云安全检查表 云安全评估表 cloud security checklist 中文

1.综述云计算租户考虑第一的就是安全性，各个提供商不惜重资打造安全，就在不久前阿里云通过了ISO27001认证，向外展示了其安全方面的努力。那作为用户我们除了凭认证来审视一个服务商外，还是不够的，我们需要详细的审视。租户们要确保所选的云提供商满足自己的安全需求，同时云提供商除了达到一些标准测评的同时，也也要不断根据云计算的特性进行有针对性的保护。由于云计算的不同的部署模式和服务方式决定了责任和范围的不同，根据服务模式的不同用户需要承担的安全责任也不同，如在SaaS中用户只需要对自己的数据安全负责，而软件安全，平台安全，基础架构的安全都应该是服务商提供。而在IaaS中用户则要对平台，数据，操作系统负责，提供商至负责hypervisor的安全和基础结构的安全。所以明确责任是云安全中重中之重。2.评估云安全的清单云开发安全评估清单的目的是：提供为检验云安全以及获得云服务提供商对其安全的保障的统一方法。然而，正如本章介绍中所描述的，潜在客户或用户也可以讲这样的快清单用于比较不同提供的云安全。本部分剩余的内容提供了构成评估云安全框架要点的清单。这些清单中的问题来自几个来源，包括云安全联盟云控制矩阵、欧洲网络与信息安全局（ENISA）信息安全保障框架，以及美国国家标准技术研究所（NIST）800-53R3。清单的一个应用是：云所有者可以使用清单指导对云的安全评估。如果云提供商将这样的清单作为框架而报告他们的云的安全性，那么潜在租户以及用户便能够比较多个云的相关安全性。公共云客户也可以使用这个清单提供与其业务需求相关的一系列问题。这些问题不一定都与所有的使用或者业务关系相关联。下面的每个部分都是围绕着一套密切相关的控制要求进行组织编排的。图1-1描绘了评估清单部分的综述，并列出了每个部分的控制或要求组合。基础安全策略、标准以及指导方针透明度人员安全第三方提供商纵深防御软件保证网络安全主机和虚拟机安全PaaS和SaaS身份及访问管理认证密钥管理加密系统运营安全数据中心：物理安全数据中心：电力和网络数据中心：资产管理运营实践事件管理业务考虑法律业务连续性资源开通图1-1评估清单综述2.1.基础安全安全策略定义了机构对于安全的要求或规则。安全策略描述了限制和要求，个体以及团体的运营必须在此限制和要求之下，安全策略是安全管理目标的声明。关于安全而采取的行为应当可以明确的追溯到安全策略。可能存在几个类别的策略，包括整体安全策略以及处理更为限定的领域的附加策略（例如一个可接受使用的策略）。策略侧重于实现所需要的结果，而不是具体的实施。增强这些策略是具体领域的其他要求声明。通常定义标准作为技术控制或具体强化要求覆盖这些具体领域。标准描述的强制行为是支持策略的。指导方针是第三类文件，它没有那么正式，往往是程序化的最佳实践。实践推荐或描述实施程序的框架来支持安全策略的目标。换句话说，策略描述为什么，标准描述做什么，而指导方针描述如何去做。清单1-1涵盖了与策略、标准以及指导方针相关的基础安全元素。清单1-1策略，标准及指导方针作为代表管理目标的安全策略，是否已经清晰的向有关方面进行记录、批准和表示？安全策略是否有法律、隐私以及其他治理方面的检查？是否通过安全标准以及/或者指导方针增强了安全策略？是否通过安全策略增强了策略？安全和隐私策略，以及标准与指导方针是否与行业标准（例如27001、CoBIT等）相一致？第三方提供商是否坚持同样的策略和标准？清单1-2覆盖了侧重于云服务提供商透明度的评估标准。清单1-2透明度云服务提供商是否为客户提供治理策略、标准以及指导方针的副本？客户是否会被告知治理策略、标准以及指导方针的变更？云服务提供商是否对客户提供第三方合规性审计的可见度？云服务提供商是否对客户提供渗透测试的可见度？云服务提供商是否对客户提供内部和外部审计的可见度？云服务提供商是否对客户提供云服务提供商资产管理和设备重新利用的可见度？云的人员安全是运营安全所在的基础。人员安全的目标是避免几类安全风险并创建强化在安全策略中描述的目标的环境。清单1-3列出了关于人员安全的评估标准。清单1-3人员安全是否有对于以下的策略及程序:雇佣对云组件具有访问权限或控制的雇员？对具有特权权限的人员在雇佣前进行调查？人员安全在多个地点间是否一致？这些策略及应用程序是否应用于在线云系统及数据，并且应用于存储数据的离线系统，或者是将为在线使用而开通的离线系统？是否有安全培训计划，如果有，这个计划有多么全面？是否经常对人员安全进行检查并确定具有访问权限的雇员是否应当据需拥有权限？是否要求人员具有并保证安全认证？对云服务提供商设施的物理访问是否要求背景检查？分包商或第三方提供商的使用会对客户带来不应有的风险，除非这些提供商遵从并依照云服务提供商的策略运营。清单1-4具体描述了第三方提供商的标准。清单1-4第三方提供商是否有任何由第三方提供的服务或功能？如果云的任何部分进行分包或外包，提供方是否遵从云服务提供商执行的同样的策略与标准？如果遵从这些，是否对第三方提供商进行云服务提供商策略及标准的合规性审计？云服务提供商的安全策略（或等价物）及治理是否延伸到所有的第三方提供商？2.2.业务考虑各种业务考虑都伴随着安全考虑的需要。业务考虑包括法律、业务连续性以及资源开通。在清单1-5、清单1-6和清单1-7中列出了这些评估标准；清单1-5覆盖了法律标准。清单1-5法律数据将存在哪里，即在哪个司法管辖范围内？云服务提供商成立于哪里，即在哪个司法管辖范围内？云服务提供商是否使用并不位于相同司法管辖范围内的第三方提供商？云服务提供商是否将任何服务或人员进行分包？云服务提供商是否以任何不属于服务部分的方式使用数据？对于客户数据，云服务提供商是否有响应法律要求（例如传票）的已形成文件的程序？在传票的情况下，云服务提供商如何只为单独客户产生数据而并不会提供非传票要求的数据。云服务提供商是否提供对损失的保险，包括赔偿由于云服务提供商停运或数据泄露而造成的客户损失？业务连续性对于按照任务关键方式使用基于云的服务的客户可能是十分重要的。与业务连续性相关的标准在清单1-6中列出。清单1-6业务连续性云服务提供商是否有记录并指导业务连续性的正规流程或应急计划？服务的恢复点目标和恢复时间目标是怎么样的？在恢复与重建方面信息安全是否完整?云服务提供商如何将服务损坏通告客户？是否有用于灾难恢复的辅助站点？清单1-7资源开通需要部署哪些控制和程序以管理资源耗尽的情况，包括流程超额配置、内存或存贮耗尽，以及网络拥塞？为了满足服务水平协议（SLA），云服务提供商是否会限制对服务的订购？云服务提供商是否会对客户提供使用及功能计划信息？2.3.纵深防御运营云的完整性和安全性取决于构成云的组件的完整性。软件是漏洞攻击的主要目标。清单1-8软件保证为了维护操作系统、应用程序、固件升级、配置文件以及其他软件的完整性，需要部署哪些控制？需要遵循哪些行业标准、指导方针或最佳实践?使用哪些控制或指导方针获取或下载软件和配置文件？使用哪些指导方针或程序维护软件的完整性？对于每个版本是否使用渗透测试或漏洞测试？已确定的漏洞是如何修复的？清单1-9网络安全为了管理来自外部和内部的攻击，包括分布式拒绝服务攻击，需要部署哪些控制？对于客户，管理程序在虚拟机之间的隔离室如何管理的？对于客户，网络硬件和路由在虚拟机之间的隔离是如何管理的？使用什么标准或最佳实践用于实施虚拟网络基础设施？对于介质访问控制地址欺骗，地址解析协议中毒等是如何防范的？客户可访问/可路由的系统以及云管理系统和基础设施之间的隔离是如何管理的？云客户的流程是否依靠脱离云的租户组件例如轻量级目录访问协议？云服务提供商是否定期对进行渗透测试？如果进行，是否同时从云外部以及从云和云基础设施内部进行渗透测试？云服务提供商是否对云基础设施、云管理设施内部进行渗透测试？云服务提供商是否对云基础设施、云管理以及客户可访问的组件进行漏洞测试？已确定的漏洞是如何追踪并解决的？漏洞信息对于客户是否可用？云服务提供商是否允许客户对于客户自身的虚拟机或其他容器实施漏洞测试？清单1-10主机和虚拟机安全客户虚拟机是否进行加密以及/或者在存储时进行保护？虚拟机映像在开通之前是否安装了补丁？虚拟机映像在开通后是如何以及多久间隔进行安装补丁的？虚拟机映像在开通前是按照什么标准或指导方针进行强化的？保护经过强化和安装了补丁的虚拟机映像的程序是怎样的？客户是否可以提供其自身的虚拟机映像？云服务提供商是否包含任何认证证书，如果有，这些证书是用来做什么的？对虚拟机映像的强化和安装补丁是否默认包括操作防火墙实例？（如果是的，被允许的服务/端口是什么？）对虚拟机映像的强化和安装补丁是否包括操作入侵检测系统或者入侵防御系统？如果是的，在运营中云服务提供商是否具有对于这些的访问权限（如果有的，是怎样的）？对虚拟机映像的强化和安装补丁是否包括云服务提供商或者租户具有访问权限的任何形式的网络、性能或者安全设备？共处于服务器的不同客户的虚拟机之间的隔离是如何确保的？对于相同的客户，虚拟机之间的通信时如何实施的？存储系统中用户数据的安全是如何保障的？在存储系统以及客户虚拟机之间的用户动态数据的安全是如何保障的？在虚拟机和非云用户系统之间的用户数据以及用户交互的安全是如何保障的？云服务提供商是否为客户提供信息对客户安全进行指导，使客户安全适合于虚拟化的环境？清单1-11PaaS和SaaS安全云服务提供商如何隔离多租户的应用程序？云服务提供商如何隔离用户或租户的数据？云服务提供商如何确定应用程序以及云基础设施中的新的安全漏洞?云服务提供商是否提供安全作为PaaS的服务功能（例如，认证、单点登录、授权以及传输安全）？云服务提供商为租户/用户提供怎样的管理控制，这些管理控制是否支持定义/执行由其他用户进行的访问控制？云服务提供商是否为客户提供隔离测试和生产环境?身份及访问管理是云安全的重要元素。清单1-12列出了身份及访问管理以及认证的评估标准。清单1-12身份及访问管理是否有任何由云服务提供商控制的账号具有整个云范围的权限（如果有，是哪些操作）？云服务提供商如何管理管理员或较高权限的账户?云服务提供商是否使用二人规则的访问控制，如果有，是对于哪些操作?云服务提供商是否执行特权分离（例如，基于角色的访问控制RBAC）,如果是的，使用什么角色限制哪些特权（安全、操作系统管理、身份等）？云服务提供商是否实施击碎玻璃访问，如果是的，在什么情况下允许这么做以及以后的清理流程是怎样的？云服务提供商是否给予租户或用户以管理员权限，如果是的，有什么限制？云服务提供商是否在注册时核实用户身份，如果是的，根据给予访问权限的资源是否有不同级别的检查？证书和账户是如何终止的？是否在云范围内以原子操作的方式完成证书和账户的取消？远程访问是如何管理和实施的？对于云服务提供商提供的客户使用的身份及访问管理系统：这是否支持联合身份管理？云服务提供商的系统与第三方身份提供商的系统是否互通？客户是否能够包含单点登录？这个系统是否支持角色分离以及最小特权原则（LeastPrivilegePrincipal,LPP）?在下列场合下云服务提供商如何向客户核实其身份：当云服务提供商通过带外（Out-OF-Band,OOB）方式与客户或用户通信时？当客户通过API与云服务提供商交互时？当客户使用云管理界面时？认证对于高度保障的云服务提供商的运营，是如何实施认证的？是否使用多因素认证？对于高度保障的运营的访问是否限定于只是运营云网络以及只是来自白名单中的IP地址？入侵检测/异常检测是否检测多次失败的登录或者类似的可疑认证或损害证书的活动？如果客户的证书或账户遭到破坏会引发什么程序？必须以准确和正确的方式处理密钥管理和密码系统，否则密码安全会很快遭到破坏。清单1-13列出