美國聯(lián)邦政府注重對云計算安全管理的頂層設計。在政策法規的指導下,以安全控制基線(xiàn)為基本要求,以評估和授權以及監視為管理抓手,同時(shí)提供模板、指南等協(xié)助手段,建立了云計算安全管理的立體體系(如下圖)。
云計算安全管理立體體系
政策備忘錄:OMB 于2011 年12 月8 日發(fā)布,為政府級云計算安全提供方向和高級框架。
安全控制基線(xiàn):基于N I S T 發(fā)布的S P800-53 第三版中所描述的安全控制措施指南,補充和增強了控制措施,以應對云計算系統特定的安全脆弱性。FedRAMP 的安全控制基線(xiàn)于2012 年1 月6 號單獨發(fā)布。
運營(yíng)概念(CONOPS):提供對FedRAMP 的運營(yíng)模型與關(guān)鍵過(guò)程的概述。
運營(yíng)模型:FedRAMP 的運營(yíng)模型基于OMB 發(fā)布的政策備忘錄,明確FedRAMP 實(shí)現的關(guān)鍵組織,對各個(gè)組織運營(yíng)角色與職責進(jìn)行抽象描述。
關(guān)鍵過(guò)程:指“安全評估與授權”、“第三方評估”、“正在進(jìn)行的評估與授權”,它們?yōu)镕edRAMP 運營(yíng)過(guò)程的三個(gè)主要功能。
詳細的模板與指南:云服務(wù)商與第三方評估組織在FedRAMP 整個(gè)過(guò)程中需要這些文檔模板作為文檔規范。
2.4 豐富已有安全措施規范,制定云計算安全基線(xiàn)要求
在《推薦的聯(lián)邦信息系統和組織安全措施》(s p800-53)基礎上,根據云計算特點(diǎn),針對信息系統的不同等級(低影響級和中影響級),制定了云計算安全基線(xiàn)要求《FedRAMP 安全控制措施》。與傳統安全控制措施相比,云計算環(huán)境下需增強的安全控制措施包括:
1)訪(fǎng)問(wèn)控制:要求定義非用戶(hù)帳戶(hù)(如設備帳戶(hù))的存活期限、采用基于角色的訪(fǎng)問(wèn)控制、供應商提供安全功能列表、確定系統使用通知的要素、供應商實(shí)現的網(wǎng)絡(luò )協(xié)議要經(jīng)過(guò)JAB 同意等。
2)審計和可追蹤:供應商要定義審計的事件集合、配置軟硬件的審計特性、定義審計記錄類(lèi)型并經(jīng)過(guò)同意、服務(wù)商要實(shí)現合法的加密算法、審計記錄90 天有效等。
3)配置管理:要求供應商維護軟件程序列表、建立變更控制措施和通知措施、建立集中網(wǎng)絡(luò )配置中心且配置列表符合或兼容安全內容自動(dòng)化協(xié)議(SCAP)、確定屬性可追蹤信息等。
4)持續性規劃:要求服務(wù)商確定關(guān)鍵的持續性人員和組織要素的列表、開(kāi)發(fā)業(yè)務(wù)持續性測試計劃、確定哪些要素需要備份、備份如何驗證和定期檢查、至少保留用戶(hù)級信息的3份備份等。
5)標識和鑒別:要求供應商確定抗重放的鑒別機制、提供特定設備列表等。
6)事件響應:要求每天提供演練計劃、提供事件響應人員和組織要素的列表等。
7)維護:要確定關(guān)鍵的安全信息系統要素或信息技術(shù)要素、確定獲取維護的期限等。
8)介質(zhì)保護:確定介質(zhì)類(lèi)型和保護方式等。
9)物理和環(huán)境保護:要確定緊急關(guān)閉的開(kāi)關(guān)位置、測量溫濕度、確定可替代的工作節點(diǎn)的管理、運維和技術(shù)信息系統安全控制措施等。
10)系統和服務(wù)獲取:對所有外包的服務(wù)要記錄在案并進(jìn)行風(fēng)險評估、對開(kāi)發(fā)的代碼提供評估報告、確定供應鏈威脅的應對措施列表等。
11)系統和通信保護:確定拒絕服務(wù)攻擊類(lèi)型列表、使用可信網(wǎng)絡(luò )聯(lián)接傳輸聯(lián)邦信息、通信網(wǎng)絡(luò )流量通過(guò)經(jīng)鑒別的服務(wù)器轉發(fā)、使用隔離措施。
12)系統和信息完整性:在信息系統監視時(shí)要確定額外的指示系統遭到攻擊的指標。其他方面如意識和培訓、評估和授權、規劃、人員安全、風(fēng)險評估則與傳統差別不大。
2.5 主抓評估和授權,加強安全監視
安全授權越來(lái)越變?yōu)橐环N高時(shí)間消耗的過(guò)程,其成本也不斷增加。政府級的風(fēng)險和授權項目通過(guò)“一次授權,多次應用”的方式加速政府部門(mén)采用云服務(wù)的過(guò)程,節約云服務(wù)采用費用,實(shí)現在政府部門(mén)內管理目標的開(kāi)放和透明。
1)以第三方評估機構作支撐,對云服務(wù)進(jìn)行安全評估
CSP 向FedRAMP PMO 提出安全評估請求,并經(jīng)已獲得授權的3PAO 檢查與驗證后,向FedRAMP PMO 提交評估材料,由FedRAMP PMO 組織專(zhuān)家組對其進(jìn)行評審。當專(zhuān)家組通過(guò)評估后,由FedRAMP PMO 向CSP 頒發(fā)初始授權。云計算應用部門(mén)不應該把部門(mén)的安全責任轉嫁給CSP,政府部門(mén)以該初始授權為基礎,頒發(fā)部門(mén)的云服務(wù)運營(yíng)授權(ATO)。
2)通過(guò)初始安全授權,加強雙層授權機制
FedRAMP PMO 維護一個(gè)初始授權以及相關(guān)安全評估材料的信息庫,政府部門(mén)可以基于這些初始授權和評估材料頒發(fā)部門(mén)的服務(wù)運營(yíng)授權,政府部門(mén)也可以添加另外的安全控制。
3)對云服務(wù)商持續監視,保證云服務(wù)運營(yíng)安全
對已獲得初始授權的CSP,FedRAMP PMO 應與3PAO 一同開(kāi)展對其系統和服務(wù)的連續監視活動(dòng)。連續監視需要判斷安全控制是否持續有效。
2.6 提供SLA、合同等指導,為云服務(wù)安全采購提供指南
政府部門(mén)在采用云服務(wù)、特別在采用公有云服務(wù)時(shí),將會(huì )面臨諸多嚴重安全風(fēng)險,如多租戶(hù)引入的安全問(wèn)題、信息安全與隱私泄露、業(yè)務(wù)連續性、廠(chǎng)商鎖定等諸多安全問(wèn)題。在云服務(wù)采購合同中包含有效的SLA 內容將會(huì )為云服務(wù)采購及其使用過(guò)程提供充分的安全保障。
2010 年9 月MITRE 給出的《政府客戶(hù)云計算SL A 考慮》中,對政府部門(mén)與云服務(wù)商之間的SLA 設計給出了具體的指南,指出SLA 設計要考慮如下11 方面的內容,每個(gè)方面的內容又劃分為具體的細項給予了具體的指導:S L A 背景、服務(wù)描述、測量與關(guān)鍵性能指標、連續性或業(yè)務(wù)中斷、安全管理、角色與責任、支付與賠償及獎勵、術(shù)語(yǔ)與條件、報告指南與需求、服務(wù)管理、定義/ 術(shù)語(yǔ)表。
另外,在合同方面,2012 年2 月發(fā)布的《聯(lián)邦政府制定有效的云計算合同——獲取IT 即服務(wù)的最佳實(shí)踐》,給出了采購云服務(wù)的合同需求和建議,包括服務(wù)協(xié)議條款、保密協(xié)議、服務(wù)級別協(xié)議等,并分析安全、隱私、電子發(fā)現、信息自由訪(fǎng)問(wèn)、聯(lián)邦記錄保留等方面的需求并給出了具體建議。
3 結束語(yǔ)
本文從政府部門(mén)如何安全管理云計算的角度,重點(diǎn)分析了美國聯(lián)邦政府的云計算安全保障策略。這些策略可以為中國政府部門(mén)實(shí)施基于云服務(wù)的信息安全保障提供參考。
