四川大學陳興蜀:云計算服務持續監管探討
責編:rhliu |2016-11-10 13:23:31陳興蜀(四川大學網絡空間安全學院常務副院長、教授):
主題:云計算服務持續監管探討
各位專家上午好,很高興跟大家一起對云計算服務安全方面分享一下前期的考慮。剛才高老師跟大家介紹了我們國家發布的《網絡安全法》,而且對于法中對于標準化的實施給我們做了一個很好的解讀,對我們也是很大的信心和鼓舞。跟大家分享的內容有幾個方面:
第一,云計算服務持續監管的需求是什么。剛才劉主任給我們發布了已經發布的云計算服務的國家標準,這兩個標準也在進行比較有效的實施和推進當中。對于云計算服務安全審查的需求,中央網信辦在2014年發布的關于加強黨政部門云計算服務網絡安全管理的意見,在這個意見里面,一方面提到了中央網信辦會同有關部門建立云計算服務安全審查機制,對為黨政部門服務云計算的服務商參照有關網絡安全國家標準,組織第三方機構進行網絡安全審查。
我們已經發布的兩個云計算標準都是重要的指導。在這個意見中已經提到,云計算服務安全審查重點審查的是云計算服務的安全性和可控性。云計算是一個持續的服務,當我們的客戶把業務部署在云計算平臺上以后,它的底層的管理工作都依托云服務商來做,在這種情況下,如何讓云計算服務可控,這就是我們面臨的問題了。
作為黨政部門來講,在這個指導意見中也提出了一系列的要求。我們已經發布的兩個要求,《云計算服務安全指南》,《云計算服務能力要求》。這兩個,一個是針對政府部門采用云計算服務,還有一個是我們作為云計算服務安全審查的工作,現在重點會參考這兩項標準,《云計算服務安全指南》是從客戶的視角,作為黨政部門的客戶,我在使用云計算的時候,我應該注意什么,在這個指南中,從客戶的視角告訴他在采用云計算服務的全生命周期你應該注意哪些重點環節,在這里面要注意一些什么事情。在這里包括了我們如何選擇服務商,如何和服務商簽訂合同等等工作都在這個指南中做了全生命周期的指導。
另外一個《云計算服務能力要求》是從云服務商的角度,云服務商要向政府部門提供云計算的服務,我要重點注意哪些方面的能力要求,這個能力要求從十個大的方面提出了500多項能力要求的指標。作為云服務商,也把這個作為它的重點參考內容。今年通過審查制度的試點,在今年9月份中央網信辦在他的網站上面已經正式發布了首批通過云計算服務安全審查的三家云服務商的名單。在這里面,我們看到配套的黨政部門云計算服務安全管理體系已經基本齊全,包括管理制度、審查流程、審查過程中第三方評估機構應該如何去評價云服務商,以及專家最后通過哪些重點關注的能力去對云服務商進行評判,這些工作逐漸形成了體系化的內容。應該說成果還是比較明顯的。而我們正式發布首批的名單也是云計算服務安全管理的重要里程碑了。
剛才已經提到了云計算服務是一個持續的過程,我們的云服務商在不斷的為我們的用戶提供服務,而在這個過程里面,他需要對他的平臺進行相應的安全和管理方面的規則的實施,包括一些軟硬件的升級,還有如何保障它的云計算服務平臺里面的安全能力等等。這就需要我們的黨政部門在審查的時候,首批通過了,并不是說這個事就完成了,而是說更多后續的審查更加重視持續的監督和管理。這也是我們審查的重點。
而作為云計算服務審查來講,引入持續監管機制也是要對云服務商的安全風險進行持續的跟蹤。通過安全審查,并不意味著高枕無憂,需要相關部門對我們的云服務商的安全能力進行持續的監管,一旦發現云服務商有重大的違規行為,或者提供的云服務商存在重大的安全風險的時候,就會對云服務商進行相應的嚴厲的懲罰。這也是審查的一個特點。所以為了形成審查、持續監管和懲戒的完整機制,審查最終要對云服務商起到震懾的作用。這里很重要的就是持續監管了,我如何在通過審查的云服務商,對它進行持續的監管,掌握現在的安全狀態。
這是我們起草的一個持續監管的框架,對于持續監管來講,我們涉及到的主要角色是三個方面:云服務商是我們的監管對象;客戶使用云計算服務的;持續監管方。
我們的客戶最終要對部署在云平臺上的數據和安全服務負最終責任,他要保障云計算平臺上的業務和數據安全,他如何去保障?他租用的CSP提供云計算服務,這個時候他就要像持續監管方提供部署在云平臺上的業務和數據,以及相關的安全措施的備案信息。作為客戶來講,他并不是說我租用服務以后,他的事情就跟他沒有關系了,在這里面你要評估,你把什么樣的數據和業務放在云平臺上了,這些內容你要向相關的監管機構進行備案。
另外,他也需要去負責部署在云計算平臺上面相關的業務系統的安全。如果他是租用的IaaS,在這方面的部分也是他需要自己負責的,相關的管理措施也需要他自己備案。除了客戶自己要做的事情,他也需要由云服務商給他提供的監管接口,他要掌握云服務商為他提供服務的運營情況,他有一個對云服務商的實際監管問題。
還有就是對自身的安全監管。這些工作作為客戶來講,并不是我租用云,所有的事情都交給云服務商了,你自己該負責的事情還要負責。所以我們在持續監管里面提到了一個客戶向持續監管方的備案機制。
作為云服務商來講,他在監管里面是重要角色,首先他要提供監管的接口,接受持續監管方的監管。要向持續監管方提供自證明材料,還要提供相應的API接口,通過API傳送監管數據。
另一方面,他也要提供監管接口給客戶進行監管,他對客戶的持續監管接口和監管方的是不一樣的,這里面也存在監管接口問題。
作為持續監管方,他是受CSP和客戶信任的,他要做的事情就是要評價云服務商的云計算服務質量和安全的狀態。另一方面,他要實時為黨政部門用戶包括重點行業用戶提供云計算的重點行業的監管這樣一個評判的能力。
另外,他也通過持續監管來全面掌握客戶的云服務使用情況。我們希望能夠通過這樣一個監管架構使得政府部門能夠全面去了解現在我們全國的各個黨政部門到底有多少的客戶把自己的業務和數據放到了云上,他們之間的整個態勢情況是什么樣的。這也是我們現在提到的持續監管方要做的事情。
有了這樣一個監管框架以后,我們在這里面提到的對CSP的監管方式主要是通過兩方面,一個是CSP的自證的方式。因為我們在云計算服務安全指南和云計算服務安全能力要求當中,已經對持續監管提出了相應的要求了,這里面更多的就是要求CSP定期要提供一些自證明的材料,但是這些內容相對來說還是比較靜態的。
所以在這里面,除了自證明材料以外,也提到了監管接口,他也要通過監管接口提供相關的監管數據,使得監管方對云計算平臺有一個全面的掌握。作為CSP來講,他要實現這個監管,可以有不同的方式,他可以通過在本地建立一個監測平臺或者是組件,這個是由CSP自己做的,他做的目的就是通過監管接口實現對數據的提交,也就是對云計算服務的實際監管要通過這個接口完成。要向持續監管方提供的內容包括兩類,一個是自證明材料,一個是通過監管接口不斷持續提高監管數據。
還有一個部分是向客戶提供,他也會提供一個監管接口,讓每一個客戶知道他所租用的云計算服務的安全狀態和運營情況。客戶的備案制度也是在這個架構里面,由客戶向持續監管方提供他使用云計算服務的基本情況。這里面包括這個部門的名稱、屬性、使用的云計算服務提供商是哪一個,他的服務模式、部署模式,包括業務和數據類型等等,作為客戶負責的云計算環境,他也需要向相關的監管部門告訴他,他的安全措施的落實情況。
因為在實際的運行過程中我們發現,很多的業務部門一旦把業務部署到了云平臺上以后,后續的很多管理工作自己沒有去落實。這樣的話,很可能導致我的云計算平臺是安全了,但是在云計算平臺上部署的業務系統,包括帳號管理、他自己該做的控制措施做的不到位,他的風險仍然很大,這也是要求客戶要落實的。最終的目的就是讓主管部門掌握已經部署在云計算服務平臺上的黨政部門的業務和數據的運行情況。
我們把角色和責任各自區分以后,后面就是如何定義持續監管的標準規范了。我們對于接口規范定義的思路是這樣的:我們現在的標準已經有不少單位在參與了,包括了CSP,也包括第三方測評機構,還包括一直在為政府部門提供安全服務和云服務商直接打交道的部門。
在這個過程中非常有意思的一件事就是,政府部門請第三方機構,他可能是一些提供安全服務的,他覺得他自己使用云計算服務的時候,他自己沒有能力評估云計算服務的安全能力,這些系統部署的怎么樣,他也沒有能力掌握。在這種情況下他往往會請第三方做安全服務的公司來做。做的過程中政府部門不太清楚自己到底要對云計算平臺掌握到什么程度,現在出現了兩種不同的政府部門的用戶,有一些是對云平臺管的特別死,他甚至想知道我的云計算平臺上面每一個物理機上面的資源使用情況,每一個虛機在上面部署以后的運營情況,要求在云計算物理平臺上部署他的程序,要求大量采集資源,再由他委托的機構把這些信息得到以后,對云平臺進行評估,最后得出來的數據,你會發現這樣一個單位平臺的評估結果和云服務商自己的評估結果是不太一樣的。
最后就會出現矛盾了。這就是一個角度問題,這就是為什么我們需要持續監管的規范。作為客戶來講,他和云服務商的邊界到底是什么,我們也希望通過這樣一個規范,把邊界定義清楚,避免出現用戶的手伸的太長,去管云平臺的運維和資源的調度,導致平臺一旦出現問題,我們的責任很難撇清楚。
現在參與單位各種角色的都有,大家在一起討論的時候也挺有意思的,到底邊界應該定義到什么位置,所以我們現在各個參與單位也都提供了關于接口方面的資料,他們在實際運行中出現的問題和他們現在實施的方案。現在一些典型的案例都已經匯集到我們這兒了。
另外一個部分是針對CSA云安全聯盟提出的《CTP數據模型和API》技術文檔。云安全聯盟好幾年前已經提出了CTP數據模型按了,他的目的也是為了由第三方審計機構對云計算服務平臺進行審計,他也是想解決云計算服務平臺的透明性和信任性的問題。我們的客戶把業務和數據部署上去了,到底情況怎么樣,他希望能夠通過第三方審計的角色對他進行評判。還有云計算服務利益的相關方,我們組織了很多標準討論和專家研討,來自于各方的資料是我們現在的重要參考。還有,其他的云計算服務監管相關的資料,包括CADF提出來的框架,這些東西都是我們現在定義接口規范的重要參考。
下面我介紹一下CTP協議,CTP協議是云可信協議的簡稱,它的目的是為云客戶請求并使用他所使用的云計算服務的相關安全信息而設計的一種機制。作為客戶來講,我使用你這個云計算平臺,我想了解你這個平臺的安全性,這個時候他通過云可信協議獲得云服務商給他反饋的相關信息,從而實現對云服務的透明度和可信度的評價。
他要解決的問題是云計算服務平臺監管方面存在的缺口。他的目的當時提出來是從客戶和云服務商之間的透明度和可信度。這個協議為客戶監控云計算平臺提供了一些方法,但是還是存在一些缺陷和不足。首先就是監測方法缺少一些互操作性。
另外,這些方法通常關注性能指標,對安全方面關注比較少。另外,云服務商測量方法在參數和范圍方面的描述不夠準確。由于這個標準最后沒有太好的落地,雖然也推出來了有幾年,也有一些開源的研究工作在做。但是最近這一段時間,這幾年這個工作還是停滯不前的狀態。每個云服務商針對一些相似的屬性,由于他的定義不同,他的度量方法也不同,就會導致雖然有這樣一個協議,但是真正把這些方法匯集到一起的時候,大家覺得它的共識度不高。在可信云協議當中,它的關鍵特點就是,這個協議適合于IaaS SaaS PaaS不同接口,這種瞄準是規范設計,而不是實現,對于具體怎么做并沒有做設定。訪問CTP測量權限是由CSP來控制的。CSP可以通過訪問列表確定客戶到底能不能獲得他的屬性。這個測量值可以是特定的租戶和組件之間,也可以是服務類型的相互之間的信息交互,這個協議也有它的優勢和特點, CTP的接口和服務,這個在網上能夠找到。
持續監管接口規范的參與機構,我們現在各個參與單位的工作都在進行中。標準參與單位包括云服務安全監管單位、云服務監管運營單位、云服務主管部門、云服務測試單位和云服務商等等。通過這個標準他都能夠獲得他需要的數據。
不同的角色對云計算服務持續監管的需求不同,租戶的角色和第三方監管機構,從國家層面的監管機構,甚至我們在交流過程中發現,從客戶的角度來講,他有時候也會去從不同的角度對云計算平臺提出他的監管要求。
現在有不少參與單位在標準制訂制訂過程中已經積累了很長時間,也有一些大量的成功經驗,已經畢竟我們云計算服務的標準示范是從2014年開始,到現在,這個過程里面已經有了不少政府、云服務商、第三方做安全服務的公司在做。所以已經有了很好的實際的經驗和案例,我們已經拿到不少單位給我們的文檔,我們希望從已有的實際和國際上的可參考的成果里面來形成我們的規范。非常感謝這些參與單位給我們提供的這些寶貴的資料,但是我們還是希望有更多的單位來參與,特別是大型的云服務的提供商,雖然這個標準大家都很積極,我們看到騰訊、阿里、華為都參與在這里面的制訂,但是我們希望把這些接口,包括后面馬上要提到的指標體系盡量的落地,使得這個標準具有很強的可操作性。
剛才提到的是規范的接口,接下來的事情就是這個接口上面落地的往下走的指標體系了,這個指標體系的編制我們現在有一個思路。
首先,針對已經頒布的《云計算服務安全指南》和《云計算安全能力要求》這兩個國家標準做一個深入的解讀。在這個過程中形成我們對應的指標體系,比如說能力要求我們提出了五百多項,這些能力要求到底哪些是需要做持續監管的,持續監管和能力之間到底是什么樣的對應關系。我們在進行分析過程中沒有一一對應。有可能一項能力我需要若干項指標才能支持對他的評價,在這里面如何把這個理順,這個工作量非常大。在這個過程中我們會做一個指標的草案,準備在年底前把這個拿出來,逐漸進行研討,也來征求大家的意見,我們的標準編制組的成員單位一起共同完善這個規范和指標。
標準的梳理過程我們是這么做的:兩項已經發布的標準中,把需要持續監管的指標進行大類分割,到底有哪些大類需要做,也和標準制訂參與單位,涉及到監管的一些企業,云服務的主管部門、第三方的測試部門和云服務商一起來進行討論,來確定一個初步的,現在指標的編制方法基本上已經定下來了,剩下的事情就是把我們的指標進行細化。而這個細化過程我相信會是一個比較困難,也比較漫長的事情了,我們也希望能夠把這個節奏盡可能的往前推進。當前的一些工作,我們現在各個參與的單位已經提供了很多的資料,我們從中要提取相應的可以用于持續監管的指標,也分析了不同的云計算服務平臺,我們也參考了很多已有的比較成熟的云計算平臺,他們提出一些監管的指標,把這里面的一些指標作為共性的東西提煉出來。31168能力要求里面的各項能力要求。參考國際已經有的持續監管的成果。來形成持續監管的指標項。
關于信息系統的監測,它的分類非常多,我們針對虛擬機和平臺發現了一些指標,這些平臺和指標也有很多需要進行調整。
下面我們提供了一些監管的思路,我們希望在后續的工作過程中,業界同行大家一起來出謀劃策。
難點:
第一,現在國際上可借鑒的標準和成果案例非常缺乏,如果大家齊心協力的把這件事情推進,下一步我們也希望能夠為國際標準化組織做出我們的貢獻。
第二,涉及到多角色,既涉及到技術問題,也涉及到管理問題,到底我們要監管的內容是什么,我們的標準要進行落地實施,也涉及到相關的管理機制的建立和完善。所以我相信,這看似只是一個標準,但是和標準配套的管理制度、相應的機制、后面我到底要怎樣持續監管,從國家層面來講,我們希望達到一個什么樣的目標,這都是后續要配套做的事情。這個工作的難度不亞于我們當初做云計算服務的兩項國家標準,那兩項國家標準,我們投入了差不多一年多的時間干這個事情,但是后來發現這個標準的難度,雖然我們審查的工作已經啟動了,已經有了一些里程碑的結果,但是后面如何讓已經通過審查的云計算服務還能夠繼續為黨政機關服務,這還是我們面臨的新的課題。
編制思路,指標體系和編制規范的編制思路,還有一個編制方法的問題,我們指標如何分類,還有接口,由于有不同的持續監管的對象,你的接口是不太一樣的,這是接口分類,編寫格式倒是相對后期的事情,前面的工作定下來,后面就是格式如何采用什么樣的風格去編寫。我希望業界的同行們大家一起共同努力,把這件事情繼續往下推進。因為云計算服務下一步一定是常態性的發展,在這種情況下,我們會有越來越多的黨政部門的用戶和重點行業都會采用云計算服務,在這種情況下,我們如何保證它的安全,這是我們行業會共同面臨的話題。
今天就給大家介紹到這里。謝謝大家!