見(jiàn)。遷移虛擬機時(shí)，vSwitch（虛擬交換機）中對VM的引流策略以及相關(guān)的安全策略要能夠自動(dòng)遷移到新主機，確保VM安全防護不因遷移而發(fā)生變化，如圖2所示。在虛擬資源遷移過(guò)程中，還需要采取校驗或密碼技術(shù)等措施保證虛擬資源數據的完整性，并在檢測到完整性受到破壞時(shí)也應該采取必要的恢復措施。

2.1.5 虛擬機逃逸

云計算底層是虛擬化系統，虛擬機的安全防護幾乎關(guān)乎整個(gè)云平臺安全的穩定運行。攻擊者可以利用虛擬化平臺漏洞突破虛擬機自身的限制，獲取宿主機操作系統的最高權限，最后感染宿主機或者在宿主機上運行惡意軟件,如圖3所示。

2.1.6 主機越權

提供虛擬資源的主機上通常存在管理組件，如Hypervisor，這些組件可以說(shuō)是當前虛擬化的核心。由于它們可以協(xié)調各種硬件資源的分配，因此它的權限非常之大。云服務(wù)商也可能會(huì )使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，造成云計算平臺復雜且動(dòng)態(tài)變化。隨著(zhù)復雜性的增加，云計算平臺實(shí)施有效的數據保護措施更加困難，客戶(hù)數據被未授權訪(fǎng)問(wèn)、篡改、泄露和丟失的風(fēng)險增大。如果管理組件或主機操作系統被攻擊，則運行在虛擬化組件之上的所有虛擬資源都會(huì )被波及。

2.2 PaaS面臨的主要威脅

利用PaaS來(lái)開(kāi)發(fā)和部署自己的軟件，需要對應用的運行環(huán)境進(jìn)行配置，控制自己部署的應用?？蛻?hù)需要對自己部署、自己使用的系統和應用負責，制定相應的安全策略，實(shí)施必要的安全措施。

2.2.1 鏡像篡改

目前Docker Hub上的鏡像很多都存在安全漏洞，包含廣泛使用的mysql、redis、nginx鏡像等，而很多企業(yè)都是基于這些鏡像構造自己的鏡像庫?？梢哉f(shuō)目前正在被企業(yè)使用的鏡像中很多是存在安全問(wèn)題的。

2.2.2 容器逃逸

容器云平臺目前基本以Docker 容器和kubernetes 容器編排為主。由于Docker 容器與宿主機共享內核、文件系統等資源，Docker 本身的隔離性不如虛擬機主機完善，因此如果Docker 自身出現漏洞，可能會(huì )波及問(wèn)題容器所在的宿主機，由于Docker 容器所在的宿主機上可能存在當前租戶(hù)的其他容器，也可能存在其他租戶(hù)的容器，所以問(wèn)題最終可能會(huì )影響到其他的容器。

2.3 SaaS面臨的主要威脅

SaaS是采用先進(jìn)技術(shù)上云的最好途徑，它消除了企業(yè)購買(mǎi)、構建和維護基礎設施和應用程序的需要。但隨著(zhù)SaaS的日益普遍，關(guān)于SaaS的安全問(wèn)題也隨之而來(lái)。以下幾個(gè)方面是saas主要的安全問(wèn)題。

2.3.1 存儲數據泄露

在SaaS模式，企業(yè)數據存儲在SaaS供應商的數據中心。因此，SaaS企業(yè)應采取措施保障數據安全，防止由于應用程序漏洞或者惡意特權用戶(hù)泄漏敏感信息。在一個(gè)多租戶(hù)SaaS的部署中，多個(gè)企業(yè)的數據可能會(huì )保存在相同的存儲位置，也會(huì )出現數據泄露問(wèn)題。

2.3.2 傳輸數據泄露

在SaaS的部署模式中，企業(yè)和SaaS提供商之間的數據流在傳輸過(guò)程中必須得到保護，以防止敏感信息外泄。

2.3.3 鑒別信息泄露

一個(gè)SaaS供應商可以提供完整的IAM和登錄服務(wù)。在這種情況下，用戶(hù)的信息、密碼等，都保留在SaaS供應商的網(wǎng)站，因此應該安全地存儲和處理。

為了確?？蛻?hù)實(shí)施的安全措施安全有效，客戶(hù)可自行或委托第三方評估機構對自己實(shí)施的安全策略進(jìn)行評估。

目前，國內外多個(gè)標準化組織和機構都在開(kāi)展云計算安全標準化工作，除此之外，各國也開(kāi)展了云安全管理和合規方面的工作。下圖給出了國內外在云安全標準方面的成果。

3.2 云平臺風(fēng)險評估

3.3.2 評估框架

云計算平臺安全風(fēng)險評估關(guān)注云計算平臺業(yè)務(wù)層面的風(fēng)險，其評估對象為云服務(wù)業(yè)務(wù)流程涉及的組件及設備，評估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統層面的數據流、數據處理活動(dòng)及其關(guān)聯(lián)關(guān)系。云平臺風(fēng)險評估的框架如下圖5所示。

評估過(guò)程覆蓋了基礎設施、虛擬化控制、管理平臺和安全防護等多種類(lèi)型的對象，針對多種指標進(jìn)行綜合風(fēng)險分析，并且在監管、業(yè)務(wù)和客戶(hù)的要求下做出相應的調整。 

a.資產(chǎn)識別

云平臺安全風(fēng)險評估不僅要識別云服務(wù)商自身資產(chǎn)，還需要識別云服務(wù)客戶(hù)業(yè)務(wù)數據資產(chǎn)，識別過(guò)程中，宜統計所有的信息資產(chǎn)，但可以根據云平臺的安全目標確定資產(chǎn)識別的細度。下表2是云平臺安全風(fēng)險評估中需要重點(diǎn)考慮的客戶(hù)資產(chǎn)^[3]。

b.威脅識別

首先，云計算平臺是一個(gè)共享的平臺，在云計算平臺上傳送惡意程序、垃圾數據等，比在傳統的系統上更具有危害性：其傳播速度更快、傳播范圍更廣，會(huì )產(chǎn)生更大、更嚴重的社會(huì )影響。其次，云計算平臺比以往任何一種計算機系統的規模都要大得多，其平均使用成本更低、部署時(shí)間更短，很容易被心懷惡意的人在短時(shí)間內大規模采購并部署，作為僵尸網(wǎng)絡(luò )、拒絕服務(wù)攻擊等的平臺，這將會(huì )產(chǎn)生更加嚴重的后果與影響。同時(shí)，由于云計算平臺的分布式結構，攻擊者在實(shí)施攻擊后更容易逃避安全監管，這為日后的追責帶來(lái)了困難。

c.脆弱性識別

脆弱性識別的依據需要結合國內外安全標準、行業(yè)規范、應用流程的安全要求，主要從技術(shù)和管理兩個(gè)方面進(jìn)行，表3給出了云平臺典型的脆弱性^[3]。技術(shù)脆弱性涉及網(wǎng)絡(luò )、人員、服務(wù)和數據等各個(gè)層面的安全問(wèn)題。對應用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴重程度是不同的，宜從組織云服務(wù)安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴重程度。

d.已有安全措施的確認

可按照服務(wù)模式、安全需求、運行監管、災難恢復能力和合同等方面來(lái)確認已有的安全防護手段，如下圖所示。

3.3.3 云安全評估方法的特殊性

在對云平臺開(kāi)展風(fēng)險評估工作時(shí)，需要結合多種評估方法，比如配置檢查、漏洞掃描，但云平臺引入了更多的有價(jià)值的資源，且與租戶(hù)存在服務(wù)水平約定，所以一些評估方法要結合云計算的特征做出調整，下圖展示了四種常見(jiàn)評估方法應該涉及的內容。

a.問(wèn)卷調查

調查問(wèn)卷是提供一套關(guān)于管理和操作控制的問(wèn)題表格，供系統技術(shù)或管理人員填寫(xiě)。問(wèn)卷應該包括組織的業(yè)務(wù)戰略、安全需求、管理制度、系統和數據的敏感性、系統規模和結構等方面的內容。

b.顧問(wèn)訪(fǎng)談

現場(chǎng)訪(fǎng)談是由評估人員到現場(chǎng)訪(fǎng)談系統技術(shù)或管理人員并收集系統在物理、環(huán)境和操作方面的信息。訪(fǎng)談內容至少應該包括：是否有數據存儲完整性檢測的設計；是否有清除數據副本的手段和措施；詢(xún)問(wèn)對持續大流量攻擊進(jìn)行識別、報警和阻斷的能力，是否有專(zhuān)門(mén)的設備對網(wǎng)絡(luò )入侵進(jìn)行防范；詢(xún)問(wèn)虛擬機之間、虛擬機與宿主機之間隔離的手段；退出云計算服務(wù)或變更云服務(wù)商的初步方案，對客戶(hù)的相關(guān)人員進(jìn)行操作和安全培訓的方案。

c.安全滲透測試

由于基礎設施的影響，SaaS環(huán)境可能不允許進(jìn)行滲透測試，在PaaS、IaaS中允許進(jìn)行云滲透測試，但需要一定的協(xié)調。值得注意的是，合同中的SLA將決定應該允許何種類(lèi)型的測試，以及多久進(jìn)行一次測試。

d.安全漏洞掃描

云計算具備按需自助服務(wù)、無(wú)處不在的網(wǎng)絡(luò )接入、資源池、敏捷的彈性和可度量的服務(wù)這五個(gè)特征，云平臺漏洞掃描也可以按照這五個(gè)方面來(lái)進(jìn)行^[2]。

未經(jīng)授權的管理界面訪(fǎng)問(wèn)：按需自助服務(wù)云計算特性需要一個(gè)管理界面，可以向云服務(wù)的用戶(hù)開(kāi)放訪(fǎng)問(wèn)。這樣，未經(jīng)授權的管理界面訪(fǎng)問(wèn)對于云計算系統來(lái)說(shuō)就算得上是一個(gè)具有特別相關(guān)性的漏洞，可能發(fā)生未經(jīng)授權的訪(fǎng)問(wèn)的概率要遠遠高于傳統的系統，在那些系統中管理功能只有少數管理員能夠訪(fǎng)問(wèn)。

互聯(lián)網(wǎng)協(xié)議漏洞：無(wú)處不在的網(wǎng)絡(luò )接入云計算特性意味著(zhù)云服務(wù)是通過(guò)使用標準協(xié)議的網(wǎng)絡(luò )獲得訪(fǎng)問(wèn)。在大多數情況下，這個(gè)網(wǎng)絡(luò )即互聯(lián)網(wǎng)，必須被看作是不可信的。這樣一來(lái)，互聯(lián)網(wǎng)協(xié)議漏洞也就和云計算發(fā)生了關(guān)系，比如導致中間人攻擊的漏洞。

數據恢復漏洞：關(guān)于資源池和彈性的云特性意味著(zhù)分配給一個(gè)用戶(hù)的資源將有可能在稍后的時(shí)間被重新分配到不同的用戶(hù)。從而，對于內存或存儲資源來(lái)說(shuō)，有可能恢復出前面用戶(hù)寫(xiě)入的數據。

逃避計量和計費：可度量的服務(wù)云特性意味著(zhù)，任何云服務(wù)都在某一個(gè)適合服務(wù)類(lèi)型的抽象層次（如存儲，處理能力以及活躍帳戶(hù)）上具備計量能力。計量數據被用來(lái)優(yōu)化服務(wù)交付以及計費。有關(guān)漏洞包括操縱計量和計費數據，以及逃避計費。

e.安全配置檢查

為了及時(shí)發(fā)現云平臺配置風(fēng)險，云平臺配置檢查可以從身份認證、網(wǎng)絡(luò )訪(fǎng)問(wèn)控制、數據安全、日志審計、基礎安全防護五個(gè)維度進(jìn)行安全配置的檢測，相關(guān)檢查項^[4]可參考表4。

本文在對云計算發(fā)展趨勢及等保2.0的新要求進(jìn)行分析的基礎上，結合三種云計算服務(wù)模式的特點(diǎn)和傳統的信息安全風(fēng)險評估方法，對如何在云計算模式下進(jìn)行信息安全風(fēng)險評估進(jìn)行了闡述，詳細論述了云平臺安全風(fēng)險評估中對資產(chǎn)、威脅和脆弱性進(jìn)行評估時(shí)，要考慮到的一些指標。相信隨著(zhù)云計算的深入發(fā)展，國內云計算安全標準化工作的推進(jìn)，各種安全實(shí)踐會(huì )不斷成熟，將進(jìn)一步豐富云計算平臺及云服務(wù)風(fēng)險評估理論。

參考文獻：

[1] GB/T31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南

[2] E.St?cker,T.Walloschek, B.Grobauer, "Understanding Cloud ComputingVulnerabilities,"https://www.infoq.com/articles/ieee-cloud-computing-vulnerabilities/, 2011

[3] DB44/T2010-2017 云計算平臺信息安全風(fēng)險評估指南

[4] 阿里云, 云平臺配置檢查. https://help.aliyun.com/document_detail/101898.html, 2019

作者介紹：

易發(fā)波，1986.11，男，漢，湖北恩施人，咨詢(xún)服務(wù)顧問(wèn)，2016年6月畢業(yè)于電子科技大學(xué)計算機系統結構專(zhuān)業(yè)，碩士，目前從事云計算安全咨詢(xún)工作，在計算和網(wǎng)絡(luò )虛擬化方面有豐富的安全防護設計及風(fēng)險識別經(jīng)驗，當前主要研究云計算平臺安全防護檢測方法。

來(lái)源： 工控安全應急保障中心