云安全检查表 云安全评估表 cloud security checklist 中文

1.综述

云计算租户考虑第一的就是安全性，各个提供商不惜重资打造安全，就在不久前阿里云通过了ISO27001认证，向外展示了其安全方面的努力。那作为用户我们除了凭认证来审视一个服务商外，还是不够的，我们需要详细的审视。租户们要确保所选的云提供商满足自己的安全需求，同时云提供商除了达到一些标准测评的同时，也也要不断根据云计算的特性进行有针对性的保护。

由于云计算的不同的部署模式和服务方式决定了责任和范围的不同，根据服务模式的不同用户需要承担的安全责任也不同，如在SaaS中用户只需要对自己的数据安全负责，而软件安全，平台安全，基础架构的安全都应该是服务商提供。而在IaaS中用户则要对平台，数据，操作系统负责，提供商至负责hypervisor的安全和基础结构的安全。所以明确责任是云安全中重中之重。

2.评估云安全的清单

云开发安全评估清单的目的是：提供为检验云安全以及获得云服务提供商对其安全的保障的统一方法。然而，正如本章介绍中所描述的，潜在客户或用户也可以讲这样的快清单用于比较不同提供的云安全。

本部分剩余的内容提供了构成评估云安全框架要点的清单。这些清单中的问题来自几个来源，包括云安全联盟云控制矩阵、欧洲网络与信息安全局（ENISA）信息安全保障框架，以及美国国家标准技术研究所（NIST）800-53R3。

清单的一个应用是：云所有者可以使用清单指导对云的安全评估。如果云提供商将这样的清单作为框架而报告他们的云的安全性，那么潜在租户以及用户便能够比较多个云的相关安全性。公共云客户也可以使用这个清单提供与其业务需求相关的一系列问题。这些问题不一定都与所有的使用或者业务关系相关联。

下面的每个部分都是围绕着一套密切相关的控制要求进行组织编排的。图1-1描绘了评估清单部分的综述，并列出了每个部分的控制或要求组合。

图1-1 评估清单综述

2.1. 基础安全

安全策略定义了机构对于安全的要求或规则。安全策略描述了限制和要求，个体以及团体的运营必须在此限制和要求之下，安全策略是安全管理目标的声明。关于安全而采取的行为应当可以明确的追溯到安全策略。可能存在几个类别的策略，包括整体安全策略以及处理更为限定的领域的附加策略（例如一个可接受使用的策略）。策略侧重于实现所需要的结果，而不是具体的实施。

增强这些策略是具体领域的其他要求声明。通常定义标准作为技术控制或具体强化要求覆盖这些具体领域。标准描述的强制行为是支持策略的。指导方针是第三类文件，它没有那么正式，往往是程序化的最佳实践。实践推荐或描述实施程序的框架来支持安全策略的目标。换句话说，策略描述为什么，标准描述做什么，而指导方针描述如何去做。清单1-1涵盖了与策略、标准以及指导方针相关的基础安全元素。

清单1-1 策略，标准及指导方针

●作为代表管理目标的安全策略，是否已经清晰的向有关方面进行记录、批准和表

示？

●安全策略是否有法律、隐私以及其他治理方面的检查？

●是否通过安全标准以及/或者指导方针增强了安全策略？

●是否通过安全策略增强了策略？

●安全和隐私策略，以及标准与指导方针是否与行业标准（例如27001、CoBIT等）

相一致？

●第三方提供商是否坚持同样的策略和标准？

清单1-2覆盖了侧重于云服务提供商透明度的评估标准。

清单1-2 透明度

●云服务提供商是否为客户提供治理策略、标准以及指导方针的副本？

●客户是否会被告知治理策略、标准以及指导方针的变更？

●云服务提供商是否对客户提供第三方合规性审计的可见度？

●云服务提供商是否对客户提供渗透测试的可见度？

●云服务提供商是否对客户提供内部和外部审计的可见度？

●云服务提供商是否对客户提供云服务提供商资产管理和设备重新利用的可见度？

云的人员安全是运营安全所在的基础。人员安全的目标是避免几类安全风险并创建强化在安全策略中描述的目标的环境。清单1-3列出了关于人员安全的评估标准。

清单1-3 人员安全

●是否有对于以下的策略及程序:

●雇佣对云组件具有访问权限或控制的雇员？

●对具有特权权限的人员在雇佣前进行调查？

●人员安全在多个地点间是否一致？

●这些策略及应用程序是否应用于在线云系统及数据，并且应用于存储数据的离线系

统，或者是将为在线使用而开通的离线系统？

●是否有安全培训计划，如果有，这个计划有多么全面？

●是否经常对人员安全进行检查并确定具有访问权限的雇员是否应当据需拥有权

限？

●是否要求人员具有并保证安全认证？

●对云服务提供商设施的物理访问是否要求背景检查？

●分包商或第三方提供商的使用会对客户带来不应有的风险，除非这些提供商遵从并

依照云服务提供商的策略运营。清单1-4具体描述了第三方提供商的标准。

清单1-4 第三方提供商

●是否有任何由第三方提供的服务或功能？

●如果云的任何部分进行分包或外包，提供方是否遵从云服务提供商执行的同样的策

略与标准？

●如果遵从这些，是否对第三方提供商进行云服务提供商策略及标准的合规性审计？

●云服务提供商的安全策略（或等价物）及治理是否延伸到所有的第三方提供商？

2.2. 业务考虑

各种业务考虑都伴随着安全考虑的需要。业务考虑包括法律、业务连续性以及资源开通。在清单1-5、清单1-6和清单1-7中列出了这些评估标准；清单1-5覆盖了法律标准。

清单1-5 法律

●数据将存在哪里，即在哪个司法管辖范围内？

●云服务提供商成立于哪里，即在哪个司法管辖范围内？

●云服务提供商是否使用并不位于相同司法管辖范围内的第三方提供商？

●云服务提供商是否将任何服务或人员进行分包？

●云服务提供商是否以任何不属于服务部分的方式使用数据？

●对于客户数据，云服务提供商是否有响应法律要求（例如传票）的已形成文件的程

序？