云安全检查表 云安全评估表 cloud security checklist 中文

1.综述
云计算租户考虑第一的就是安全性，各个提供商不惜重资打造安全，就在不久前阿里云通过了ISO27001认证，向外展示了其安全方面的努力。

那作为用户我们除了凭认证来审视一个服务商外，还是不够的，我们需要详细的审视。

租户们要确保所选的云提供商满足自己的安全需求，同时云提供商除了达到一些标准测评的同时，也也要不断根据云计算的特性进行有针对性的保护。

由于云计算的不同的部署模式和服务方式决定了责任和范围的不同，根据服务模式的不同用户需要承担的安全责任也不同，如在SaaS中用户只需要对自己的数据安全负责，而软件安全，平台安全，基础架构的安全都应该是服务商提供。

而在IaaS中用户则要对平台，数据，操作系统负责，提供商至负责hypervisor的安全和基础结构的安全。

所以明确责任是云安全中重中之重。

2.评估云安全的清单
云开发安全评估清单的目的是：提供为检验云安全以及获得云服务提供商对其安全的保障的统一方法。

然而，正如本章介绍中所描述的，潜在客户或用户也可以讲这样的快清单用于比较不同提供的云安全。

本部分剩余的内容提供了构成评估云安全框架要点的清单。

这些清单中的问题来自几个来源，包括云安全联盟云控制矩阵、欧洲网络与信息安全局（ENISA）信息安全保障框架，以及美国国家标准技术研究所（NIST）800-53R3。

清单的一个应用是：云所有者可以使用清单指导对云的安全评估。

如果云提供商将这样的清单作为框架而报告他们的云的安全性，那么潜在租户以及用户便能够比较多个云的相关安全性。

公共云客户也可以使用这个清单提供与其业务需求相关的一系列问题。

这些问题不一定都与所有的使用或者业务关系相关联。

下面的每个部分都是围绕着一套密切相关的控制要求进行组织编排的。

图1-1描绘了评估清单部分的综述，并列出了每个部分的控制或要求组合。

图1-1 评估清单综述
2.1. 基础安全
安全策略定义了机构对于安全的要求或规则。

安全策略描述了限制和要求，个体以及团体的运营必须在此限制和要求之下，安全策略是安全管理目标的声明。

关于安全而采取的行为应当可以明确的追溯到安全策略。

可能存在几个类别的策略，包括整体安全策略以及处理更为限定的领域的附加策略（例如一个可接受使用的策略）。

策略侧重于实现所需要的结果，而不是具体的实施。

增强这些策略是具体领域的其他要求声明。

通常定义标准作为技术控制或具体强化要求覆盖这些具体领域。

标准描述的强制行为是支持策略的。

指导方针是第三类文件，它没有那么正式，往往是程序化的最佳实践。

实践推荐或描述实施程序的框架来支持安全策略的目标。

换句话说，策略描述为什么，标准描述做什么，而指导方针描述如何去做。

清单1-1涵盖了与策略、标准以及指导方针相关的基础安全元素。

清单1-1 策略，标准及指导方针
●作为代表管理目标的安全策略，是否已经清晰的向有关方面进行记录、批准和表
示？
●安全策略是否有法律、隐私以及其他治理方面的检查？
●是否通过安全标准以及/或者指导方针增强了安全策略？
●是否通过安全策略增强了策略？
●安全和隐私策略，以及标准与指导方针是否与行业标准（例如27001、CoBIT等）
相一致？
●第三方提供商是否坚持同样的策略和标准？
清单1-2覆盖了侧重于云服务提供商透明度的评估标准。

清单1-2 透明度
●云服务提供商是否为客户提供治理策略、标准以及指导方针的副本？
●客户是否会被告知治理策略、标准以及指导方针的变更？
●云服务提供商是否对客户提供第三方合规性审计的可见度？
●云服务提供商是否对客户提供渗透测试的可见度？
●云服务提供商是否对客户提供内部和外部审计的可见度？
●云服务提供商是否对客户提供云服务提供商资产管理和设备重新利用的可见度？
云的人员安全是运营安全所在的基础。

人员安全的目标是避免几类安全风险并创建强化在安全策略中描述的目标的环境。

清单1-3列出了关于人员安全的评估标准。

清单1-3 人员安全
●是否有对于以下的策略及程序:
●雇佣对云组件具有访问权限或控制的雇员？
●对具有特权权限的人员在雇佣前进行调查？
●人员安全在多个地点间是否一致？
●这些策略及应用程序是否应用于在线云系统及数据，并且应用于存储数据的离线系
统，或者是将为在线使用而开通的离线系统？
●是否有安全培训计划，如果有，这个计划有多么全面？
●是否经常对人员安全进行检查并确定具有访问权限的雇员是否应当据需拥有权
限？
●是否要求人员具有并保证安全认证？
●对云服务提供商设施的物理访问是否要求背景检查？
●分包商或第三方提供商的使用会对客户带来不应有的风险，除非这些提供商遵从并
依照云服务提供商的策略运营。

清单1-4具体描述了第三方提供商的标准。

清单1-4 第三方提供商
●是否有任何由第三方提供的服务或功能？
●如果云的任何部分进行分包或外包，提供方是否遵从云服务提供商执行的同样的策
略与标准？
●如果遵从这些，是否对第三方提供商进行云服务提供商策略及标准的合规性审计？
●云服务提供商的安全策略（或等价物）及治理是否延伸到所有的第三方提供商？
2.2. 业务考虑
各种业务考虑都伴随着安全考虑的需要。

业务考虑包括法律、业务连续性以及资源开通。

在清单1-5、清单1-6和清单1-7中列出了这些评估标准；清单1-5覆盖了法律标准。

清单1-5 法律
●数据将存在哪里，即在哪个司法管辖范围内？
●云服务提供商成立于哪里，即在哪个司法管辖范围内？
●云服务提供商是否使用并不位于相同司法管辖范围内的第三方提供商？
●云服务提供商是否将任何服务或人员进行分包？
●云服务提供商是否以任何不属于服务部分的方式使用数据？
●对于客户数据，云服务提供商是否有响应法律要求（例如传票）的已形成文件的程
序？
●在传票的情况下，云服务提供商如何只为单独客户产生数据而并不会提供非传票要
求的数据。

●云服务提供商是否提供对损失的保险，包括赔偿由于云服务提供商停运或数据泄露
而造成的客户损失？
业务连续性对于按照任务关键方式使用基于云的服务的客户可能是十分重要的。

与业务连续性相关的标准在清单1-6中列出。

清单1-6 业务连续性
●云服务提供商是否有记录并指导业务连续性的正规流程或应急计划？
●服务的恢复点目标和恢复时间目标是怎么样的？
●在恢复与重建方面信息安全是否完整?
●云服务提供商如何将服务损坏通告客户？
●是否有用于灾难恢复的辅助站点？
清单1-7 资源开通
●需要部署哪些控制和程序以管理资源耗尽的情况，包括流程超额配置、内存或存贮
耗尽，以及网络拥塞？
●为了满足服务水平协议（SLA），云服务提供商是否会限制对服务的订购？
●云服务提供商是否会对客户提供使用及功能计划信息？
2.3. 纵深防御
运营云的完整性和安全性取决于构成云的组件的完整性。

软件是漏洞攻击的主要目标。

清单1-8 软件保证
●为了维护操作系统、应用程序、固件升级、配置文件以及其他软件的完整性，需要
部署哪些控制？
●需要遵循哪些行业标准、指导方针或最佳实践?
●使用哪些控制或指导方针获取或下载软件和配置文件？
●使用哪些指导方针或程序维护软件的完整性？
●对于每个版本是否使用渗透测试或漏洞测试？
●已确定的漏洞是如何修复的？
清单1-9 网络安全
●为了管理来自外部和内部的攻击，包括分布式拒绝服务攻击，需要部署哪些控制？
●对于客户，管理程序在虚拟机之间的隔离室如何管理的？
●对于客户，网络硬件和路由在虚拟机之间的隔离是如何管理的？
●使用什么标准或最佳实践用于实施虚拟网络基础设施？
●对于介质访问控制地址欺骗，地址解析协议中毒等是如何防范的？
●客户可访问/可路由的系统以及云管理系统和基础设施之间的隔离是如何管理的？
●云客户的流程是否依靠脱离云的租户组件例如轻量级目录访问协议？
●云服务提供商是否定期对进行渗透测试？
●如果进行，是否同时从云外部以及从云和云基础设施内部进行渗透测试？
●云服务提供商是否对云基础设施、云管理设施内部进行渗透测试？
●云服务提供商是否对云基础设施、云管理以及客户可访问的组件进行漏洞测试？
●已确定的漏洞是如何追踪并解决的？
●漏洞信息对于客户是否可用？
●云服务提供商是否允许客户对于客户自身的虚拟机或其他容器实施漏洞测试？
清单1-10 主机和虚拟机安全
●客户虚拟机是否进行加密以及/或者在存储时进行保护？
●虚拟机映像在开通之前是否安装了补丁？
●虚拟机映像在开通后是如何以及多久间隔进行安装补丁的？
●虚拟机映像在开通前是按照什么标准或指导方针进行强化的？
●保护经过强化和安装了补丁的虚拟机映像的程序是怎样的？
●客户是否可以提供其自身的虚拟机映像？
●云服务提供商是否包含任何认证证书，如果有，这些证书是用来做什么的？
●对虚拟机映像的强化和安装补丁是否默认包括操作防火墙实例？（如果是的，被允
许的服务/端口是什么？）
●对虚拟机映像的强化和安装补丁是否包括操作入侵检测系统或者入侵防御系统？
●如果是的，在运营中云服务提供商是否具有对于这些的访问权限（如果有的，是怎
样的）？
●对虚拟机映像的强化和安装补丁是否包括云服务提供商或者租户具有访问权限的
任何形式的网络、性能或者安全设备？
●共处于服务器的不同客户的虚拟机之间的隔离是如何确保的？
●对于相同的客户，虚拟机之间的通信时如何实施的？
●存储系统中用户数据的安全是如何保障的？
●在存储系统以及客户虚拟机之间的用户动态数据的安全是如何保障的？
●在虚拟机和非云用户系统之间的用户数据以及用户交互的安全是如何保障的？
●云服务提供商是否为客户提供信息对客户安全进行指导，使客户安全适合于虚拟化
的环境？
清单1-11 PaaS和SaaS安全
●云服务提供商如何隔离多租户的应用程序？
●云服务提供商如何隔离用户或租户的数据？
●云服务提供商如何确定应用程序以及云基础设施中的新的安全漏洞?
●云服务提供商是否提供安全作为PaaS的服务功能（例如，认证、单点登录、授权以及
传输安全）？
●云服务提供商为租户/用户提供怎样的管理控制，这些管理控制是否支持定义/执行由其
他用户进行的访问控制？
●云服务提供商是否为客户提供隔离测试和生产环境?
身份及访问管理是云安全的重要元素。

清单1-12列出了身份及访问管理以及认证的评估标准。

清单1-12 身份及访问管理
●是否有任何由云服务提供商控制的账号具有整个云范围的权限（如果有，是哪些操作）？
●云服务提供商如何管理管理员或较高权限的账户?
●云服务提供商是否使用二人规则的访问控制，如果有，是对于哪些操作?
●云服务提供商是否执行特权分离（例如，基于角色的访问控制RBAC）,如果是的，使用
什么角色限制哪些特权（安全、操作系统管理、身份等）？
●云服务提供商是否实施击碎玻璃访问，如果是的，在什么情况下允许这么做以及以后的
清理流程是怎样的？
●云服务提供商是否给予租户或用户以管理员权限，如果是的，有什么限制？
●云服务提供商是否在注册时核实用户身份，如果是的，根据给予访问权限的资源是否有
不同级别的检查？
●证书和账户是如何终止的？
●是否在云范围内以原子操作的方式完成证书和账户的取消？
●远程访问是如何管理和实施的？
对于云服务提供商提供的客户使用的身份及访问管理系统：
●这是否支持联合身份管理？
●云服务提供商的系统与第三方身份提供商的系统是否互通？
●客户是否能够包含单点登录？
●这个系统是否支持角色分离以及最小特权原则（Least PrivilegePrincipal,LPP）?在
下列场合下云服务提供商如何向客户核实其身份：
●当云服务提供商通过带外（Out-OF-Band,OOB）方式与客户或用户通信时？
●当客户通过API与云服务提供商交互时？
●当客户使用云管理界面时？
认证
●对于高度保障的云服务提供商的运营，是如何实施认证的？
●是否使用多因素认证？
●对于高度保障的运营的访问是否限定于只是运营云网络以及只是来自白名单中的IP地
址？
●入侵检测/异常检测是否检测多次失败的登录或者类似的可疑认证或损害证书的活动？
●如果客户的证书或账户遭到破坏会引发什么程序？
必须以准确和正确的方式处理密钥管理和密码系统，否则密码安全会很快遭到破坏。

清单1-13列出了这些领域的安全标准。

清单1-13 密钥管理和密码系统
●云服务提供商所控制的密钥：
●云服务提供商如何保护密钥，已经实施了怎样的安全控制？
●是否使用硬件安全模块保护这些密钥？
●谁具有这样密钥的访问权限？
●对于登录和加密操作，这些密钥是如何保护的？
●对于管理密钥以及从受损密钥进行恢复，已经采取了哪些程序？
●是否在云范围内对于密钥撤销进行原子操作？
密码系统
●加密用于哪些操作（以及在哪里）？
●是否所有的加密机制都基于经过第三方测试和评估过的产品？
●安全策略是否明确定义哪些必须加密？
到目前为止，我们在清单中涵盖了基础安全、业务考虑以及纵深防御的评估标准。

最后的清单解决了运营安全的问题。

2.4. 运营安全
公共云的许多顾虑与IT的物理安全处于第三方控制之中有关。

对于公共云，物理上的破坏会对众多客户造成影响。

清单1-14列出了数据中心物理安全以及数据中心电力及网络的评估标准。

清单1-14 数据中心：物理安全及电力与网络
云服务提供商必须维护用于实施和运营云的所有信息资源的现有的完整的清单。

实践情况（ITIL）是使用配置管理数据库（CMDB）对这种信息进行维护。

目前的发展水平是使用配置管理数据库自动化实施流程，并作为与其他云管理功能互通的集中化存储库。

清单1-15列出了数据中心资产管理的标准。

清单1-15 数据中心资产管理
●云服务提供商是否维护构成云的所有硬件、网络、软件以及虚拟组件的现有完整的
详细目录？
●云服务提供商是否自动化这种详细目录的追踪与管理？
●云服务提供商是否支持不同敏感级别的资产种类，如果支持，它们彼此是如何分开
或隔离的？
●云服务提供商是否维护对于不同敏感级别的资产的物理分离或隔离？
有效的安全性是个持续流程，需要对所有人员妥善定义程序和角色。

为了使其有效，这种程序必须预期各种类型的事件。

程序应当提供足够的指导，使人员可以对系统、流程以及其他情况的广泛范围的失效进行操作。

这些事件和响应必须作为经验教训整合到升级程序当中。

清单1-16 运营实践
●是否有正规的变更管理流程，是否有明确记录的程序？
●变更控制是否包括指导关于哪些变更需要重新评估风险这种决策的方法？
●运营程序是否明确记录并遵守？
●开发、测试、试运行以及生产是否有单独的环境？
●使用什么系统和网络安全控制对最终用户或租户的应用程序和信息进行安全防
护？
●使用什么安全控制以减少恶意代码？
●备份程序是什么（谁去做，哪些有备份，实施的频率怎样，采取什么形式，以及备
份是否定期测试）？
●备份储存于哪里，保存多久时间？
●在客户合同终结之后，云服务提供商是否会安全的删除客户数据的所有副本？
●在什么情况下使用行业最佳实践（例如消磁）对客户资源进行销毁？
●云服务提供商是否对构成云基础设施的每个组件记录安全基准？
事件管理及响应的目标是最小化或控制事件的影响。

应当妥善定义事件管理，以支持并指导云服务提供商以及客户减少非预期的事件或情况造成的结果的能力。

清单1-17列出了事件管理领域的评估标准。

清单1-17 事件管理
●在审计、系统以及网络日志中获取什么信息？
●这些信息保留多久，谁具有访问这些信息的权限？
●使用什么控制保护这些日志不受未授权访问，并保护这些材料的监管链？
●如何以及多久对日志进行审查？
●如何以及多久检查日志的完整性和完备度？
●所有的系统和网络组件是否同步到独立的时间源（网络时间协议NTP）？
●云服务提供商是否有正规的流程对事件进行检测、确认以及响应？
●是否定期测试这些流程以核实其是否有效及合适？
●是否遵从对监管链控制的法律要求对日志和其他安全数据进行维护，数据和控制是
否符合法律允许的取证要求？
●事件响应的升级流程是怎样的？
●云服务提供商是否使用入侵检测、安全监测，或安全事件和事件管理（SEIM）对事
件进行检测？
●云服务提供商是否将客户事件和事故信息接收至其安全监测和事件管理的流程当
中？
●云服务提供商是否提供事件的透明度，如果提供，与客户和用户分享什么类型的信
息？
●安全事件和安全日志是如何保护和维护的？
●安全日志保留多长时间？
●谁具有对这些日志的访问权限？
●云服务提供商是否允许客户在虚拟机内实施基于主机的入侵检测系统（IDS）？
●如果允许，客户是否能够将这种虚拟机入侵检测系统数据发送给云服务提供商进行
处理与储存？
●当发生事件时是如何记录的？
●事件结束后是如何分析事件的？
●云服务提供商是否可以提供客户虚拟机的取证映像？
●云服务提供商是否向客户报告关于事件的统计？
2.5. 清单指标
清单具有判断云安全的能力，潜在公共云客户以及私有云的所有者希望知道的是：
●实施的安全性如何？
●云服务提供商是否满足安全的最佳实践？
●云服务提供商满足独立的安全控制及要求的情况如何？
●服务与其他类型服务相比如何？
观察清单1-1~清单1-17，对于控制的如何实施以及如何测量方面可以有很大的变
化。

这使得对于每个问题确定指标是非常困难的。

当前应对这个挑战的测量安全性的方法是：对于具有领域（例如美国国家标准技术研究所NIST800-53R3）详细描述粒度的安全控制，并具体说明这些控制中哪些应用于运营在不同保障或敏感性等级的系统。

但即使如此，对实施的安全性的实际评估也是需要花费大量时间和成本的，而且还需要专业技能。

对于系统的认证认可（C&A）只是一种结果，代表一段时间的快照，随着系统的发展和经历的变更，必须重复对系统进行认证认可。

一般的，这些评估包含了大量的书面文件工作。

所需要的是对于这种评估流程自身的发展，而且由于IT以及云客户之间合同的特点，云计算要求更大程度的自动化。

这会是怎样的？首先，所收集的关于安全、系统和流程的信息和证据等人工产品必须在认证认可（C&A）的储存中整理，储存库相比传统形式的文件更像个数据库。

收集和整理这些信息的重要性在于：它支持对于独立的安全控制的符合程度如何的声明和主张。

使这些信息具有数据库形式对于多个实体都很有帮助。

在云实施中，多方使用相同的基础设施和控制。

安全评估应当支持关于这些控制的信息以及这些控制有效性的信息的重复使用。

云计算确实改变了安全的规则，而且也已经十分明确的是，云的采用不仅仅会驱动符合弹性与按需自助服务要求的更好的安全性，也驱动对于安全性的衡量与评估。

2.6. 总结
公共云功能的出现带来了对于更好安全性的需求的增长。

按照其特征，竞争的公共云服务面临着提供经济有效服务与功能集的需要，这使得对于云的应用更加容易。

但同等重要的是，需要将公共云服务视为符合IT要求的合适而安全的解决方案。

正因为如此，云服务提供商需要经受使用公认标准对其产品进行评估，除此之外别无选择。

类似的对于私有云，即使从最早的设计阶段便包含了安全要求，即使在构建和保护私有云过程中依从健全的原则，也还需要经历评估的实践。

本文中的安全清单的作用是指导读者开发自己的列表，核实云服务提供商或者私有云的安全性。

截止到这本书写作时，存在一些进行中的围绕这种需求开发行业或政府的指导方针的活动。

鼓励读者跟随参与这些活动的各种领先团体，研究这些工作的发展。

目前还不十分清楚这些团体中的哪些会获得怎样的成功，如今像云安全联盟（CSA）和云审计（CioudAudit/A6）这些团体之间已有大量的合作。

可以确定这是个快速发展的领域，云计算，云计算模式都独特性质也很有可能在对于这些评估标准的持续验证中促使实现更多的自动化。