云安全联盟CSA之《云安全指南》3.0浅析

云安全联盟CSA之《云安全指南》3.0浅析

July 9th, 2012 Richard Leave a comment Go to comments

转贴一篇我的同事田民的文章，此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK，感兴趣考试CCSK的同学们，可以和他联系取取经。:)

摘要：在众多CSA已发布的研究文献中，《云安全指南》无疑是其中最具影响力的。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下，《云安全指南》高屋建瓴而又不乏具体的策略和实施建议，是一份不可多得的参考文献。本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。

关键词：
CSA    云安全    风险分析    合规     监管和治理

概述
云安全联盟（CSA，Cloud Security Alliance）迄今已发布了一系列的安全研究报告。《云安全指南》无疑是其中最具影响力的。
《云安全指南》全称《云计算关键领域的安全指南》（Security Guidance for Critical Areas of Focus in Cloud Computing ）。在2009年12月17日，CSA发布了《云安全指南v2.1》。2年后，CSA于2011年11月14日发布了《云安全指南v3.0》。两个版本均可以从CSA的网站上免费下载，其中，v2.1有中文版本。
《云安全指南》关注于与云计算安全相关的、可以被评估和审计的安全需求及其建议，不涉及强制性法律责任（statutory obligation），这决定了《云安全指南》归根到底是一个研究性文档，或者说是一份白皮书，而不是安全标准，更不是法律法规。事实上，迄今为止，尚无一个被业界广泛认可和普遍遵从的国际性的云安全标准，而涉及云计算安全的法律法规更是全球性的缺失。
笔者认为，CSA不是一个单纯阐述技术的文档。在CSA云安全指南中，有相当多的篇幅讲述的并非技术，而是与监管相关，涉及法律、合规、安全管理、SLA等诸多非技术性领域。因此，《云安全指南》的读者范围很广，包括企业的高管（C-level）,云计算服务的消费者（consumer）和云计算的实施者（implementer），涵盖了云安全的战略和战术方面的诸多内容，高屋建瓴而又不乏具体的策略和实施建议。

结构
从结构上来看，《云安全指南》从架构（Architecture）,治理（Governance）和实施（Operational）三个方面对云安全进行了深入阐述。《云安全指南》全文包括3个章节，14个域 （Domain），其结构如下：

有必要说明的一点，从《云安全指南v2.1》到《云安全指南v3.0》的变化是非常大的，这从文档的页数从76页增加到177页足见一斑。对比来看，v3.0除了新增第14域“安全即服务”一节之外，其他章节中之前许多概括性的描述在新版本中进行了丰富和细化。
以Domain3: Legal and Electronic Discovery为例，在v2.1中并没有列举出到底都有哪些法律和标准需要遵从，而在v3.0中则详细列举了可以参考和遵循的国际和地域性的法律法规及行业规范，如下图所示：

这无疑使得《云安全指南》更具可读性和参考价值。

风险为核心
《云安全指南》通篇围绕着风险（Risk）这一核心展开研究和讨论。《云安全指南》认为，在采用云计算系统/服务之前必须要分析风险，而在分析风险之前首先需要明确资产（Data，Applications，Functions等）及其价值，“可能某个关键应用程序过于重要而不宜转移到公共云供应商，也有可能某些数据由于价值过低，很少或根本没有理由对其在云迁移过程中部署全面的安全保护措施 ”。资产价值可以从敏感程度和重要性两个角度进行粗略的评估，判断各种威胁情况下可能造成的损失是一个有效的手段，例如评估数据泄露并被广泛传播或被篡改，应用或功能在一段时间内不能被访问等情况下给客户可能带来的损失。
在明确资产价值和损失后，选择适当的部署模式（Deployment model）和服务模式（Service model）就是接下来非常关键的工作了。
先确定部署模式，再选择服务模式的顺序是非常有道理的。根据NIST 的云计算框架，服务模式是建立在部署模式之上的，部署模式决定了客户/消费者应用和数据的存放位置（on-premise or off-premise），系统（Infrastructure）的拥有者（owner）、管理者（manager）和访问性质（trusted or un-trusted）。是采用公共云（Public cloud），还是私有云（Private cloud），或是混合模式（Hybrid cloud）需要依据业务特点和资产自身的风险属性来决定。
举例来说，一个选择了私有云（private）的客户并不一定将应用/数据放在企业内部（internal or on-premise），同时也不一定就是系统（Infrastructure）的拥有者和管理者。然而，采用不同存放位置以及处于不同角色决定了威胁以及安全需求都是不同的，不过，有一点是肯定的，那就是不管数据放在哪里，客户访问应用/数据的通道必须是可信的（trusted）。
在分析部署模式的安全风险时，可以采用CSA提出的模型 或参考Jericho Cloud Cube模型。Jericho cube模型从四个维度（external/internal，proprietary/open，perimeterised/de-perimeterised，insourced/outsourced）以立方体的形式展示了不同云计算部署模式的属性，对于选择和部署最佳安全防护措施具有一定的参考价值。
确定部署模式后，选择适当的云服务模式也非常重要。无例外的是，在选择服务模式时也需要进行相应的风险分析。《云安全指南》提出一种称为“Map & Find the Gaps”（映射并进行差距分析）的方法来进行针对服务模式或操作模式的风险评估。

“Map & Find the Gaps”的方法是站在合规角度上进行差距分析的过程。不难看出，考虑和评估服务模式风险的前提，是对云计算的参考模型有着全面而准确的理解。安全控制模型映射到SPI模型上时，不同层面的安全需求即对应到相关SPI 层面上。然而，在实际的分析和评估过程中，SPI模式的不同决定了风险承担者的不同。客户/消费者采用SaaS模式和采用IaaS模式所要考虑风险一定是不同的。前者的绝大部分系统风险都将由服务提供商来承担，后者则需要考虑更多的因素自行部署安全防护措施来规避风险。当然，这就涉及到如何选择适合的云服务/系统提供商的问题了。
毫无疑问的是，如何选择适当的云服务/系统提供商（并保证业务连续性和托管数据的安全）是非常复杂和具有挑战性的，是《云安全指南》通篇竭力阐述的一个核心问题。带着这个问题来阅读《云安全指南》你可以感受到，CSA在编写《云安全指南》时，对云计算服务提供商和客户/消费者彼此的责任和义务有着非常清晰和明确的界定，对内容的阐述也是非常的细致和仔细。事实上，这也是阅读《云安全指南》14个域过程中最需要关注的内容之一。

管理与技术并重
总的来说，《云安全指南》中表达的观点与传统安全评估思路并不冲突，在很多方面遵循了传统的安全风险分析方法论。这一方面体现了安全的本质，及适度安全的根本理念；从另一个方面也说明，采用云计算技术来建设或改造系统，传统安全理念和防护手段在新的环境下同样有效。
当然，不能否认的是，云计算毕竟是一场“渐进式”的革命，长期演进创造了全新的业务模式，不管是部署模式还是服务模式的变更必将导致自身脆弱性和外部威胁的变化，从而影响安全需求发生变化以及防护建设的规划和实施。这种影响不仅仅体现在技术层面上，同时也涉及监管方面。
《云安全指南》认为，相对于技术层面的防护策略，监管方面的规划和执行更加不容忽视。原因很简单，在云计算模式下，很多服务需要外包，甚至企业关键数据都将储存在第三方数据中心里。第三方提供商采取何种安全技术手段进行防护，对于购买服务的客户/消费者来说往往是看不到、摸不着的，更不要说进行管控了。在这种情况下，站在客户/消费者角度上，如何有效地确保外包业务、应用和数据的安全，不仅需要从法律和行业标准角度上明确合规（包括法律法规和行业规范）要求，同时必须通过详细和具体的SLA来界定双方的责任和义务并严格执行。
在《云安全指南》中，针对技术之外的监管问题提出了大量建设性的建议。这部分的内容贯穿了《云安全指南》的14个域，在“云的治理”部分阐述的尤为充分，涉及到法律、合规、取证、审计、SLA和数据迁移等诸多方面的内容。从“三分技术，七分管理”的安全本质角度上来看，更加凸显出《云安全指南》对云计算安全全面深入的研究和不可多得的参考价值。

附：
云安全联盟简介
云安全联盟（CSA，Cloud Security Alliance）是在2009年的RSA大会上宣布成立的。成立之后，CSA迅速获得了业界的广泛认可。很多国际领袖公司成为其企业成员，截止到2011年底，企业成员已超过100名。名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。绿盟科技、启明星辰、华为等领先企业已经成为CSA的企业会员。云安全联盟是一个非盈利组织，其使命包括推广云计算环境下的最佳安全实践，以及通过云计算技术为其他计算提供安全防护的手段。
CSA拥有业界唯一的云安全认证——CCSK（Certificate of Cloud Security Knowledge）。学习CSA推荐的包括《云安全指南》在内的若干文档并通过考试，就可以获得CCSK认证。

参考文献：
[1]. 《Security Guidance for Critical Areas of Focus in Cloud Computing v2.1》, 2009 ,CSA
[2]. 《Security Guidance for Critical Areas of Focus in Cloud Computing v3.0》,
2011. CSA
[3]. 《云计算关键领域的安全指南v2.1》,2009. CSA
[4]. 《SP800-145, The NIST Definition of Cloud Computing》, NIST. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.
[5].Cloud computing. Wikipedia.org,  http://en.wikipedia.org/wiki/Cloud_infrastructure#Infrastructure.
[6]. 云安全联盟. 百度百科. http://baike.baidu.com/view/3423787.htm.