美国云计算安全策略分析

时间:2022-04-12 03:14:00

美国云计算安全策略分析

美国联邦政府云计算安全发展过程

昆德拉上任时就承认云计算可能存在隐私泄露或其它安全隐患,但表示不能因此而错过云计算的速度和效率[3]。2009年5月召开的云计算倡议工业界峰会[2,7]上,美国产业界认识到云计算在法律法规和政策以及IT安全和隐私方面的挑战,深入讨论了云计算认证认可、访问控制和身份管理、数据和应用安全、可移植性和互操作性以及服务级别协议(SLA等。5月份的《远景分析》中指出了与新技术服务交付模型相关的风险,包括政策的变化、动态应用的实施以及动态环境的安全保障,要求建立一个项目管理办公室来实施工业界最佳实践和政府项目管理方面的政策。10月份国家标准和技术研究所(NIST在《有效安全地使用云计算范式》[8]的研究报告中分析了云计算安全的众多优势和挑战。2010年2月美国启动了政府范围的云计算解决方案的安全认证认可过程的开发[9]。8月CIOC了《联邦部门和机构使用云计算的隐私建议》[10],指出云环境下隐私风险跟法律法规、隐私数据存储位置、云服务商服务条款和隐私保护策略有关,并指出了9类风险,通过使用相关标准、签署隐私保护的补充合同条款、进行隐私门槛分析和隐私影响评估、充分考虑相关的隐私保护法律,可以有效加强云计算环境下的隐私保护。9月非盈利组织MITRE给出了《政府客户云计算SLA考虑》[11]。11月份,NIST、GSA、CIOC以及信息安全及身份管理委员会(ISIMC等组成的团队历时18个月提出了《美国政府云计算安全评估和授权建议方案》[12],该方案由云计算安全要求基线、持续监视、评估和授权三部分组成。12月,在《改革联邦信息技术管理的25点实施计划》中指出安全、互操作性、可移植性是云计算被接纳的主要障碍。2011年1月国土安全部(DHS)给出了《从安全角度看云计算:联邦IT管理者入门》[13]读本,指出了联邦面临的16项关键安全挑战:隐私、司法、调查与电子发现、数据保留、过程验证、多租户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员挑战,NIST了《公共云计算安全和隐私指南》[14]和《完全虚拟化技术安全指南》[15]。2月份的《联邦云计算战略》指出在管理云服务时要主动监视和定期评估,确保一个安全可信的环境,并做出了战略部署,包括推动联邦风险和授权管理项目(FedRAMP、DHS要每6个月或按需一个安全威胁TOP列表并给出合适的安全控制措施和方法,NIST要一些安全技术指南。2011年12月OMB了一项关于“云计算环境下信息系统安全授权”的首席信息官备忘录[16],正式设立FedRAMP项目。2012年2月成立了FedRAMP项目联合授权委员会(JAB[17]并了《FedRAMP概念框架(CONOPS》[18]、《FedRAMP安全控制措施》[19]。

美国联邦政府云计算安全策略分析

美国联邦政府在推动云计算一开始就认识到云计算安全和隐私、可移植性和互操作性是云计算被接纳的主要障碍,并给予了高度重视。美国联邦政府认为,对于云服务要实施基于风险的安全管理,在控制风险的基础上,充分利用云计算高效、快捷、利于革新等重要优势,并启动了联邦风险和授权管理项目(FedRAMP。首先,明确了云计算安全管理的政府部门角色及其职责:1联合授权委员会(JAB:成立了由国防部(DOD、DHS、GSA三方组成的联合授权委员会JAB,主要负责制定更新安全基线要求、批准第三方评估机构认可标准、设立优先顺序并评审云服务授权包、对云服务供应进行初始授权等;2FedRAMP项目管理办公室(FedRAMPPMO:设立于GSA,负责管理评估、授权、持续监视过程等,并与NIST合作实施对第三方评估组织的符合性评估;3国土安全部:主要负责监视、响应、报告安全事件,为可信互联网联接提供指南等;4各执行部门或机构:按照DHS、JAB等要求评估、授权、使用和监视云服务等,并每年4月向CIOC提供由本部门CIO和CFO签发的认证;5首席信息官委员会:负责出版和分发来自FedRAMPPMO和JAB的信息。其次,明确了FedRAMP项目相关方的角色和职责(如图1。这些角色中除了DHS、JAB、FedRAMPPMO、各执行部门或机构、CIOC外,还包括云服务商(CSP和第三方评估组织(3PAO。云服务商实现安全控制措施;创建满足FedRAMP需求的安全评估包;与第三方评估机构联系,执行初始的系统评估,以及运行中所需的评估与授权;维护连续监视项目;遵从有关变更管理和安全事件报告的联邦需求。第三方评估组织保持满足FedRAMP所需的独立性和技术优势;对CSP系统执行独立评估,并创建满足FedRAMP需求的安全评估包清单。美国联邦政府注重对云计算安全管理的顶层设计。在政策法规的指导下,以安全控制基线为基本要求,以评估和授权以及监视为管理抓手,同时提供模板、指南等协助手段,建立了云计算安全管理的立体体系(如图2。政策备忘录:OMB于2011年12月8日,为政府级云计算安全提供方向和高级框架。安全控制基线:基于NIST的SP800-53第三版中所描述的安全控制措施指南,补充和增强了控制措施,以应对云计算系统特定的安全脆弱性。FedRAMP的安全控制基线于2012年1月6号单独。运营概念(CONOPS:提供对FedRAMP的运营模型与关键过程的概述。运营模型:FedRAMP的运营模型基于OMB的政策备忘录,明确FedRAMP实现的关键组织,对各个组织运营角色与职责进行抽象描述。关键过程:指“安全评估与授权”、“第三方评估”、“正在进行的评估与授权”,它们为FedRAMP运营过程的三个主要功能。详细的模板与指南:云服务商与第三方评估组织在FedRAMP整个过程中需要这些文档模板作为文档规范。

在《推荐的联邦信息系统和组织安全措施》(sp800-53基础上,根据云计算特点,针对信息系统的不同等级(低影响级和中影响级,制定了云计算安全基线要求《FedRAMP安全控制措施》。与传统安全控制措施相比,云计算环境下需增强的安全控制措施包括:1访问控制:要求定义非用户帐户(如设备帐户的存活期限、采用基于角色的访问控制、供应商提供安全功能列表、确定系统使用通知的要素、供应商实现的网络协议要经过JAB同意等。2审计和可追踪:供应商要定义审计的事件集合、配置软硬件的审计特性、定义审计记录类型并经过同意、服务商要实现合法的加密算法、审计记录90天有效等。3配置管理:要求供应商维护软件程序列表、建立变更控制措施和通知措施、建立集中网络配置中心且配置列表符合或兼容安全内容自动化协议(SCAP、确定属性可追踪信息等。4持续性规划:要求服务商确定关键的持续性人员和组织要素的列表、开发业务持续性测试计划、确定哪些要素需要备份、备份如何验证和定期检查、至少保留用户级信息的3份备份等。5标识和鉴别:要求供应商确定抗重放的鉴别机制、提供特定设备列表等。6事件响应:要求每天提供演练计划、提供事件响应人员和组织要素的列表等。7维护:要确定关键的安全信息系统要素或信息技术要素、确定获取维护的期限等。8介质保护:确定介质类型和保护方式等。9物理和环境保护:要确定紧急关闭的开关位置、测量温湿度、确定可替代的工作节点的管理、运维和技术信息系统安全控制措施等。10系统和服务获取:对所有外包的服务要记录在案并进行风险评估、对开发的代码提供评估报告、确定供应链威胁的应对措施列表等。11系统和通信保护:确定拒绝服务攻击类型列表、使用可信网络联接传输联邦信息、通信网络流量通过经鉴别的服务器转发、使用隔离措施。12系统和信息完整性:在信息系统监视时要确定额外的指示系统遭到攻击的指标。其他方面如意识和培训、评估和授权、规划、人员安全、风险评估则与传统差别不大。安全授权越来越变为一种高时间消耗的过程,其成本也不断增加。政府级的风险和授权项目通过“一次授权,多次应用”的方式加速政府部门采用云服务的过程,节约云服务采用费用,实现在政府部门内管理目标的开放和透明。1以第三方评估机构作支撑,对云服务进行安全评估CSP向FedRAMPPMO提出安全评估请求,并经已获得授权的3PAO检查与验证后,向FedRAMPPMO提交评估材料,由FedRAMPPMO组织专家组对其进行评审。当专家组通过评估后,由FedRAMPPMO向CSP颁发初始授权。云计算应用部门不应该把部门的安全责任转嫁给CSP,政府部门以该初始授权为基础,颁发部门的云服务运营授权(ATO。2通过初始安全授权,加强双层授权机制FedRAMPPMO维护一个初始授权以及相关安全评估材料的信息库,政府部门可以基于这些初始授权和评估材料颁发部门的服务运营授权,政府部门也可以添加另外的安全控制。3对云服务商持续监视,保证云服务运营安全对已获得初始授权的CSP,FedRAMPPMO应与3PAO一同开展对其系统和服务的连续监视活动。连续监视需要判断安全控制是否持续有效。政府部门在采用云服务、特别在采用公有云服务时,将会面临诸多严重安全风险,如多租户引入的安全问题、信息安全与隐私泄露、业务连续性、厂商锁定等诸多安全问题。在云服务采购合同中包含有效的SLA内容将会为云服务采购及其使用过程提供充分的安全保障。2010年9月MITRE给出的《政府客户云计算SLA考虑》[11]中,对政府部门与云服务商之间的SLA设计给出了具体的指南,指出SLA设计要考虑如下11方面的内容,每个方面的内容又划分为具体的细项给予了具体的指导:SLA背景、服务描述、测量与关键性能指标、连续性或业务中断、安全管理、角色与责任、支付与赔偿及奖励、术语与条件、报告指南与需求、服务管理、定义/术语表。另外,在合同方面,2012年2月的《联邦政府制定有效的云计算合同——获取IT即服务的最佳实践》,给出了采购云服务的合同需求和建议,包括服务协议条款、保密协议、服务级别协议等,并分析安全、隐私、电子发现、信息自由访问、联邦记录保留等方面的需求并给出了具体建议。

本文作者:赵章界刘海峰工作单位:北京信息安全测评中心