1、2021年07月云服務安全治理白皮書云服務安全治理白皮書01時至今日, 云計算已經顯著改變了全球信息技術的服務方式, 廣泛地成為IT服務和交付的既定模式。 與此同時, 對于云計算安全性的關注也日益變得突出和緊迫, 這不僅表現在對云服務安全性、 保密性和可用性的擔心, 也包括在全球網絡安全監管趨嚴的大背景下云服務合規性的憂慮。為了提高云計算的安全控制水平以增強客戶信心, 引導行業健康有序發展, 政府機構、 行業協會等相關團體制定了一系列的云安全政策、 法律、 法規及標準。這些要求構成了云服務提供商(Cloud Service Provider, 簡稱CSP)的安全基準, 也在一定程度上代表了客戶
2、的信任水平。 隨著要求的不斷增多, 云服務供應商的安全合規管理逐漸面臨著更加復雜的挑戰, 因此, 應當建立一種更為全面、 高效的安全治理方式, 可以對云服務的安全進行控制、 審核、 度量與評估。 它以業界多個主流安全標準為參考基礎, 并融合華為三十年安全運營管理經驗, 既滿足客戶的安全需求, 又契合云服務供應商的運營方式, 為云服務供應商安全目標的實現提供支撐。云服務提供商已建立廣泛共識, 具備公信力的云計算安全能力對于云服務的成功而言是必要而決定性的, 應在此基礎上構建起多維立體且遵從法規要求的基礎設施架構, 不斷優化與完善云服務安全能力。為了實現上述云計算的安全能力, 滿足相關的監管要求,
3、 保護客戶的云上資產, 華為云通過持續經營和反復探索, 確立了一種開放、 包容、 不斷發展和優化的安全治理方法, 用以控制、 審核、 度量與評估云服務安全管理的有效性以及對監管合規要求的遵從性, 形成了一套涵蓋業界主流云安全標準以及華為云安全管理要求的方法體系, 并稱之為 “云服務網絡安全與合規標準” (CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD, 簡稱 “3CS” ) 。 “3CS” 的發布是華為云安全戰略的貫徹體現, 也是華為云切實保護云服務客戶利益, 打造安全、 可信的云服務, 為客戶業務賦能增值、 保駕護航, 實現云服務提
4、供商、 云客戶、 合作伙伴三方長期共贏的重要實踐。為了將華為云的云安全思考與建設經驗分享給業界, 華為云與信通院聯合推出云服務安全治理白皮書 (簡稱 “白皮書” ) , 向業界推廣 “3CS” 安全管理框架, 以求相互了解與借鑒, 共同推動云計算、 云安全行業的開放與發展。本白皮書面向各行業、 各地區的廣大讀者群, 幫助大家從中了解云服務提供商應具備的安全管理能力, 可為云服務客戶、 社區及互聯網用戶在對比、 選擇合適的云服務提供商時提供安全性方面的信息參考; 可為云服務提供商、 生態伙伴在云運營管理過程中提供安全方面的指導和參考。前 言云服務安全治理白皮書02CONTENTS目 錄全球云服務
5、市場仍然持續增長 .05中國云服務市場增幅放緩,但仍超過世界其他地區 .05全球經濟下行,難阻云計算市場持續增長.04云客戶普遍對云安全感到擔憂 .06業界對云服務安全的主要憂慮 .08云服務提供商與云客戶應雙方協作,共同提升云安全能力 .10云服務安全威脅是企業上云的主要顧慮.06對主流云安全治理體系進一步優化的思考 .14基于云服務全流程的安全治理新體系 “3CS” .16業界可參考實施的主流安全管理體系.12基本框架 .18安全控制要求 .20審核方法 .28度量方法 .29成熟度評估 .31對“3CS”體系的詳細介紹.18云服務安全治理白皮書03云服務安全治理 .33云服務管理支撐 .
6、36數據中心運營 .39云基礎架構 .40云平臺運維 .42云服務產品安全 .47安全運營 .49商業運營 .51“3CS”在華為云的應用實踐.32華為云安全服務總覽 .54華為云特色安全服務介紹 .56附錄 A “3CS”框架下的華為云安全服務.53控制要求 .63審核方法 .64度量方法 .64成熟度評估方法 .64附錄 B 主要參考來源.63云服務安全治理白皮書04全球經濟下行,難阻云計算市場持續增長云計算是當前IT領域最熱門的話題之一,可伸縮的、彈性的IT能力通過互聯網技術作為服務進行交付,促進了許多相關技術的合并和升級,并在不同行業中促進了商業模式的創新。云服務的普及,使組織能夠快速
7、地響應不斷變化的市場需求,并通過創新的應用和服務吸引更多的客戶,越來越多的業務運作通過云計算實現,并通過云服務進行交付。在全球范圍內,許多組織正在從根本上改變它們對內和對外的服務交付方式。在過去的十幾年中,全球數據量呈現爆炸性增長,移動應用、物聯網的發展促使企業和個人對計算的需求大大增加,并且希望數據能夠被隨時隨地獲取,這已經直接推動云計算成為數字經濟時代的新型信息基礎設施。云服務安全治理白皮書05根據國際業界多家機構的調研,未來兩三年內云服務市場將持續快速增長。Gartner的報告顯示,到2023年,40%的企業工作負載將部署在云基礎設施和平臺服務上,而2020年這一比例為20%。而Fort
8、inet委托CyberSecurity Insider進行的調研顯示,目前有33%的組織在云中運行超過50%的工作負荷,在未來12-18個月,這類組織的比例可能升到56%。特別是去年以來受COVID-19新冠疫情的影響和催化,全球云計算技術、產業、應用等多方面的發展呈現了新的趨勢,遠程辦公、在線教育及網絡游戲等互聯網應用火爆、計算量驟增,企業開始加速線下業務在線化、數字化的進程,開始不約而同地將“上云”作為近期數字化轉型的目標之一,紛紛借助云計算的力量重啟疫情之前的業務繁榮。由于全球新冠疫情的大爆發,許多國家和地區頒布了禁制措施,限制民眾出行和聚集。許多公司也發布工作指引,鼓勵員工遠程辦公。新
9、的工作模式促進了業務協同的創新,人們開始感受到傳統VPN遠程訪問公司資源的不便,云端協同辦公應用的大量使用無疑使公眾直觀感受到云服務的高效與便利。調研報告顯示,新冠疫情爆發以來,總體企業應用云服務大幅增長了50%,其中協同辦公服務增長達600%。全球云服務市場仍然持續增長2021年第一季度,中國的云基礎設施服務支出增長了55%,達到60億美元。根據Canalys統計數據顯示,總支出較2020年第一季度增長21億美元,較上一季度增長超過2億美元。在政府的支持下,中國云基礎設施服務的增長速度繼續超過世界其他地區,使其成為首要戰略重點。推動投資的關鍵因素包括經濟快速增長和新冠疫情大流行后對數字轉型的
10、更加重視。中國云服務市場增幅放緩, 但仍超過世界其他地區美元 十億01234567中國云基礎架構服務Q3 2019Q4 2019Q1 2020Q2 2020Q3 2020Q4 2020Q1 20212021 Q160億美元圖 1 中國云基礎架構服務數據來源:Canalys: China cloud services market Q1 2021云服務安全治理白皮書06云服務安全威脅是企業上云的主要顧慮與許多新興技術一樣,云服務的安全性一直備受關注,層出不窮的安全與合規問題將會對云服務的廣泛部署和發展帶來挑戰。安全廠商Ermetic調研了超過300位信息安全主管,近80%的企業在過去18個月里至
11、少經歷過一次云數據泄露,43%的企業報告了超過10次。根據安全廠商Barracuda 進行的調查,70%的受訪者表示安全問題限制了他們的組織采用公共云。這些安全問題包括公共云基礎設施的安全性、網絡攻擊的影響以及部署在公共云中的應用程序的安全性。(ISC)2 2021年發布的云安全報告也顯示,高達96%的企業對公有云的安全性感到憂慮,按憂慮程度劃分分別為23%-中度(Moderate),41%-非常(very)、32%-極度(extremely)。云客戶普遍對云安全感到擔憂云服務安全治理白皮書07圖 2 96% 的組織對云安全感到憂慮數據來源:(ISC)2 Cloud Security Repo
12、rt 2021一點也不憂慮有點憂慮中等憂慮很憂慮極度憂慮(從中等憂慮到極度憂慮)的組織對云安全感到憂慮96%3%23%41%32%1%而組織最擔憂的云安全問題中,頭三位分別是數據丟失或泄露、數據隱私或機密性、憑證的意外曝露。數據來源:(ISC)2 Cloud Security Report 2021圖 3 企業最擔憂的頭三位云安全問題46%憑證的意外暴露比去年上升2%62%數據隱私或機密性比去年下降4%64%數據丟失或泄露比去年下降5%云服務安全治理白皮書08云服務提供商在提供服務的過程中,可能同時面臨來自于內部和外部的安全威脅。例如: 內部威脅方面,可能存在未知的或不受安全管控的資產設備;數
13、據中心可能遭受極端自然災害的破壞;云服務產品可能存在設計缺陷導致的安全漏洞;無效的訪問控制可能造成數據泄漏、數據惡意使用和訪問權限濫用等。 外部威脅方面,組織可能面臨黑客攻擊、第三方供應商的產品可能存在缺陷、業務流程可能存在漏洞而被利用進行欺詐等。業界對云服務安全的主要憂慮圖 4 企業對使用公有云設施的主要憂慮0%5%10%15%20%25%30%35%40%45%42%36%33%28%28%公有云基礎設施的安全性網絡攻擊的影響云上應用的安全性與舊技術進行集成的難度與監管要求保持一致受訪企業對使用公有云基礎設施的主要憂慮數據來源:Barracuda Future shock: the clo
14、ud is the new network云服務安全治理白皮書09CSA所列舉的這些頂級云計算威脅,也得到了安全行業組織的研究佐證。例如Fortinet的2021年云安全報告顯示,對云安全專業人士而言,TOP的威脅是:錯誤的安全配置,敏感數據的泄露,未經授權的訪問等。圖 5 CSA 兩次發布的云計算頂級威脅差異對比CSA 2016年2月12類云計算頂級威脅CSA 2020年9月11類云計算頂級威脅繼續存在的威脅新出現在列表中的威脅1.數據泄露2.弱身份、憑證和訪問管理3.不安全的API4.系統和應用程序漏洞5.賬戶劫持6.惡意的內部人員7.高級持續威脅(APTs)8.數據丟失9.足夠的盡職調查
15、10.濫用和惡意使用云服務11.拒絕服務12.共享的技術漏洞1. 數據泄露2. 配置錯誤和變更控制不足3. 缺乏云安全架構和策略4. 身份,憑證,訪問和密鑰管理不足5. 帳戶劫持6. 內部威脅7. 不安全的接口和 API8. 控制平面薄弱9. 元結構和應用程序結構失效10. 有限的云使用可見性11. 濫用及違法使用云服務云安全聯盟(Cloud Security Alliance,簡稱CSA) 2020年9月發布了11類云計算頂級威脅。相比上一版2016年發布的12個威脅,CSA注意到在云服務提供商的努力下,傳統云安全問題的排名有所下降。像拒絕服務、共享技術漏洞以及云服務提供商數據丟失和系統漏洞
16、之類的擔憂(在以前的潛在風險 TOP 12中都具有)現在的評分非常低,已不在最關注的威脅列表之內。這表明,由云服務提供商負責的傳統安全問題似乎已經有效的緩解。 云服務安全治理白皮書10云服務提供商需提升安全管理能力, 獲取市場信任如何解決云服務提供商面臨的云服務安全問題和挑戰,降低客戶的擔憂,是所有云服務提供商持續提供服務的關鍵問題。為了更好的應對公共云服務帶來的潛在安全風險、組織內外部的安全威脅、云安全合規性風險,以及增強各相關方對共享安全責任模型的理解,云服務提供商必須通過合適的管理和技術手段,逐步提高云安全和隱私的管理能力。例如: 集成第三方安全供應商的相關安全服務,以快速地使云平臺融入
17、更多更新的安全產品和能力。 加強內部人員的訪問管理、日志審查、安全培訓等措施,以緩解內部安全風險。 加強漏洞管理、縱深防護等措施,以抵御外部威脅。 深入理解合規要求,提高合規遵從能力,避免出現違法違規事件而導致的罰款、訴訟,以及對企業聲譽的損害。加強溝通,指導客戶清晰了解自身的安全責任等?;谏鲜龅奶魬鸷桶踩芾硇枨?,云服務提供商需要建立一個可覆蓋云計算服務所有流程的云安全管理體系,能將各業務領域對應的安全控制要求按職能進行落實,幫助各業務部門更好地了解云安全管理要求,從而更好地為客戶提供安全、合規的云計算服務,獲取和增強客戶的信任。云服務客戶可借力云服務提供商提供的安全服務和產品由于云計算安
18、全的責任是在云服務提供商和云服務客戶之間進行分擔,云服務客戶也需要思考在云計算環境中如何進行安全管理??蛻粼谠瓢踩芾淼闹R方面可能相對不夠全面,或者原有的安全管理手段在云上不適用。面對日益增加的云安全管理需求,云服務客戶可借助云服務提供商提供的服務產品,提升自身的云安全管理能力。 可視的高級安全防護能力云服務客戶可以借助云服務提供商提供的安全防護服務和產品,獲得及時有效的安全保障。云服務提供商可提供針對云計算環境的可視化安全監控和防護能力,以幫助云服務客戶發現和堵塞安全漏洞、檢測可疑行為、及時響應可能的入侵攻擊等。云服務提供商可提供的安全能力包括基礎設施保護、數據保護、入侵檢測和分析、身份認
19、證與管理、托管防火墻等。 適配多場景的安全解決方案云服務客戶在進行數字化轉型的過程中,會應用許多新技術,并開發新的業務場景。新技術應用和業務流程變革的同時也帶來了新的安全風險,這些風險可能會對云服務客戶造成困擾并引發對應用新技術的擔憂。企業的數字化轉型往往離云服務提供商與云客戶應雙方協作, 共同提升云安全能力云服務安全治理白皮書11不開云服務,云服務提供商通過運用創新能力,整合多種成熟的產品,整合最新的技術,為云服務客戶的各種業務場景設計網絡安全解決方案,為客戶的數字化轉型保駕護航,使客戶可以更放心地對新技術變更進行投資。例如,部分云服務提供商向客戶提供內容審核服務,可自動進行違規內容檢測,幫
20、助客戶降低業務違規風險。 豐富的云安全生態體系豐富的云安全生態體系極大地拓展了云安全服務的品種,使云服務客戶在產品選型上有更大的自主空間,有助于云服務客戶更靈活地根據不同的場景需求選擇適配的服務和產品,提高其IT系統的安全性。 其他云安全服務云服務提供商還可以向客戶提供安全與合規咨詢、安全托管等服務,使云服務客戶可借助云服務提供商的能力和經驗,快速獲得高水準的安全管理能力。尤其是在多云環境下,云服務客戶在獲得高水平云服務提供商的幫助后,在提升多云安全管理能力上將起到事半功倍的作用。云服務安全治理白皮書12業界可參考實施的主流安全管理體系無論是云服務提供商(Cloud Service Provi
21、der,簡稱CSP)還是云服務客戶(Cloud Service Customer,簡稱CSC),都需要對彼此的云資產安全承擔各自的責任。國內外可供組織選擇的安全標準有多個,其中的典型代表列舉如下: 以ISO/IEC 27017 及 ISO/IEC 27018為代表的ISO信息安全標準國際標準化組織ISO制定并發布了ISO/IEC 27000系列,指導組織建立信息安全管理的體系。ISO/IEC 27000系列是是目前國際上被廣泛接受和應用的信息安全管理體系認證標準集,以ISO/IEC 27001為典型代表,目標是提供建立、實施、保持和持續改進信息安全管理體系(ISMS)的要求,該標準以風險管理為
22、核心,通過定期評估風險和對應的控制措施來有效保證組織信息安全管理體系的持續運行。云安全業界多個標準均以ISO/IEC 27001 ISMS體系為基礎,這些標準包括CSA CCM、MTCS、C5等。2019年,在融入以歐盟GDPR為參考的隱私保護控制要求后,ISMS體系擴展為隱私信息保護體系(PIMS),并形成了新的標準ISO/IEC 27701。在云服務環境中,組織可通過實施基于ISO/IEC 27001的云安全擴展要求ISO/IEC 27017及云隱私保護要求ISO/IEC 27018,使信息安全保護體系更適應云計算安全的特殊需求。云服務安全治理白皮書13 云安全聯盟CSA CCM由云安全聯
23、盟(CSA)推出的云控制矩陣 v4(CCM v4)包括17個控制域中的197個控制目標,全方位涵蓋了云計算技術的安全領域。它可以用作對云計算實施的系統性評估工具,也可以作為云計算供應鏈中各角色與安全控制關系的指導。其目標是: 確保覆蓋來自新云技術的需求(例如,微服務、容器)和新的法律和監管需求,特別是在隱私領域。 改善控制的可審核性,并為組織提供更好的實施和評估指導。 在共享責任模型中明確云安全責任的分配。 改善與其他標準的互操作性和兼容性。 新加坡多層云安全 (MTCS) 標準MTCS 在新加坡資訊通信媒體發展管理局 (IMDA) 信息技術標準委員會 (ITSC) 的指導下擬定,是首個具有不
24、同安全級別的云安全標準,可讓經認證的云服務提供商指定他們所屬的級別。MTCS 建立在公認的國際標準(如 ISO/IEC 27001)基礎之上,覆蓋的領域有數據保存、數據主權、數據可移植性、債務、可用性、業務連續性、災難恢復和事件管理。MTCS旨在提供:a) 常用標準,云服務提供商可采用該標準來解決客戶對云端數據的安全性和機密性以及使用云服務對業務的影響的顧慮。b)可驗證的操作透明度,以及對客戶在使用云服務時所面臨的風險的洞察。該標準還包括一種機制,可供客戶按照一系列最低基線安全性要求對各大云服務提供商的能力進行標準檢查和排名。 德國云計算合規標準目錄(C5)C5的全稱是Cloud Comput
25、ing Compliance Criteria Catalogue(云計算合規標準目錄),是由德國聯邦信息安全辦公室(BSI)在德國推出的一種德國政府支持的鑒證機制,可幫助云服務提供商證明其在德國政府的“對于云提供商的安全建議”中提到的常見網絡攻擊方面的運營安全性。由于云計算硬件、軟件以及其服務的高度標準化,客戶通常不了解其詳細信息,導致云服務提供商必須想方設法以建立和維持極高的信任度。C5推出的目的就是云服務安全治理白皮書14為了評估云服務的信息安全性,從而建立這種信任。C5以業內已有的信息安全標準(例如ISO/IEC 27001和CSA CCM)為基礎,并使審計員可以根據國際審計標準進行審
26、計。 該標準目錄包含有關云服務信息安全的17個目標。每個目標均被分解為實現該目標所需的標準。這些標準分為基本標準和附加標準?;緲藴史从沉嗽品湛蛻羰褂迷品諘r,云服務提供商必須提供的最低信息安全級別,這也是C5審計的最小范圍。對于信息對保護有更高需求的云服務客戶,可基于附加標準來進行評估。另外,云服務提供商還可以在C5評估時中包括其他的安全標準。云客戶可以通過閱讀C5鑒證報告來了解云服務提供商為滿足C5要求而實施的安全控制,并對控制機制的設計適當性和執行有效進行評估。目前業界廣泛接受的云安全治理體系,如ISO/IEC 27001/27701/27017/27018系列、CSA CCM、MTC
27、S、C5等,大多是以傳統安全概念分類為基礎來劃分安全管理領域。對主流云安全治理體系進一步優化的思考圖 6 ISO/IEC 27701 隱私信息管理體系框架信息安全方針隱私保護要求信息安全組織資產管理訪問控制密碼學供應商關系信息安全事件管理業務連續性管理的信息安全方面符合性物理和環境安全操作安全通信安全信息系統獲取、開發和維護A.對PII控制者的控制目標和控制措施B.對PII處理者的控制目標和控制措施ISO/IEC 27701 PIMS隱私信息管理體系人力資源安全云服務安全治理白皮書15中國信息通信研究院牽頭制訂云計算風險管理框架行業標準,并同步于國際電信聯盟(ITU)進行國際標準立項推進。標準
28、針對云計算運行過程中面臨出現的服務不可用、數據丟失、數據泄露等風險后果提出管理方法,包括風險評估、風險處置、風險接受、風險溝通以及風險監視和評審等內容,對云計算涉及的所有系統、人員、管理制度進行風險管理。圖 7 德國 C5:2020 云安全管理框架信息安全組織(OIS)安全政策和說明(SP)安全事件管理(SIM)業務連續性管理(BCM)合規(COM)處理政府機構的調查請求(INQ)產品安全性(PSS)資產管理(AM)訪問控制(IDM)加密和密鑰管理(CRY)可協性和互通性(PI)對服務提供商核供應商的控制和監測(SSO)物理安全(PS)操作安全(OPS)通信安全(COS)信息系統獲取、開發和維
29、(DEV)人力資源HR云安全聯盟(CSA)在2017年推出的云計算關鍵領域安全指南V4.0中,將ISO/IEC 27001信息安全管理體系進行拓展,結合云安全控制矩陣(Cloud Control Matrix,CCM),將云安全框架分為治理(Governance)和運行(Operations)兩大域。圖 8 CSA 云計算關鍵領域安全指南 V4.0 云安全架構治理域運行域治理和企業風險管理法律問題合理性和審計管理信息治理管理平面和業務連續性相關技術(大數據、物聯網loT和邊緣計算等)基礎設施安全虛擬化和容器技術事件響應、通告和補救應用安全數據安全和加密身份、授權和訪問管理安全即服務云服務安全治
30、理白皮書16諸如此類安全框架劃分方式的優點是讓組織容易理解需要采取什么安全措施,容易集中專業領域知識,但與云服務各管理流程缺乏關聯性,不利于職能部門理解自己角色所需要承擔的安全職責,這可能導致一些安全職責無人承擔。以華為云為例,目前已上線220+云服務、210+解決方案,云市場商品達4500+,服務全球眾多知名企業。如何在維護如此巨大的產品線及業務規模的同時,仍然堅持對內實施最高標準的信息安全治理,其實對華為云的安全合規部門來說是一個極其巨大的挑戰。為了在企業內有效牽引網絡安全及隱私保護的治理體系建設,華為云已參照國際主流安全標準建立了網絡安全及隱私保護的治理體系,并通過了80+國內外權威組織
31、的信息安全認證與評估(參考鏈接https:/ 27017/27018、CSA CCM、新加坡MTCS、德國C5,以及我國的GB/T 31168等。這些標準對于指導云服務企業建設與完善網絡安全與隱私保護治理體系發揮了重要而積極的作用。但是由于這些標準需要考慮被行業內各云服務提供商普遍接受并可執行,需要照顧到各云服務提供商的平均發展水平,因此相關控制要求的高度和解決方案的先進程度受到一定限制?;谠品杖鞒痰陌踩卫硇麦w系 “3CS”出于上述原因,華為云認為有必要對目前的安全治理體系進行整合與優化。其基礎理念是基于云服務各業務模塊的流程,劃分相對應的安全控制領域,使安全控制要求得以嵌入到云服務管
32、理流程中,且確保安全管理責任清晰明確、可度量、可追溯,從而實現全面有效的安全治理。安全部門在與業務部門溝通安全控制要求時,業務部門也更加容易理解基于本職流程需要執行哪些控制措施。另外,針對安全風險的控制措施,需要與國內領先云服務提供商的業務體量與市場地位相匹配,確保相關安全控制措施的先進性,可牽引國內領先云服務提供商安全治理能力向世界領先水平邁進?;谏鲜隼砟?,華為云開發了一套涵蓋業界主流云安全標準以及華為云安全管理要求的治理體系,并稱之為“云服務網絡安全與合規標準”(Cloud Service Cybersecurity & Compliance Standard),簡稱“3CS”。
33、這套治理體系可為有意愿借鑒華為實踐經驗的企業或合作伙伴提供有價值的參考方案?!?CS” 體系的配套方法為了有效檢查對安全控制要求的執行效果,云服務提供商還需要與之配套的審核和度量方法,以檢驗執行的符合性和有效性。因此,本治理體系包括以下組成模塊:云服務安全治理白皮書17 云服務全流程安全與隱私治理框架。 可分級實施的控制集。 對控制要求的審核方法。 對各管理領域度量方法。 對云服務安全成熟度評估方法。由于云安全責任已經落實到每個云服務管理流程,通過對安全控制的實施效果進行度量,云服務提供商能夠了解某個流程的負責部門是否執行了足夠的安全保障,以及存在哪些薄弱環節和改進空間。通過管理措施的優化,云
34、服務提供商能夠進一步提升云安全治理的效率和有效性?!?CS”體系在進行框架設計時已考慮到在行業內的普遍適用性,各組織在應用此治理框架時可根據本組織的職能劃分,進一步對框架內各控制領域進行調整,使之更好地適配組織的治理架構?!?CS” 體系的特點“3CS”包含了華為云的網絡安全與隱私保護管理控制集,是目前國內已知最全面最嚴格的云服務安全控制集合之一。該體系緊密結合云服務相關業務管理流程集,實現可審核、可度量、可追溯的云服務安全控制。其長遠目標是全面降低云服務各相關流程的安全風險,打造國內云服務行業新的安全治理體系。該體系具有以下特點: 以云服務相關業務流程集作為治理框架,將安全治理與云服務業務緊
35、密結合。 以全球十多個主流安全標準為基礎。 融合華為在云安全治理方面的深刻理解與全球運營實踐經驗。 已經在華為云內部實施,確保體系可落地實施。 考慮了行業共性特點,確保體系具備普遍適用性。如應用“3CS”治理體系,云服務提供商將可得到不低于國際主流安全標準的安全控制集,以及配套的審核與度量方法。云服務提供商可根據自身的業務發展水平,選擇適合本單位的成熟度等級進行對標,牽引自身安全管理水平的提升。該治理體系能夠幫助云服務提供商提高對云安全治理的理論認知和實踐水平,共同構筑安全穩健的云計算環境,使得云服務提供商可從不斷增長的云計算服務市場中獲益。除此之外,云服務客戶也能夠從中獲得啟發。一方面,云服
36、務客戶可根據其自身的實際情況,選取合適的安全和隱私保護基線,作為提高本組織安全和隱私保護能力的參考依據,尤其是那些擁有私有云服務的云服務客戶。另一方面,根據相關控制要求,云服務客戶能夠增進對云服務提供商信息安全和隱私保護能力水平的理解,有助評估云服務提供商在提供云服務時是否能夠滿足預定義的管理目標和相關控制要求,從而在挑選云服務提供商時,能夠更好地進行決策。云服務安全治理白皮書18對“3CS”體系的詳細介紹在“3CS”框架中,各種安全控制活動可被劃分為三大板塊,涵蓋云服務安全治理、云服務管理支撐、數據中心運營、云基礎架構、云平臺運營、云服務產品安全、安全運營、商業運營八個領域(如圖9)。對三大
37、板塊、八大安全領域與云服務流程集的關聯關系可作如下理解:第一大板塊涵蓋“云服務安全治理”與“云服務管理支撐”兩個領域?!霸品瞻踩卫怼鳖I域包含了企業進行安全治理的各種職能,從確定戰略、管理組織、基于風險進行安全管理規劃、高度重視數據安全和隱私保護的專項治理、持續執行評估和審計,形成了可持續優化的云安全治理循環機制?!霸品展芾碇巍鳖I域包含了人員管理、辦公環境管理、供應鏈管理、資產管理、業務連續性管理、項目管理等管理職能,為企業提供了通用的運營管理支持。云服務安全治理流程集對全公司的網絡安全和隱私保護管理進行控制和指導,并結合云服務管理支撐流程集對各業務領域的安全管理提供支持?;究蚣茉品?/p>
38、安全治理白皮書19第二大板塊包括“數據中心運營”、“云基礎架構”、“云平臺運維”、“云服務產品安全”、“安全運營”等五個領域。組織的云平臺及服務能力可由數據中心建設與運營、云基礎架構的構建與運維、云產品的開發與運營、安全漏洞管理與攻擊防護等一系列活動來實現。圍繞這些活動流程的各個環節,識別需要進行安全控制的節點,明確需要采取的安全控制措施,便可根據不同的IT職能模塊以及相應的管理流程集,劃分出與云服務安全能力相關的五個領域。這五個領域之間有明確的分工,共同協力打造安全可靠的云計算服務能力。第三大板塊對應“商業運營”領域。技術部門提供云計算能力,商業運營部門則負責將這些能力向客戶推廣和交付,并且
39、從客戶收集對云服務能力的新需求,促使技術部門提升云服務能力,以此不斷推動企業云服務水平的提升。在進行業務運營的過程中,相關業務部門需要注意規避或消減相關的業務安全與合規風險?!吧虡I運營”領域明確了對云服務提供商業運營過程中需采取的控制措施,指導業務部門以安全、合規的方式向客戶傳遞云服務的商業價值。依據此管理邏輯,各種組織均可參考“3CS”各領域流程活動建立適合本組織的安全治理體系。由于框架中各領域之間鮮明的層次關系,組織可以有明確的依據將各種安全管理職責落實到相關職能的責任部門當中,并結合安全績效度量與獎懲牽引,實現全面有效安全治理的目標。圖 9 基于云服務全流程的“3CS”安全管理框架云服務
40、全流程安全隱私治理1、云服務安全治理1、云服務安全治理1.1 戰略與規劃管理1.2 安全管理組織5.1 制定規程5.2 身份與訪問管理5.3 證書與密鑰管理5.4 配置管理5.5 變更管理5.6 容量管理5.7 日志與監控5.8 備份與恢復1.3 風險管理1.4 數據安全1.5 隱私保護1.6 評估與審計2、云服務管理支撐7、安全運營5、云平臺運維6.1 制定規程6.2 云服務安全6.3 開發過程安全6.4 開發環境安全6、云服務產品安全8.1 制定規程8.2 業務風控8.3 合同協議8.4 透明與溝通8、商業運營4.1 制定規程4.4 主機與容器安全架構4.2 云安全架構4.5 虛擬化安全能
41、力4.3 網絡安全架構4.6 應用安全能力4、云基礎架構3.1 制定規程3.2 數據中心建設3.3 數據中心管理3、數據中心運營2.1 人員安全管理7.1 制定規程7.2 威脅與漏洞管理7.3 滲透測試7.4 安全監控7.5 安全事件響應與恢復2.2 辦公環境安全2.3 供應鏈安全管理控制、指導、支持需求能力2.4 資產管理2.5 業務連續性管理云服務安全治理白皮書20華為云“3CS”安全體系框架涉及八大安全域的控制內容,當中包括云服務安全治理、云服務管理支撐、數據中心運營、云基礎架構、云平臺運維、云服務產品安全、安全運營和商業運營。在這八大控制領域下,又分別劃分為若干子領域,并進一步細分為一
42、級要求和二級要求,其中二級要求是為實現一級要求的管理目標而采取的具體行動或措施,且二級要求當中包含若干關鍵因素,必須在實施時予以實現。安全控制要求本體系所使用的控制措施,以及相關的實施要求,是綜合參考了多個國際廣泛認可的信息安全標準和技術指南,以及華為公司內部安全管理要求和行業優秀實踐后,精心制定的。各領域的控制目標及相關控制要求的概述如下:領域一 云服務安全治理本領域描述了云服務提供商在進行安全治理和規劃時,應執行的若干活動,從而得以在組織層面確立遵循PDCA(Plan-Do-Check-Act)質量改進循環的安全治理方法。本領域的主要面向對象為云服務提供商內部的安全治理及規劃職能相關部門。
43、本領域的管理目標是根據業務要求和法律法規提供云安全管理方向,建立管理框架,指導和控制組織范圍內安全和隱私保護的實施和運行;定義和組織風險評估,及時識別和處置安全和隱私保護風險;執行云安全和隱私保護審計,確保相關的管理和控制有效實施。圖 10 完整“3CS”控制要求示例一級編號二級編號主題一級要求二級要求關鍵要素補充說明4.3.2123網絡分區隔離應對云基礎設施的網絡進行安全分區管理,并進行相應隔離。應根據資產敏感度、風險評估結果等制定網絡安全區域劃分原則。網絡安全區域劃分原則應滿足以下要求:在邏輯上或物理上對云客戶進行隔離;避免將關鍵網絡區域部署在云服務提供商 內外網絡邊界處。隔離保護應滿足以
44、下要求:將允許公開直接訪問的系統組件,劃分在隔離的子網上(如DMZ),確保與租戶面網絡的隔離;對云客戶之間的數據流量進行隔離。租戶面網絡、云服務管理網絡和內部網絡之間的隔離應滿足以下要求:確保租戶面網絡和云服務管理網絡之間,以及租戶面網絡和內部網絡之間的隔離,不允許直接訪問;確保云服務管理網絡和內部網絡之間的隔離,僅允許通過授權和雙因素身份驗證進行訪問;確保租戶面網絡和內部網絡的身份驗證源應分開;確保僅允許從內部網絡的特定IP地址訪問云服務管理網絡和租戶面網絡。安全區域劃分如:受信任區域、不受信任區域。另CIS建議:14.1根據存儲在服務器上的信息標簽或分類級別對網絡進行分段,在分離的虛擬局域
45、網(VLANs)上定位所有敏感信息。應為第四圾業務應用系統劃分獨立的資源池?!霸试S公開直接訪問的系統組件”指云服務門戶(Portal)等CIS指引要求14.2啟用vlan之間的防火墻過濾功能,確保只有經授權的系統才能與其他系統通信,且此類系統是履行特定業務所必需的。14.3禁用所有工作站到工作站的通信,以限制攻擊者橫向移動(通過私有vlan或微分段等)技術危害鄰近系統的能力。1)租戶面網絡:客戶訪問云服務,可用來承載其數據或應用程序的計算資源。2)云服務管理網絡:用于對租戶面網絡執行管理和維護任務的網絡段。3)內部網絡:用于內部業務流程的網絡段,與提供云服務無關。4)關于隔離的實現方式:以下標
46、準條文有較明確要求,應實現物理隔離,如:根據C5 COS-06增強要求:在laaS/PaaS的場景下,可以通過物理隔離的網絡或強加密VLAN進行安全隔離。根據(GBT 31168 6142 c)構建物理上獨立的運維管理網絡,部署資源管理平臺、運維管理系統,以對云計算平臺進行管理,如新的網絡隔離技術方案并非嚴格意義上的物理隔離,則應提供詳細說明,證明該方案可提供與物理隔離同等強度的安全控制。應對提供外部或租戶訪問的網絡進行隔離保護。應對租戶面網絡、云服務管埋網絡、內部網絡分別實施隔離保護。云服務安全治理白皮書21本領域的相關控制要求可概括為: 戰略與規劃管理云服務提供商應確定網絡安全和隱私保護的
47、治理目標,制定網絡安全和隱私保護的管理策略,并制定、實施相關行動計劃,同時提供所需資源,以實現企業網絡安全與隱私保護目標。此外,云服務提供商還應對網絡安全和隱私保護管理策略的實施情況進行監控、度量與評估,并通過對網絡安全與隱私保護管理策略的定期審核與更新以實現策略的持續改進。 安全管理組織云服務提供商應建立網絡安全與隱私保護管理組織。 風險管理云服務提供商應明確安全風險管理的目標與范圍,并制定風險管理的策略、流程及操作指導,形成文檔后分發給相關人員指導實施活動有效開展。同時,云服務提供商還應定期對組織范圍內的信息資產及活動進行風險識別與評估,并對風險進行處理,以確保殘余風險降低到可接受水平。
48、數據安全云服務提供商應制定數據安全治理的策略、流程及操作指導;同時應制定和維護數據流圖與數據清單,用以準確識別系統敏感數據的狀況。在數據采集過程中,應進行數據的分級分類與標識,并確保數據的保密性、完整性和合規性;在數據使用過程中,應對數據的使用實施控制,以保障數據安全和正當使用;在數據傳輸過程中,應實施技術措施,以確保數據在傳輸過程中的安全性;在數據存儲過程中,應采取相關安全控制措施,以滿足當地法律法規的要求,防止數據被破壞、篡改和泄露;在數據銷毀過程中,應建立數據數據安全銷毀流程,以確保數據的完全刪除。此外,還應定期審核并更新數據安全相關控制措施的執行情況。 隱私保護云服務提供商應制定隱私保
49、護的策略、流程及操作指導。在開展涉及個人信息的業務活動時,應遵循隱私保護的基本原則,以確保業務活動的合法合規。在收集個人信息前,應以完整、透明、及時、清晰易懂與易于訪問的形式告知個人信息主體,并基于個人信息主體的同意、合同協議的履行或者其他法定事由,實施對個人信息的收集。且在收集個人信息時,應遵循最小化原則,并確保對個人信息的使用、處理和存儲與所授權的范圍保持一致。此外,還應進行隱私影響評估,以識別可預見的隱私風險和威脅,并在實施控制措施確保向第三方披露的隱私安全的同時,提供處理個人信息主體合法請求的機制,以保障個人信息主體的合法權利。 評估與審計云服務提供商應成立網絡安全與隱私保護審計委員會
50、,并制定評估與審計的策略、流程及操作指導。此外,還應制定并維護網絡安全與隱私保護審計計劃,并按計劃實施網絡安全與隱私保護相關的審計,對審計發現進行持續跟蹤,確保糾正措施的有效實施。云服務安全治理白皮書22領域二 云服務管理支撐本領域描述了云服務提供商企業內部的通用管理模塊和流程中的安全管理要求。這些管理模塊可能并不直接參與云計算業務的運營,更多地是向云計算業務提供企業內部管理能力的支持,其職能可以由集團總部、共享服務中心、外部服務商等單位來承擔。本領域主要面向對象為云服務提供商內部負責制定或執行相關內部管理流程的部門。本領域的管理目標是根據云安全和隱私保護的管理方向,建立在人員安全、物理環境安全、供應鏈安全、