安全物理环境-基础设施位置
应保证云计算基础设置位于中国境内。
该控制点是针对云计算平台提出的安全要求,公有云服务商和自建私有云的企业或组织在规划设计时应同步考虑此安全要求。无论是自建数据中心还是租赁第三方基础设施,其数据机房及云计算相关基础设施(包括通信链路、网络设备、安全设备、计算设备、存储设备等)均应位于中国境内。 此处的“中国境内”指关境意义上的中国境内,不包含香港特别行政区、澳门特别行政区和台湾地区(此三地在关境意义上属于境外)。
安全通信网络-网络架构
a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;
b)应实现不同云服务客户虚拟网络之间的隔离;
c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
该控制点下的全部条款均是针对云计算平台提出的安全要求。
对于条款a),云服务商有义务告知云服务客户其云计算平台可承载业务应用系统的最高安全保护等级,并采取必要的措施(如与客户以合同等方式约定云服务客户的业务应用系统的安全保护等级)来确保云计算平台不承载高于其自身安全保护等级的业务应用系统。
对于条款b),为确保云服务客户数据、资源不遭到来自其他云 服务客户及外部网络的非法访间,防止不同云服务客户间的相互影响 及恶意攻击,云服务商应在多云服务客户环境中实现不同云服务客户 虚拟网络之间的安全隔离,如采用 VXLAN技术为不同云服务客户实现 VPC,或者使用虚拟防火墙在虚拟网络间进行逻辑隔离。
条款c、d)相关安全产品或服务:虚拟防火墙、安全组、虚拟专用网络(VPN)、安全资源池(云安全服务平台)
条款e)是针对云计算平台的开放性提出的安全要求,确保云服务客户能够根据自身需求自由选用云计算平台自有安全防护服务或者第三方的安全产品(或服务)。
安全区域边界-访问控制
a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
该控制点下的全部条款均适用于云计算平台和云服务客户系统。 对于条款a),虚拟网络中的边界可分为以下几类:
(1)不同云服务客户的虚拟网络之间的边界;
(2)同一云服务客户虚拟网络中不同虚拟子网/区域之间的边界;
(3)云服务客户虚拟网络与云计算平台外部网络之间的边界。
对于(1)类边界,不同的云服务客户系统通常分别属于不同的VPC,VPC之间默认是隔离的。当 VPC之间存在联通需求时,可通过云企业网、对等连接等方式建立连接,并在边界处采取访问控制措施保障安全访问。
对于(2)类和(3)类边界,本条款是“安全通用要求-安全区域边界-访问控制-条款a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信”在云计算环境中的具体化,明确虚拟网络也应落实控制措施。
条款b)进一步强调了安全保护等级不同的对象之间的访问控制。
安全区域边界-入侵防范
a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
d)应在检测到网络攻击行为、异常流量情况时进行告警。
条款 a)适用于云计算平台,要求其能检测到云服务客户发起的网络攻击行为。为满足该条款的要求,云计算平台需要针对云服务客户的业务应用发起的访问进行入口流量镜像分析,对东西向、南北向的攻击行为进行深入分析,并结合相关的云安全产品对异常流量的处理实践,记录攻击类型、攻击时间、攻击流量等。
条款b)适用于云计算平台和云服务客户系统。该条款是“安全通用要求-安全区域边界-入侵防范-条款b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”在云计算环境中的扩展和细化要求,区别在于前者是面向物理节点的网络攻击行为检测,后者是面向虚拟网络节点的网络攻击行为检测。
对于云计算平台,该条款可以通过在虚拟网络节点出入口部署应用层防火墙、入侵检测等边界防御设备(或服务)来实现网络攻击检测能力。对于云服务客户系统,可以通过购买云计算平台的安全服务或者第三方安全服务来实现对其虚拟网络外部和内部节点的网络攻击检测。
条款 c)适用于云计算平台和云服务客户系统。通常情况下,一个宿主机往往承载着多个虚拟机,这些虚拟机可能属于不同的云服务客户。为避免异常流量影响虚拟机与宿主机的正常运行及虚拟机与宿主机、虚拟机与虚拟机间的通信,应部署流量监测和入侵防范等设备/服务对虚拟机与宿主机、虚拟机与虚拟机间的流量进行实时监测。
对于云计算平台,应对云上所有虚拟机与宿主机、虚拟机与虚拟机间的异常流量进行检测。前者侧重于发现虚拟机逃逸之类的网络攻击,后者侧重于发现平台自用虚拟机实例间(或私有云各虚拟机实例间)违反安全策略的攻击行为。对于IaaS 模式下云服务客户单独租用(购买)整个宿主机服务器集群的情形,云服务客户应对虚拟机与宿主机、虚拟机与虚拟机间的异常流量进行检测。常见的IaaS 模式下的云服务客户需要对虚拟机实例间的异常流量进行检测。
条款d)适用于云服务商和云服务客户。对于云服务客户系统来说,如果其采购云计算平台提供的入侵检测服务,则该服务在检测到网络攻击行为、异常流量情况时应将告警信息直接推送给云服务客户。