前几天在一位博友的博客里提到“信息安全周期”,最近在CSA新发布的云安全指南中看到比较完整的规范版本(见附件),分享之。 是是非非云计算,“云安全”,是死穴还是金库?
 

信息生命周期管理

信息安全的主要目标之一是保护我们系统和应用程序的基础数据。当我们向云计算过渡的时候,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。由于许多云部署中,我们会将数据传输到外部甚至公众的环境中,这种方式在前几年是不可想象的。

信息生命周期管理

数据安全生命周期与信息生命周期管理是不同的,其反映了安全受众的不同需要。数据安全生命周期可分为六个阶段:

关于在云计算数据生命周期安全的关键挑战包括如下:

数据安全。保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

数据存放位置。必须保证所有的数据包括所有副本和备份,存储在合同、服务水平协议和法规允许的地理位置。例如,使用由欧盟的 法规遵从存储条例 管理的电子健康记录,可能对数据拥有者和云服务提供商都是一种挑战。

数据删除或持久性。 数据必须彻底有效地去除才被视为销毁。因此,必须具备一种可用的技术,能保证全面和有效地定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。

不同客户数据的混合:数据尤其是保密/敏感数据不能在使用、储存或传输过程中,在没有任何补偿控制的情况下与其它客户数据混合。数据的混合将在数据安全和地缘位置等方面增加了安全的挑战。

数据备份和恢复重建Recovery and Restoration)计划:必须保证数据可用,云数据备份和云恢复计划必须到位和有效,以防止数据丢失、意外的数据覆盖和破坏。不要随便假定云模式的数据肯定有备份并可恢复。

数据发现(discovery:由于法律系统持续关注电子证据发现,云服务提供商和数据拥有者将需要把重点放在发现数据并确保法律和监管当局要求的所有数据可被找回。这些问题在云环境中是极难以回答的,将会需要管理、技术和必要的法律控制互相配合。

数据聚合和推理:数据在云端时,会有新增的数据汇总和推理的方面的担心,可能会导致违反敏感和机密资料的保密性。因此,在实际操作中,应要保证数据拥有者和数据的利益相关者的利益,在数据混合和汇总的时候,避免数据遭到任何哪怕是轻微的泄漏(例如,带有姓名和医疗信息的医疗数据与其它匿名数据混合,两边存在交叉对照字段)。

建议

√理解如何维护完整性、如何检测违反完整性、如何提交报告给客户。同样的建议适用于数据的机密性。

√云服务提供商必须向数据所有者保证按照SLA中定义的安全实践和规程提供全面披露(也即透明性)。

√确保在数据的生命周期中所使用的所有控制的都是规范和可识别的。确保所有控制对于数据拥有者和云服务提供商来说,有明确的职责分工。

√维持一个关于数据具体位置的基本原则。确保有能力知道存储的地理位置,并在服务水平协议SLA和合同中约定。在地理位置定义和强制执行方面,需要有适当的控制来保证。

√理解什么情况下存储可以由第三方或政府机构进行抓取。当数据拥有者的信息已经或将被抓取,需确定服务水平协议中是否规定云服务提供商要预先通知数据拥有者(如果可能)。

√在某些情况下,传票或取证书面命令可能会发给云服务提供商。在这种情况下,当云服务提供商具有客户数据的监护权,此提供商应告知数据所有者,他们将不得不披露数据拥有者的数据。

√服务惩罚的制度应包含在数据拥有者和云服务提供商之间的合同中。具体而言,合同中数据保护条款应遵从于国家和国际数据违反条例,由云服务提供商提供保护(如:加州参议院法案1386或新的HIPAA的数据违反法则)。

√数据的拥有者有责任来决定谁应该获得权限和特权访问数据,以及在何种条件下可以访问数据。数据的拥有者应该保持一个策略:默认状态下,所有的数据拥有者的雇员和云服务提供商没有任何访问权限。

√云服务提供者应通过合同化语言或合同条款,保证无权访问作为基本原则(即否认,“默认拒绝所有”)。这一原则适用于云服务提供商员工和其他顾客,而不是数据拥有者的雇员和授权访问人员。

√数据拥有者有责任定义和识别数据分类。云服务提供商有责任在数据拥有者制定的数据分类基础上执行数据访问控制需求,这些责任应体现在合同中,并按遵从性强化和审计。

√当客户被迫披露数据,必须避免“污染”数据。数据拥有者不仅必须确保所有传票,电子证据发现的裁决要求的数据是完整的,并正确披露,还必须确保没有其他数据受到影响。

√数据加密(参考D11,加密和密钥管理)。

√确定整个IT架构和抽象层的信任边界。确保子系统只有在需要时才跨越安全边界,并需要配合适当的保障措施,以防止未经授权的披露、更改或销毁数据。

√理解云服务提供商使用了什么隔离技术来实现客户的彼此隔离。云服务提供商可能根据服务的类型和数量而使用不同隔离技术。

√当尝试进行数据发现时,应了解云服务提供商在数据搜索方面的能力和限制。

√了解多租户存储环境中是如何进行加密管理的。是所有数据拥有者共享一个密钥?每个数据拥有者各自拥有一个密钥?或者一个数据拥有者使用多个密钥?是否有制度或系统防止不同的数据拥有者使用相同的密钥?

√数据拥有者应要求云服务提供商确保他们的备份数据不与其他云服务的客户数据混合。

√理解云服务提供商存储的回收流程。在多租户环境中,数据销毁是非常困难的,云服务提供商应使用加强型加密,避免存储被任何授权以外的应用、进程和实体等非法回收、分解或读取。

√数据保存和销毁的计划是数据拥有者的责任。根据客户要求销毁数据是云服务提供商的责任,需要强调的是,销毁数据时候,应该包括所有位置和所有形式的数据。如有可能,数据拥有者应强制执行、并审计这些操作。

√了解信息的逻辑隔离和已实施的保护控制。

√ 理解自己公司委托管理的数据的固有隐私限制,数据拥有者可能需要在把数据托管给某个云服务提供商之前,先选定其作为合作伙伴。

√ 了解云服务提供商的数据保存和销毁策略和程序,并与其内部组织策略对比。请注意,云服务提供商对于数据保存的保证是较容易演示,数据销毁的演示就非常困难。

√ 需要严肃对待谈判云服务提供商发生数据外泄的相关惩罚。如果可行,客户应该要求赔偿其作为云服务提供商的合同中涉及的数据恢复的所有费用。如果不切实际,客户应探讨确定转移风险的媒介,如通过保险。

√ 定期执行备份和恢复测试,以确保逻辑隔离和控制是有效的。

√ 确保云服务提供商人员控制措施是到位的,具备合理的逻辑职责隔离SOD

√ 理解在多租户存储情况下如何进行加密管理。 所有客户共享一个密钥、每个客户拥有一个密钥或者每个客户拥有多个密钥?

基于ILM每个阶段的数据安全建议

我们会结合信息生命周期管理的每个阶段提出一些通用建议、以及其它的具体控制。请记住,建议和控制方法与云服务模式相关(SaaSPaaSIaaS),有些建议需要客户进行实施,另一些需要由云服务提供商实施。

创建

√ 识别可用的数据标签和分类。

√ 企业数字权限管理(DRM)可能是一种选择。

√ 数据的用户标记在WEB2.0环境中应用已经非常普遍,可能对分类数据会有较大帮助

存储

√ 识别文件系统、数据库管理系统DBMS和文档管理系统等环境中的访问控

制。

√ 加密解决方案,涵盖如电子邮件、网络传输、数据库、文件和文件系统。

√ 在某些需要控制的环节上,内容发现工具(如DLP数据丢失防护)会有助于识别和审计。

使用

√ 活动监控,可以通过日志文件和基于代理的工具。

√ 应用逻辑。

√ 基于数据库管理系统解决方案的对象级控制。

共享

√ 活动监控,可以通过日志文件和基于代理的工具。

√ 应用逻辑。

√ 基于数据库管理系统解决方案的对象级控制。

√ 识别文件系统、数据库管理系统和文档管理系统等环境中的访问控制。

√ 加密解决方案,涵盖如电子邮件、网络传输、数据库、文件和文件系统。

√ 通过DLP实现基于内容的数据保护。

归档

√ 加密,如磁带备份和其他长期储存介质。

√ 资产管理和跟踪

销毁

√ 加密和粉碎:所有加密数据相关的关键介质的销毁。

√ 通过磁盘“擦拭”和相关技术实现安全删除。

√ 物理销毁,如物理介质消磁。

√ 通过内容发现以确认销毁过程.

贡献者: Richard Austin, Ernie Hayden, Geir Arild Engh-Hellesvik, Wing Ko, Sergio Loureiro,Jesus Luna Garcia, Rich Mogull, Jeff Reich