公安部陈妍:等级保护2.0时代下的云上用户安全指引

陈妍:各位嘉宾,各位到场专家大家下午好!我叫陈妍,来自于公安部第三研究所检测中心下的云计算安全测评实验室。我今天想跟大家汇报的内容是“等保2.0时代的云上用户安全指引”。

陈妍

为什么要做这样一个议题呢?三四年前时,当时云计算还没有非常大规模地铺开,但已经有一些用户开始上云,一些云平台厂商提供云平台服务。我们也开始进行等保安全测评时发现一个很惊讶的现象,很多云平台厂商就是提供了一些非常简单的虚拟机,存储服务就开展了这样一些服务,也有很多用户把他们的信息系统迁到这样一个平台上。

在测一个大型的,像阿里、腾讯、华为这些公有云平台上用户时发现,阿里云或腾讯云这些云平台厂商本身已经做了很多安全服务,但对租户做测评时,发现他们什么都不知道,说这项安全不是我做的,云平台已经提供给我这个功能了,我不需要做更多的事情。就是因为一件件这样的事件发生,我们作为一个第三方测评机构就在想,是不是可以给云上用户或云平台做些什么事情,这就是我们这个议题的主要内容,云上用户安全指引,告诉云上用户怎么样做他的安全,怎么样选怎么样配置他的安全按钮或开关。下面我介绍这几个部分内容。

1、等保2.0。

2、云等保。

3、云上用户安全指引。

4、中心介绍。

一、等保2.0。

这个词自2016年开始被大家提及了无数次。什么是等保2.0呢?首先看等保1.0,1994年国务院令第147号就提出对计算机信息系统实行安全等级保护,也明确了公安部会同有关部门制订这项工作。第二个重要文件是2003年中办发的27号文,提出要实行信息安全等级保护。当时也提出了一个重要的信息系统,和目前网络安全法提到的关键信息基础设施有异曲同工之妙,都是要保护重点基础网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。大家都在说什么是关键信息基础设施,各个方面都有各方面的定论,有人说等保30以上就是关键信息基础设施,这个关键信息基础设施还是由各个主管部门来确定的。但我认为三级以上信息系统也是有它一定依据的。第三个重要文件是2004年公安部发的66号文,明确了信息安全等级保护制度是一项基本的制度。第四个重要文件是2007年非常重要的文件,43号文,明确了信息安全等级保护管理办法,制度指导、牵头单位和相关部门,比如明确公安部牵头,由国家保密局、密码管理总局共同承担这样的工作,公安部承担监督、检查和指导工作。这项工作到目前也是这么运作的,我们知道,要做定级备案要到各个网安大队去做。

等级保护制度发展这些年,它有好有不好,大家褒贬不一,但有一项是非常重要的。确实影响到了普通大众,它以非常明确的条例让大家感觉到了什么是信息安全。等保2.0时代是在等保1.0基础上,通过对过去的测评,建设过程中的一些总结提出来的。等保2.0非常重要的事件,2014年由我们评估中心开始等保系列标准的修订以及根据它的新技术特点制订工作,现在在做的等保系列标准和现在用的《GB/T22239-2008》版改了,名字改了,叫《网络安全等级保护》,会有很多扩展的要求,原来只有第一部分的基本要求,现在是把它作为通用要求,会针对不同的技术特点,像云会有自己非常明确的特点,比如会资源池化,租户大集中,会有虚拟化的引入,会分为很多部分,包括云计算扩展要求,移动互联网扩展要求,物联网、工业控制、大数据,甚至在现在公安机关执行目前等保过程中也是个过渡,它也会根据许多不同行业特点提出很多新的要求。我在上海,会重点把IDC、金融行业、现代新型P2P行业都会提出不同的要求来补充第一部分安全的通用要求,会由公安机关会同相关部门来做这样的工作。通过这一系列工作,等保已经不仅仅是个非常通用的部分,应该会结合各个行业的特点来做非常多的扩展。

2014年,我们开始了最主要的标准工作,2016年10月10日公安部网络安全保卫局郭启全总工提出了等保进入2.0时代。所以,等保2.0时代在不停地被反复提及。

2016年11月7日通过的《网络安全法》,6月1日开始实施。两个地方提到了等保,一是国家要实行网络安全等级保护制度,这一条就说明很多企业或单位都要做等保。二是第31条明确关键信息基础设施要在等保基础上实行重点防护,具体怎么做,应该制订相关文件,会到时候进行规定。

我想引用我们中心罗峥同志一篇文章,当时在朋友圈发的,说等保2.0有几个标志:一是等级安全保护空前重要,现在国内外网络安全形势非常复杂,会发生各种不同的网络安全事件,影响了普通大众一些生活;二是等保制度已经上升为法律,这就是《网络安全法》的发布;三是等保对象得到了大扩展,它不仅仅是局限于传统的信息系统,扩展到了很多像云平台、工控系统、物联网、大数据和一些基础网络,IDC也变成了等保的测评对象了。等保内容已经有非常大的不同,控制点都做了一些小的变动,内容集成了目前更多主流信息安全方面,像风险评估安全检测通报预警,供应链等都在等保内容中有所体现。

等保体系大升级。原来我们有一套等保的政策体系、标准体系、技术体系、测评体系,今后我们会围绕等保做网络安全监测、通报预警等功能。

二、云等保。

等保2.0是个大的方向,针对各种不同的行业,云计算、移动互联网、工控都算,今天我们重点介绍一下云等保。

云等保责任共担模型是非常重要的,这区别于传统信息系统的大的区别。以前企业建设安全系统我自己负责就好了,不管请第三方公司来帮我开发软件或者开发系统,我都得负责任。云计算环境下,会有很大的区别,在很多云计算文章和案例中都会提到的这个图,针对云服务商和客户,针对不同服务模式下,IaaS、PaaS、SaaS,在责任和资源控制、资源控制范围、力度上会有很大区别,以IaaS为例,IaaS是现在云平台最常提供的服务模式,国内大部分的云平台提供的是IaaS服务,它提供的是虚拟机服务。比如我提供给用户虚拟机资源,虚拟机资源里那些内容都是由客户来保证,由他来承担相应的责任,我虚拟机的加固,虚拟机的一些安全防护都是由客户来做的。底层的物理环境安全、物理设备的安全,资源抽象控制层Vision安全是云服务商提供的。

云等保和传统的等保有区别也没有区别。区别的地方是它的责任主体、责任内容、评测对象有了一定的变化,我们在测云平台时肯定不需要测云上租户的那些应用系统。如果在云上租户时,云计算平台本身固有的物理设备、物理网络以及物理环境都不是在测评对象内,但它又和传统的等保一样,也包含了定级、备案、建设整改、测评、监督检查等,所以云等保只是在传统等保制度下技术扩展。

用户迁到云平台上,我肯定要看你云平台做到了什么样的安全,能给我提供什么样的服务,租户怎么样做才能保证它的安全。对云平台来说,因为云平台肯定是根据相应的级别建立它的相应防护体系。云平台上如果要承载租户的应用肯定不能承载高于其保护等级的业务系统。我们知道,等保有几个层面,有S有A,一个云平台系统是323的,不可能去承载333业务应用系统,它应该是就高不就低的。

对云计算平台来说,各地网安部门都会有相应的规定,在上海我们就有这样的规定,云计算平台一定要提供几项服务,一是流量清洗服务;二是网页防村改服务也应该由云平台提供,租户进行有选择的购买。

(图)图中最重要,最有区别的几点,不管是云计算还是云租户都有主机层面的,比如恶意代码防护、补丁升级、漏洞防护,这几个层面在云计算平台和租户针对的对象是不同的,对云平台来说,针对的对象是一些宿主机和网络设备,而对于云租户来说,针对的是他宿主机,网络设备就不在他的防护范围内了。目前一个非常普遍的现象,现在的云计算平台功能越来越强大了,不仅仅是提供了基础设施服务,还提供了很多安全服务。我们租户在构建自己在云上的系统时首先购买的是云平台服务,也可以自己去采购相应的虚拟设备,一些传统安全厂商虚拟设备在我们云计算平台上进行部署。

前面讲了责任共担模型地云计算平台、云租户应该做怎么样的云保护才能确保自己的安全。

云等保——标准架构。不管云平台还是云租户都应该遵循这样的标准,分两部分:安全通用要求、云计算安全扩展要求。这两块标准,不管是第一部分还是第二部分都会分为两个层面,一是技术要求,二是管理要求,它会针对技术要求里的物理和环境安全、网络和通信安全里都会提出不同的要求。

云等保—保护对象差异,我们在设计、建设、测评云环境,不管云上还是云平台自身要参考的标准外,这里我介绍云等保保护对象的差异。红色的部分是我标出来的对传统信息系统、云租户信息系统和云租户业务应用系统保护对象的差异,它会多出很多虚拟网络结构和虚拟网络安全设备,云计算安全上会多出很多的宿主机、虚拟机、云管理平台、虚拟机监视器,数据安全会有PaaS的,数据应用和数据安全会有云应用开发平台、云业务管理系统、镜像文件、快照等业务。我们针对保护对象不管做设计时应该参考不同保护对象的安全要求。对于不同的云服务模式,不管IaaS、PaaS还是SaaS,在选取组件保护对象时都会有所区别,在测云服务商和租户时,保护对象也是有区别的。

云等保——IaaS安全管理责任主体。

(图)看标红部分,是云租户的责任主体,在IaaS模式下,除了物理和环境安全、云租户基本不需要负责任,因为这个租户完全接触不到物理,比如机房在哪里,供电在哪里,租户完全掌握不到。对于其他的部分,租户基本都负有一定的责任,虽然云平台给我提供了基础网络架构,云租户内的,比如安全组、VPC都是云租户自己来负责的。对于设备和计算安全,对于虚拟网络管理平台,这是由云服务方来做的,对租户虚拟安全设备、虚拟机是由租户作为责任主体来进行安全防护的。应用和数据安全更是,在IaaS模式下,这完全是由租户自己掌握的。云服务方可以做什么呢?数据保护在云平台上,镜像、快照保存在云平台上,云计算平台云服务提供商就要对这块内容,他的数据负有安全责任。

云等保——PaaS安全管理责任主体。

云租户的主体责任,原来在网络和通信安全、设备和计算安全里都有云租户的影子,原来虚拟网络安全域是由云租户来负责的,在设备和计算安全里,虚拟机、虚拟网络设备、虚拟安全设备是由云租户来负责的。在PaaS模式下,云租户管不到这些,因为我主要使用的是一些基础软件的服务。这时候,在应用和数据安全等下面,往上层的部分就会看到云租户的影子了。

云等保——SaaS安全管理责任住地。

针对SaaS模式更是如此,如果我租户使用这样的SaaS服务,我的测评对象就更少了,因为我只会在远端做一些应用系统和相关安全配置,业务相关的数据由我来负责,原来PaaS的应用系统及相关软件组件这时候由云服务方来负责了。我们云计算平台提供不同模式的服务,以及云测试机构做的不同云计算平台测试时都应该明确责任主体是什么,应该抽取什么样的组件来进行责任的划分。一方面告诉云平台服务商要做什么样的保证,另一方面告诉云平台租户我给你提供什么样的服务。

三、云上用户安全指引。

它不仅告诉云上的主体有什么样的安全责任,也需要和云平台厂商共同配合做这样的事情,租户上云之后,很多事情并不是租户能决定的,因为云计算平台基本掌握了租户所有的,虚拟机就在云平台上,给租户提供什么样的服务,云平台和厂商也需要关注这样的内容。

主体内容。

我们希望分为这样几部分来做:

1、云上系统安全责任共担模型;

2、云上系统安全体系设计,成为相对安全的云上安全责任;

3、云上系统安全技术要求分界,等保是我们云安全上面的一个切入点,并不是用我们刚才技术要求的分界就一定满足等保了,只是用等保技术要求来做这个事情;

4、用户上云注意事项;

5、云上系统安全建设方案。

用户在上云时,最重要的是和云服务商打交道,云服务商提供不管是它的生态还是服务,都提供的非常多的安全产品以及安全服务。我们想结合不同的云服务商告诉用户,怎么样在不同的云服务商使用它不同的产品来是它的安全要求。

云上用户安全指引——等保测评。

怎么样做自己云上系统的等保。云上等保分为:定级、备案、系统建设整改、定期监督检查、等级测评。

定级,告诉大家,不管是做云平台还是做云租户,怎么样做定级。建议云服务商将云计算平台单独作为定级对象进行定级。云租户负责将云租户侧的业务系统进行定级。一个平台上当然可以承载非常多的云租户应用,但安全等级不能低于租户侧的安全等级。

备案,曾经碰到过很多的问题,因为云计算平台目前都有非常多的机房分布在全国各地,我到底在哪里备案,很多公司都是用一个主体做云计算服务的,但这个公司主体在一个地方。我们根据上海的特点和一些要求来做的。上海是云服务商负责将云计算平台的定级结果向所辖公安机关进行备案,备案地应该为运维终端所在地。对云租户来说,这个备案的要求都要求是原来工商注册地和实际经营所在地。

系统建设整改,是云租户的部分,云租户建设云上系统时应该建设自己的技术方案以及管理方案,在建设他的技术方案时,当然可以用各种各样不同类型的产品,包括安全产品和安全服务。

等保测评。测评云租户时需要云安全厂商做什么?首先要云安全厂商提供等级备案证书和等级测评结论,要看他等级测评报告是不是在有效期内。

等保测评。对租户怎么测,首先根据通用要求进行测评,根据扩展要求对系统进行整体测评。云计算扩展要求里,不管是云计算平台还是云租户都要去参考,大家仔细研读一下就发现,是根据云计算平台提出的,当然云租户也有部分内容。

混合云的问题,如果一部分上云了,系统里一部分上云,另一部分没上云应该怎么建设和测评,未上云的部分和传统系统一样,上云就参考我前面介绍到的相关办法。

云计算平台嵌套的问题,比如一个IaaS平台上嵌套了PaaS平台,PaaS平台上又运行着一个云租户应用系统该怎么测评,当然建议是分开测评,IaaS对IaaS,PaaS对PaaS,当然在测PaaS的时候不会测评IaaS的部分,这和云计算平台、租户是一致的,我们在测租户的时候也不会测云计算平台的内容。当然,还会有一些打分的东西。

身份鉴别。

在指南里会告诉大家,我们会告诉大家一些控制点来做相关的要求,以身份鉴别为例,三级里有身份鉴别的要求,虚拟机、应用系统身份鉴别和原来没有什么区别,大家还是登录虚拟机和应用系统进行身份鉴别工作,如果虚拟机都在网络上,开通全面运维是不是很合适和安全,我们就可以采用VPN+云堡垒机来做云安全。

传统信息系统,我想配个网络策略、安全策略,登录网络设备和安全设备上就好了,这时候云租户系统根本接触不到网络设备、安全设备,可能只有一个管理控制台,我们对管理控制台就要提出身份鉴别相关要求,这些要求,租户当然可以配置,但云计算平台首先要提供,如果没有提供不同帐号,不同权限,上因素认证,云租户也做不到。所以,我们的云上用户安全指引,对云计算平台提出了很多的要求,云计算平台要提供这样的能力才能实现云租户这样的要求。

安全审计。

租户在云上会有很多的操作和事件发生到底谁来审计,对虚拟机来说很简单,自己在虚拟机上开启相关的审计策略就好了。管理控制台上的操作是不是云计算平台厂商来提供呢?如果云计算平台不给租户展这样的结果,租户怎么能够知道他审计的相关内容呢?所以,有个要求,根据云服务方和云租户的职责,要收集并实现各自控制部分的审计数据,这是对云计算平台厂商提出这样的要求。后面还有入侵防范,租户到底怎么样做入侵防范功能。当然也可以部署虚拟的IPS、IDS,也可以部署IaaS设备来满足。

等保要求里的资源控制、数据备份恢复。数据备份恢复里,以三级为例,要求云租户在本地保存业务数据的备份,这要求云计算平台厂商提供导入导出的功能。云服务商的选择,租户到底应该怎么做,我们总结的,安全防护,到底云上怎么做,物理安全、网络的,主机的,网络层的、Web应用攻击检测,入侵事件的,到底对云上和传统模式有什么样的不同。大部分是大同小异的,只是在物理安全原来是租用和托管现在由云平台负责,原来网络隔离和访问控制,是用硬件防火墙等产品,现在可以用安全组、VPC、虚拟防火墙等来实现。

最后我们会有云上系统安全建设方案,告诉大家在每一层可以用什么样的功能来实现这样的要求。

总结。

系统上云是不是等于安全,很多云安全服务商提供服务,那么系统上云就等于安全吗?肯定不是的。租户是不是就高枕无忧了呢?云服务商提供服务,默认都是关闭的,租户如果不知道开启和云服务商有没有开启这个服务都没有任何的关系。我们认为,对于云上租户或云平台来说,最好的方式,不仅提供基础设施的服务,也能给租户提供一些安全的服务或者给租户提供安全的产品解决方案,这样租户在这个云平台上用起来会更加得得心应手。

我们会针对不同的云服务商做云上安全指引。

四、中心介绍。

我们也是其中一个主办单位,我们是公安部下属的一个检测中心,行政上属于公安部第三研究所,业务上属于公安部直接管辖,我们也有很多CNCA、CNAS认证,是第三方公认的国家级的检验机构。我们中心有很多牌子,包括了视频监控等安防产品检测,目前在信息安全产品,销售许可证的检测,也有等级保护评估中心,有产品的检测中心,有国-001和沪-001两块等保牌子。我们有许多专业实验室,针对不同的方向做不同的测评,有云计算,会针对云计算做一些深入的研究和测评。

谢谢大家!

 

主持人:非常感谢陈总的介绍,如果下面有朋友做云,对这个东西应该还是蛮感兴趣的,我听陈总介绍这些内容时眼睛是一亮的。因为初期在做云时遇到的问题还是很多的,这个期间很多人都不知道怎么做合规,包括国家审核合规层面来说,哪些是属于服务商要尽的职责,哪些属于租户要尽的职责,还不是非常明确的。今天讲了这么多内容对我们来说还是很有帮助的。

合规层面,大家回去也可以考虑一点,因为当时我们是和有关部门一起去讨论过一些内容,就是针对于一些云平台上的合规,大家可以想想,哪些内容,可以是服务商也要尽的职责,哪些是租户要尽的职责,大家回去可以想想。

上一篇:农信互联李元龙:登山之路——互联网公司安全建设的心得体会

下一篇:张健:对勒索病毒事件的一些思考