云服务安全分析及监管策略-2015---完整稿
云服务安全分析及监管策略
一、云服务成为ICT领域最具活力的增长点之一
当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑。根据Gartner的统计,2014年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中,绝大多数的用户或买单者是互联网服务的提供商。云计算充分体现了互联网“快速迭代”的特征,是当前ICT产业技术和应用创新最活跃的领域之一,同时其服务范围也从最初单纯的资源出租向包括IT资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS提供商,也是最大的云服务提供商,据估计AWS2014年业务收入将达到50亿美元左右,约占全球IaaS市场的三分之一。根据公开的数据,仅到2013年年中,AWS上托管网站数量就达到了1160万,年增长达到了71%,这一数量是我国网站总数的近4倍。在国内,阿里云作为最大的云服务提供商,其用户数量已经超过百万,2013年双十一活动中,有75%的交易业务量利用阿里云平台完成,而2012年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台,80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。
在互联网之外的其他领域,云计算也正在不断抢占IT设备制造商的传统市场,从产品到服务的迁移不断加速。这其中,政府行业是最受关注,最具影响力的领域。各国政府近年来纷纷制定国家战略和行动计划,加速政策改革和创新,将政府采购作为重要的支持政策,通过政府的示范先导,培育和拉动国内市场。一方面,加快政府部门内的IT系统向云计算的迁移,改造日趋复杂的政府信息化系统,可以节省庞大的IT经费支出;另一方面,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。
二、云服务安全事件屡屡出现带动安全市场快速增长
2014年全球范围内的云服务数据泄露问题严重,美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事件,各行业数据泄露事件逐年呈上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用,网络攻击逐步向各类业务系统和个人用户信息渗透,例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点;随着大数据时代的到来,丰富和集中的数据更加容易被滥用或窃取。虽然世界各互联网发达国家均重视网络数据保护并出台相关保护举措,但是网络数据承载日益重要的价值以及数据跨国界流动等特点使得数据安全保护仍然是世界性难题,拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者,面临着巨大的网络安全压力。
2014年云安全联盟(CSA)发布的《云故障事件统计报告》显示亚马逊、谷歌、微软、索尼、苹果、Facebook等六家公司出现的云服务故障接近统计的50%。不安全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。
图1各云服务商发生的云故障事件比例统计
来源:云安全联盟(CSA)图2云服务发生故障的原因
来源:云安全联盟(CSA)云安全服务市场正在快速增长。以安全驱动业务的强烈需求,数据安全、移动安全、云安全成为2014年最大热点。Gartner发布的报告“2014年全球云安全服务市场趋势”中预测,随着越来越多的企业,尤其是中小企业采用云安全服务,云安全服务市场,包括安全邮件/web网关、身份和访问管理IAM、远程漏洞评估、安全信息和事件管理将迎来高速发展时期,2017年该市场规模将高达41.3亿美元。图3云安全服务市场快速增长
从Gartner的统计数据可以看出,2014年基于云的安全服务市场规模将达到26亿美元,到2015年将增长到31亿美元。云安全将保持强劲增长,但是收入机会将有所不同。
企业投入最多的云安全服务——安全邮件网关服务今年的市场
规模将增长至8亿美元,2015年将爬升至9.42亿美元,2017年将达10亿美元。但是其年度增长速度与其他云安全服务如IAM的增长相
比较为缓慢。
IAM目前总体市场规模约5亿美元,2015年将增长至8.6亿美元,2017年约12亿美元,年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaS。
IAM云安全服务的主要增长动力来自中小企业的日益增长的需求,包括扩展基础IAM功能,为越来越多的访问SaaS应用和内部web 应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代原来的内部部署的IAM工具,而大企业则倾向以混合云和内部部署的方式使用IAM。
此外,IAM市场的云单点登录服务(SSO)和云加密服务都是云安全市场新的增长热点。未来最抢手的云服务将仍然是电子邮件安全、网络安全服务、身份和访问管理(IAM)。不过,在2013年和2014年,最强劲的增长仍在基于云的特征标记和加密、安全信息和事件管理(SIEM)、漏洞评估和网络应用防火墙。
考虑到成熟度、问价接受度和本地IT基础架构等方面的差异,不同地区的云安全系统部署率还存在着相当大的差异。与预置部署相比,相关业务社区、地方性法规和问价等方面的成熟度都影响着专门向这种交付模式投入开支的水平。隐私仍然是阻碍所有云服务模式的重要因素,尤其是在那些执行强有力监管要求的地区和国家(例如欧洲,有自己数据保护立法)。
三、国际云计算安全应对措施进展
3.1国际云安全标准化进展
国际上,从事云计算安全标准的部分主要机构包括:
ISO/IEC JTC1:《开放虚拟机格式》、《云计算安全与隐私管理系统》、ISO/IEC27017《基于ISO/IEC27002的云计算服务的信息安全控制措施实用规则》、ISO/IEC27018《公共云计算服务的数据保护控制措施实用规则》、ISO/IEC27036-4《供应商关系的信息安全—第四部分:云服务安全指南》、ISO/IEC27009《ISO/IEC27001在特定行业/服务的认可的第三方认证中的使用和应用》NIST:《云计算参考体系架构》、《完全虚拟化技术安全指南》、《云计算安全障碍与缓和措施》、《公共云计算中安全与隐私》、《通用云计算环境》、《美国政府云计算安全评估与授权的建议》(FedRAMP)ENISA:《云计算——信息安全保障框架》、《云计算——信息安全的好处,风险和建议》、《政府云的安全和弹性》
CSA:《云计算面临的严重威胁》、《关键领域的云计算安全指南》、《身份隐私与接入安全》
ITU-T:《云安全、威胁与需求》、《电信领域云计算安全指南》
CIO委员会:《美国政府云计算风险评估方法》
The Open Group:《云安全和SOA参考架构》
OASIS:《身份在云中的使用》
DMTF:《云管理体系结构》
3.2数据安全是云服务管理的重点
随着互联网数据流量的高速增长,数据已被看作是与石油等处于同等重要地位的新兴战略资源,数据主权也提高到国家安全和主权的高度,很多国家从国家安全层面给予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商,将会出现大量经济运行、社会服务乃至国家安全相关的信息和数据向主要云服务企业集中的趋势,这一数据集聚效应带来了不可知的、潜在的国家信息安全和用户信息安全风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业,因此,发展中国家普遍担心数据信息向跨国企业聚集,并开始采取措施加强数据安全管理。
第一,加强个人信息保护立法,保护个人数据安全。近几年来各国掀起了个人数据保护立法的新高潮。截至2013年中期,有不同种类的数据隐私法律的国家大约有99个。其中,墨西哥2011年对云计算进行了特别规定,要求云服务提供者的隐私政策应当符合法律规定,云服务的外包应当透明,云服务提供者要确保个人数据的安全,云服务合同中应当包含隐私政策披露和数据保护安全措施等内容。
第二,部分国家禁止云计算的相关数据跨境流动。几乎所有的国家都通过立法,授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利:甚至为避免重要数据在境外被其他国家获取,一些国家还对重要数据的跨境存储和流动采取了限制措施。印尼在其《公共服务法》(Public Services("Law25"))中提出数据中心本地化要求。该法要求提供公共服务的电子系统运营商(electronic system
operator)必须在印尼国内建立数据中心。除此以外,印度政府管制规则要求电子系统运营商必须把交易数据存储在印尼境内。
3.3支撑政府采购云服务的制度和法律环境不断完善
各国通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性,也为其他国家提供了十分有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私保护法的基础上,通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定。
政府采购云服务的制度体系包括建立标准、规范合同、评估认证、采购管控、管理制度等多个环节。
建立标准:美国NIST编制了标准《800-53REV3,Information Security》,英国编制了标准《HMG Information Standards No.1& 2.》,以上标准对云服务的安全和服务质量等方面提出了具体要求。
规范合同:英国建议在与服务提供商的合同中应包括服务器地点等与云计算环境安全相关的条款;日本规定应将云服务的安全特性、服务水平等方面的要求事项等写入协议书。
评估认证:美国FISMA法案规定为政府提供云服务的提供商必须通过测试认证,美国医疗行业要求第三方机构对云服务提供商进行监督审查。
采购管控:英国建立政府云服务采购机制,所有的公共ICT服务
的采购和续用都必须经过G-Cloud委员会的审查;日本规定云设备采购要通过信息安全委员会的安全审查。
管理制度:美国建立了较为完善的政府采购云管理制度,包括开展周期性评估,SLA监控,服务质量的管理等。
3.4第三方评估和认证成为保障云服务质量和安全性的必要手段
在各国为政府采购云服务所建立的制度体系环境中,第三方评估和认证成为保障云服务质量和安全性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。
2010年美国云计算管理办公室PMO的安全工作组提出FedRamp (Federal Risk and Authorization Management Program)认证项目,进入政府采购清单目录的云服务商,必须经过FedRamp的认证。FedRAMP认证基于NIST SP800-53REV3标准,由美国标准研究所(NIST)负责标准的维护。目前IaaS通过认证进入采购清单的有12家,EaaS 有22家。
2012年,英国政府开通“云市场”(Cloud Store)网站,启动
G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud 认证标准基于ISO27001和《HMG Information Standards No.1& 2.》。截至2014年初,“云市场”上已有1200家提供商的13000多项云服务通过了认证,可供英国的政府部门选择使用。
从2008年开始,在日本信息通信部的支持下,FMMC
(Foundation for Multimedia Communications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证,ASPIC (ASP-SaaS-Cloud CONSORTIUM)作为协作单位,负责具体认证标准的制定,目前包括ASP/SaaS、IaaS/PaaS和数据中心三类认证。ASP/SaaS认证于2008年开始启动,已认证174项服务;IaaS/PaaS 认证于2010年12月开始启动,已认证169项云服务;数据中心认证于2012年9月启动。
欧盟委员会在2012年9月发布了名为“释放欧洲云计算潜力”的报告,其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告,欧盟成立了“欧洲云合作指导委员会”(The Steering Boardof the European Cloud Partnership)推动相关工作。另外,ETSI和ENISA正在制定云服务数据、安全、服务等方面的标准,并于2013年开始实施“可信赖云服务供应商”认证。
四、我国云服务安全面临的挑战和监管策略分析
4.1我国公共云服务安全面临的挑战和问题
在国家推动各地政府兴建云计算基地的大背景,基于云端的安全解决方案不断被引入云项目。尤其是针对中小企业的诉求,安全软件公司不断跟国内知名的基础软硬件厂商合作,以期在最短时间内将领先的云技术引入中小企业用户。
国内大型数据中心不断兴建,包括网络、数据及虚拟化的安全解决方案需求也成为IT投资重点。并且随着移动安全的趋热,云安全也由缓慢落地步入兴盛。相比国外,国内大型企业银行、政府、制造等等行业,用户倾向于在其私有云内实现数据安全保护。集团性企业通过总部数据中心的云安全技术来管理其在全国各地分支的数据安全,包括邮件管理、上网行为、入侵检测等管理。
云安全相对于中小企业而言更具有吸引力。尤其是SaaS在中国市场快速落地及物联网的不断被关注,中小企业越来越倾向于云服务。在公司初期通过在免费的云基础环境下或是掏少量的服务费,这样的模式尤其顺应他们对IT的需求同时又能放心地管理其业务。这也使得云安全兴起的主要推力之一。
图4用户选择云计算服务商的首先考虑因素
来源:电信研究院收集我国云服务规模较小,运行时间短,未经历大规模用户及服务环境的安全考验。我国云服务市场规模相对较小,仅为美国的1/30,我国在安全防护能力、安全应急处置经验以及安全预警预案等方面也较不成熟,未来规模增长后,能否应对新出现的问题还存在不确定性。
在云服务核心软硬件技术方面,全球各国都处在美国的阴影之下。微软、亚马逊已经开始涉足我国云服务,我国产业安全乃至国家安全将受到威胁。云服务商在选择厂商、用户选择云服务商时没有标准可依,标准制定上的短板很大程度上阻碍了我国云安全产业和整个云计算产业的发展。
此外,未针对云服务制定网络数据保护、数据跨境流动等方面的法律法规。
图5我国公共云服务安全的七类问题
来源:电信研究院
4.2国内云计算安全标准化处于起步阶段
我国云安全标准处于起步阶段,尚未正式出台,主要由CCSA和TC260两个组织制定。
中国通信标准化协会(CCSA)方面,2011年9月,在网络与信息安全技术工作委员会(TC8)的安全基础工作组(WG4)下成立了云计算安全子工作组,专门负责云计算安全方面的标准研发工作,目前该工作组已召开了三次会议,组织制定了多项云计算安全方面的标准和研究报告。正在制定的标准有:在云计算的总体架构方面,有《云安全标准体系研究》、《公有云安全基线要求》、《云计算安全威胁和需求》等;在访问控制方面,有《云计算身份识别与访问管理应用场景及技术要求》、《云计算的可信技术研究》等;在云中隐私和数据保护方面,有《公有云数据安全要求》、《公有云中隐私保护措施》等;在行业云方面,有《基于云计算的电子政务公共平台安全》、《基于云计算的居民健康服务平台安全框架》等;在基于云计算的IDC方面,有《基于云计算的互联网数据中心信息安全技术要求》和《基于云计算的互联网数据中心信息安全管理要求》;在云计算应用安全方面,有《云计算应用安全运营技术要求》等。
全国信息安全标准化委员会(TC260)方面,在信安标委内部立了专门对云计算及安全进行研究的课题,正在制定的标准有:《云计算安全及标准研究报告V1.0》、《政府部门云计算安全》、《基于云计算的因特网数据中心安全指南》等。
4.3可信云服务认证工作
从国内外发展的经验来看,云计算的信任体系的建立对于促进云计算健康发展至关重要。现阶段应支持标准组织及产业组织开展针对
云服务可用性、安全性、数据保护、可迁移性等关键方面的标准研制和评估认证,并鼓励企业开展符合标准的可信云建设,增强用户信心。
根据工业和信息化部电信研究院对国内云计算市场的调查,半数以上的用户对云服务的安全性、可靠性、服务质量等方面存在疑虑,这在很大程度上影响了云计算应用的进一步推广和深化。从调查来看,目前云服务的提供商和使用方均希望建立一定的信用制度,并通过开展服务商自律活动来引领公共云服务市场的健康快速发展。因此,工业和信息化部电信研究院成立的“云计算发展与政策论坛”设立了“可信云认证工作组”,在参考全球各国云服务认证经验的基础上,研究并提出了一套与我国市场发展状况相适应的云服务信用体系,并以此为基础开展了可信云服务认证。
可信云服务认证以培育市场、鼓励创新为目的,以云服务为评估对象。评估内容包括三方面:企业信息披露;云服务承诺的完备性和规范性;云服务承诺的真实性。其中云服务需要承诺的有三大类共16个指标,具体如下。
●数据管理类:数据存储的持久性、数据可销毁性及可迁移性、
数据私密性、数据知情权、业务可审查性。
●业务质量类:业务可用性、业务功能、业务弹性、网络接入性
能、故障恢复能力、服务计量准确性。
●权益保障类:服务变更和终止条款、服务赔偿条款、用户约束
条款和服务商免责条款。
●评估与认证的对象合理分类是关键问题。在实践过程中发现,
按照IaaS、PaaS、SaaS的分类方式在操作上存在较大难度,
于是结合实际提出了按照云服务产品线进行认证的分类方
法,将认证对象分为云主机、对象存储、云数据库、块存储、
云引擎、云分发等,并陆续制定评估认证方法。此外,云计
算发展与政策论坛和数据中心联盟已经完成了《云计算服务
协议参考框架》的起草工作。
可信云服务认证已经根据第一版本的标准完成了对20个云服务的评估,这20个云服务覆盖云主机、对象存储和云数据库三大类,涵盖了10家典型企业,包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UCloud。从业界反映来看,认证评测工作既实现了增强用户信心、培育市场的初衷,又提升和规范了云服务商的服务能力和承诺,社会反响良好。
由于可信云服务认证已初步显现了积极效果,可以将其作为推进我国云计算发展、完善公共云服务监管和保障网络信息安全的重要基础性手段,加快探索和推进。