概述
《ISO/IEC 27017:2015信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制的实施规程》是ISO / IEC 27002针对云计算服务的补充和增强,在这一点上,与在等级保护通用要求基础上,针对云计算服务给出的安全扩展要求如出一辙。但该标准为云服务客户和云服务提供商分别提供了实施这些扩展的信息安全控制的指导原则,在这点上值得借鉴,也是本文作者选择介绍该标准的重要原因。
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用。ISO/IEC 27017标准除对ISO/IEC 27002标准中37个控制提供了基于云端的指导,还给出了7个属于云计算技术特有的新安全控制,用以解决云计算服务存在的以下问题:
● 云计算环境中的共享角色和责任划分
● 当合同终止时,资产的移除/归还
● 客户虚拟环境的保护和分离
● 虚拟机配置
● 与云环境相关的管理操作和程序
● 云服务客户监控云中活动
● 虚拟网络和物理网络安全管理的协调
该标准内容分为18章和2个附录。该标准前3章为常规的范围、规范参考、定义和缩略语,第4章介绍了云领域的一些特殊概念,第5至18章节的标题和结构格式与ISO / IEC 27002一致,说明ISO / IEC 27002文本在各条款和段落中的适用性。当该标准适用ISO / IEC 27002中规定的目标和控制不需要任何附加信息时,可直接参考ISO / IEC 27002。当需要对云服务实施控制措施提供特殊实施指南时,在各相应控制的“云服务实施指南”子标题下给出。本文重点介绍基于云服务特定的实施指南,并适当结合等级保护的云计算安全扩展要求,以便拓展认识,更好地理解安全控制措施应用于云计算环境的特殊性。
标准内容
以下按照ISO / IEC 27017的章节顺序介绍第4-18章和附录的主要内容。
1.关于第4章 特定于云领域的概念
ISO / IEC 27002第15章“供应商关系”为管理供应商关系中的信息安全控制提供了实施指南。ISO / IEC 27017认为云服务的提供和使用也是一种供应商关系,云服务客户是获取方,云服务提供商是供应方,云服务客户和云服务提供商形成供应链,因此云服务客户应当按照“供应商关系”控制措施管理云服务提供商。不仅如此,如果某云服务提供商提供基础架构功能类型服务,另一云服务提供商提供应用能力类型服务,在这种情况下,第二云服务提供商相对于第一云服务提供商是云服务客户,并且相对于使用其服务的云服务客户它是云服务提供商。
面对上述情况,基本要求标准中通用要求的“服务供应商选择”控制点所要求的“整个服务供应链各方”,应当包括上述供应链中的所有云服务商,而云计算安全扩展要求中的“云服务商选择”控制点就不仅是云服务客户需要考虑满足控制要求,如果云服务商(例如SaaS服务商)也有选择云服务商(例如IaaS)的情况,则也需要满足该控制点的要求。
2.关于第5章 信息安全策略
该标准在第5章信息安全策略的信息安全策略控制下提出了针对于云服务的实施指南。该标准为表示某一控制点对云服务客户和云服务商实现的指导,采用如下形式,如针对该控制点给出如下实施指南:
云服务客户 | 云服务提供商 |
云计算的信息安全策略应定义为云服务客户的特定主题的策略。对于信息和其他资产信息,云服务客户的云计算信息安全策略应与组织可接受的安全风险级别保持一致。 在定义云计算的信息安全策略时,云服务客户应考虑以下因素: –云服务提供商可以访问和管理存储在云计算环境中的信息; –可以在云计算环境中维护资产,例如应用程序; 。。。 | 云服务提供商应增强其信息安全策略,以解决云服务的提供和使用问题,同时考虑以下因素: –适用于云服务设计和实施的基准信息安全要求; –授权内部人员的风险; –多租户与云服务客户隔离(包括虚拟化); –云服务提供商的员工访问云服务客户资产; 。。。 |
其中建议云服务客户制定云计算相关信息安全策略要考了的风险包括:云服务提供商可以访问和管理存储在云计算环境中的信息、云服务运行环境、云服务提供商可以存储(包括暂时)云服务客户数据的国家等。云服务商应采用适用于云服务设计和实施的基准信息安全要求、对云服务管理采用强身份验证等。
该标准提供的云服务提供商的信息安全策略是处理云服务客户的信息和业务流程,而不是处理云服务提供商自身的信息和业务流程,这些信息安全要求视为满足未来云服务客户要求的,因此,它们可能与云服务提供商的信息和业务流程的信息安全要求不一致。
由此我们得到启示,在对云计算平台进行安全测评时,检查的内容不能仅限于云平台保护策略,须包括处理云服务客户信息和业务的安全策略。
3.关于第6章 信息安全组织
该标准在信息安全角色和责任控制点下建议“云服务客户应与云服务提供商就信息安全角色和责任的适当分配达成一致,并确认可以履行其分配的角色和责任,双方的信息安全角色和责任应在协议中规定。”而建议 “云服务提供商应与其云服务客户、自己的云服务提供商和供应商商定并记录信息安全角色和责任的适当分配。”还建议在云平台上“定义和记录所有资产的所有权以及负责与这些资产相关操作(如备份和恢复操作)的各方。”说明必须通过协议明确责任分担结果,这不仅是云服务客户的责任,也是云服务商的责任。
对与职能机构的联系控制点该标准建议“云服务提供商应向云服务客户告知云服务提供商组织的地理位置以及云服务提供商可以存储云服务客户数据的国家/地区。”该标准认为“有关地理位置的信息可帮助云服务客户确定监管机构和辖区。”这一点与云计算安全扩展要求从第二级开始要求云服务提供商“应提供查询云服务客户数据及备份存储位置的能力。”是一致的。
4.关于第7章 人力资源安全
该标准在信息安全意识、教育和培训控制点中针对云服务客户建议在培训中增加以下内容:
使用云服务的标准和程序;
与云服务相关的信息安全风险以及如何管理这些风险;
使用云服务带来的系统和网络环境风险;
适用的法律和法规考虑事项。
对云服务提供商建议“云服务提供商应就云服务客户数据和云服务派生数据的适当处理为员工提供意识、教育和培训,并要求其承包商也这样做。”
5.关于第8章 资产管理
该标准在资产清单控制点建议云服务提供商在资产清单中明确标识云服务客户数据和云服务派生数据,并建议服务应用程序具备将云服务派生数据添加到云服务客户数据中来提供管理的功能,以此提高信息安全性。这类派生数据应包括云服务提供过程中产生的客户数据,如日志信息,通过本控制点建议将这类数据分客户进行标识并入客户数据进行管理,与云计算扩展要求中要求“应保证不同云服务客户的审计数据隔离存放 ”初衷是一致的,都是要区分不同客户的派生数据,尤其是审计日志。
6.关于第9章 访问控制
该标准在网络和网络服务的访问控制点要求建议“云服务客户的网络服务使用策略应规定云用户使用每个单独云服务的访问控制要求。”在用户注册和注销控制点建议“云服务提供商要管理云服务客户的云用户对云服务的访问,云服务提供商应向云服务客户提供用户注册和注销功能以及使用这些功能的规范。”在用户访问供给建议“云服务提供商应为云服务客户提供管理云用户访问权限的功能以及使用这些功能的规范”等,这三个控制点均涉及了三个角色,云服务提供商、云服务客户和云用户,后两个建议更是提给云服务提供商的,因为云服务客户对云用户的管理是要借助云服务提供商提供的安全功能并依据相关规范。对比等级保护标准中对云用户的管理是云服务客户的责任,与云服务提供商没有明确关系,但其中很多条款都即可用于评估云服务提供商是否提供了某功能,也用于评估云服务客户对功能的使用、配置和管理。
在用户的秘密鉴别信息管理控制点下建议“云服务客户应验证云服务提供商的秘密鉴别信息分配管理过程是否符合自身的要求”。
在特权实用程序控制点下建议“云服务提供商应识别云服务中使用的所有实用程序。应确保仅授权人员可使用能够绕过正常操作或安全程序的实用程序,并定期审查和审计这些程序的使用”。对于实用程序、系统工具等软件的使用并未在等级保护标准中加以控制,建议测评人员在云计算平台的测评中给予关注。
在本章和其他章节中,该标准多次建议“云服务提供商应向云服务客户提供有关其提供的所有功能的信息”,即云服务客户应方便地了解云服务商可以提供哪些功能,以便根据需要进行选择,这也是测评人员了解云服务提供商提供服务的渠道之一。同样,该标准多次建议“云服务客户应验证(verify)云服务商提供的安全功能是否满足自身的要求。”如果客户可以验证云服务功能,测评人员是否更应当在云平台测评时进行验证?
7.关于第10章 密码
该标准密钥管理控制点下建议“如果云服务提供商提供密钥管理功能,云服务客户应要求提供以下信息用于密钥管理:
–密钥的类型;
–关键管理系统的规格,包括关键生命周期每个阶段的程序,即密钥生成、更改或更新、存储、退出、检索、保留和销毁;
–建议云服务客户使用的关键管理程序。
当云服务客户使用其自己的密钥管理系统时,云服务客户应不允许云服务提供商存储和管理加密密钥。”测评人员可在云计算扩展要求要求“应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。”的测评中参考该标准的建议。
8.关于第11章 物理和环境安全
该标准在设备的安全处置或再利用控制点下建议“云服务客户要求云服务提供商确认其拥有安全处置或重用资源的政策和程序”,建议“云服务提供商应确保及时为资源(例如设备、数据存储、文件、内存)的安全处置或重用做出安排”。这里仅提出及时的要求,而云计算安全扩展要求的剩余信息保护控制点要求“应保证虚拟机所使用的内存和存储空间回收时得到完全清除”,要求更为明确,但缺少对云服务客户的指导。
9.关于第12章 运行安全
该标准在的变更管理控制点下建议“云服务客户的变更管理流程应考虑云服务提供商所做任何更改的影响”,“云服务提供商应向云服务客户提供有关可能对云服务产生不利影响的云服务变更的信息。”这一点是扩展要求没有考虑的。
此外,在容量管理、信息备份、事件日志、管理员和操作员日志、时钟同步、技术脆弱性的管理这6个控制下针对云服务对云服务客户和云服务提供商分别提出了实施指南。10.关于第13章 通信安全
该标准在网络隔离控制点下建议“云服务提供商应提供多租户环境中租户之间的隔离;云服务提供商的内部管理环境与云服务客户的云计算环境之间的隔离。在适当的情况下,云服务提供商应帮助云服务客户验证云服务提供商实施的隔离。”同样云计算扩展要求提出不同云服务客户虚拟网络之间隔离和保证云计算平台管理流量与云服务客户业务流量分离,基本一致,但协助验证的建议值得参考。
11.关于第14章 系统获取、开发和维护
该标准在信息安全需求分析和说明、安全的开发策略这2个控制点下建议云服务提供商应向云服务客户提供有关他们使用的信息安全功能的信息,而且提示,该信息应是信息性的,而不披露可能对恶意用户有用的信息。云服务客户应评估云服务提供商提供的服务是否能够满足其对云服务的信息安全要求。
12.关于第15章 供应商关系
该标准在供应商关系的信息安全策略控制点中,建议“云服务客户应将云服务提供商作为供应商类型纳入其供应商关系信息安全策略中,将有助于降低云服务提供商访问和管理云服务客户数据的相关风险。”而在在供应商协议中强调安全控制点中,云服务客户应在服务协议中确认以下与云服务相关的信息安全角色和责任,如恶意软件保护、备份、密码控制、脆弱性管理、事故管理、技术合规性检查、安全测试、审计、收集/维护和保护证据(包括日志和审计跟踪)、在服务协议终止时保护信息、认证和访问控制、身份和访问管理。在信息与通信技术供应链控制下,建议云服务商应确保等于或超过其云服务客户的信息安全等级;当云服务提供商基于供应链提供云服务时,云服务提供商应向供应商提供信息安全目标,并要求每个供应商实施风险管理活动以实现目标。
13.关于第16章 信息安全事件管理
该标准在责任和规程控制点中建议云服务客户对信息安全事件管理职责的分配进行验证,建议云服务提供商应定义与云服务客户之间在信息安全事件管理责任和流程的分配,并应向云服务客户提供相关文档,如向云服务客户报告信息安全事件的范围、事件监测和应对措施的披露程度、通知的目标时间范围、信息安全事件通知程序、处理与信息安全事件有关的问题的联络信息、可能适用的任何补救措施等。在报告信息安全事态控制点中,建议云服务客户和云服务提供商之间建立相关机制、定义相关流程,不论事件是由云服务客户或者云服务提供商监测到。在证据的收集控制点中,建议云服务客户和云服务提供商应就响应云计算环境中潜在数字证据或其他信息请求的程序达成一致。
14.关于符合性
该标准在适用的法律和合同要求的识别、知识产权、记录的保护、密码控制规则、信息安全的独立评审这5个控制下针对云服务对云服务客户和云服务提供商分别提出了实施指南。如云服务提供商应告知云服务客户有关云服务的法律管辖区,向云服务客户提供其当前遵守适用法规和合同要求的证据。云服务客户应要求云服务提供商证明其遵守云服务客户业务所需的相关法规和标准。这种证据可以是第三方审计员出具的证明。要求云服务提供商应向云服务客户提供有关云服务提供商收集和存储的与云服务客户使用云服务有关的记录保护的信息。云服务提供商应向云服务客户提供书面证据,包括独立证据,以证实其实施信息安全控制的主张。
除了ISO / IEC 27002的控制外,还有一些额外的控制,这些额外控制在规范附件A:云服务扩展控制集中给出。
额外控制1:CLD.6.3云服务客户和云服务提供商之间的关系——CLD.6.3.1云计算环境中的共享角色和责任。
控制描述:云服务使用中共享信息安全角色的责任应分配给已确定的各方,由云服务客户和云服务提供商记录、沟通和实施。
额外控制2:CLD.8.1.5删除云服务客户资产。
控制描述:云服务提供商场所中的云服务客户资产应在云服务协议终止后及时移除并在必要时归还。
额外控制3:CLD.9.5共享虚拟环境下云服务客户数据的访问控制——CLD.9.5.1虚拟计算环境中的隔离。
控制描述:云服务客户在云服务商运行的虚拟环境应受到保护,以免受到其他云服务客户和未经授权人员的影响。
额外控制4:CLD.9.5.2虚拟机加固。
控制描述:云计算环境中的虚拟机应经过加固以满足业务需求。
额外控制5:CLD.12.1.5管理员的操作安全。
控制描述:应定义、记录和监控云计算环境的管理操作过程。
额外控制6:CLD.12.4.5监视云服务。
控制描述:云服务客户应具有监视云服务客户所使用的云服务运行特定方面的能力。实施指南中指出,例如监测云服务是否用作攻击他人的平台,或者敏感数据是否从云服务泄露等。
额外控制7:CLD.13.1.4虚拟和物理网络的安全管理协调。
控制描述:配置虚拟网络时,云服务提供商应根据网络安全策略验证虚拟网络和物理网络之间的配置一致性。
这些增加的控制点由于是根据云计算环境新增,更具有针对性,在等级保护基本要求的云计算安全扩展要求中基本都有所涉及。
结语
27000系列标准是目前体系比较完整的信息安全标准集,其中的标准有规范性的或实施指导的,有行业应用指南或新技术领域指南的,有审核或评估人员参考的,或有针对人员的等等,学习27000系列标准对进一步等级保护标准体系,提高标准质量,拓展视野很有意义。
学习27017,不仅可以参考其对云计算安全的控制点,补充我们认识上的不足,也可以通过学习其给出的对云服务客户和对云服务商的实施指导,对在落实云计算环境落实安全控制有更好的把握。
作者:公安部信息安全等级保护评估中心 任卫红
声明:本文来自安全测评联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。