隨著云計算應用的日益深入,云計算服務正在成為政府采購越來越多的一項內容。如何保證政府和企業使用云計算服務的安全性,如何建立采購云計算服務的安全標準,如何加強云計算服務的安全監測,已經引起政府主管部門的高度關注。為保證成員國政府云計算服務采購的安全,歐盟網絡與信息安全局于2012年4月正式出臺《云計算合同安全服務水平監測指南》(簡稱《指南》),提供了一套持續監測云計算服務提供商服務級別協議運行情況的操作體系,將監測行動科學地引入到全合同周期之中,以達到實時核查用戶數據安全性的目的。
加強安全監測成為云計算服務發展重要前提
隨著云計算應用的廣泛和深入,云服務安全隱患問題愈發凸顯,加強安全監測,是發展云服務的重要前提。
由于云計算可以大幅降低成本并提高效率,目前各國在公共服務領域采購云計算服務的金額和比重都呈現快速上升趨勢。據IDC預測,2013年云服務利潤將達442億美元,而歐洲云服務市場也將超過60億歐元。雖然云服務的好處不勝枚舉,但也因其多用戶、共享資源等特點,帶來很多風險和不確定性。特別是隨著云計算應用的日益廣泛和深入,云服務涉及的數據安全隱患問題愈發凸顯。總的來說,云計算環境的風險主要有3個方面:一是政策和組織風險,如喪失一定的管理權、被迫鎖定于某一個或某幾個云服務提供商(CSP)等;二是技術風險,如用戶間的數據隔離失效、數據刪除不完全、內部人員惡意操作等;三是法律風險,如數據保護風險等。可見,加強安全監測和防范風險,無疑是發展云服務的重要前提。這不僅有利于發揮規模效應,還會使CSP具有差異化競爭優勢和更及時有效的更新能力。
出臺《指南》是歐盟云服務安全部署關鍵環節
為了持續保障云服務安全,歐盟出臺了《云計算合同安全服務水平監測指南》,將評估工作貫穿整個合同期。
早在2009年,歐盟網絡與信息安全局(ENISA)就啟動了相關研究工作,先后發布了《云計算:好處、風險及信息安全建議》和《ENISA云計算信息安全保障框架》,使公共部門對云服務提供商進行預評估,確定是否采購其服務。2011年,ENISA又發布了《政府云的安全性和復原力》報告,為公共機構提供了決策指南。ENISA還調查了歐洲140多個公共機構在云服務采購方面的做法,為進一步出臺詳細的操作指南奠定了基礎。然而,以上部署主要關注在云服務提供前期如何規避安全風險。為了在整個合同期持續地保障云服務安全,2012年4月,ENISA制定并發布了《云計算合同安全服務水平監測指南》。《指南》重點關注公共服務領域的合同,將評估工作貫穿整個合同期。這將有助于對云服務的數據安全持續監測,為云服務采購者提供指導,推動產業進入一個全新的發展階段。
《指南》八項指標體系反映SLA運行情況
《指南》從SLA角度出發,為客戶提出了包括服務可用性、事故響應、數據生命周期管理等8個指標體系。
由于云服務的安全性主要由云服務提供商掌控,而客戶與提供商的互通主要是通過服務級別協議(SLA)。因此,本《指南》主要從SLA角度出發,為客戶提出了包括服務可用性、事故響應、服務彈性、數據生命周期管理等8個方面的一整套持續監測其服務提供商SLA運行情況的指標體系,旨在通過對這8項反映SLA運行情況的關鍵指標的持續監測和預警,幫助客戶達到核查其數據安全性的目的。
服務的可用性:可用性是指在一定的時間內,服務請求和服務時間得到滿足的占比。在服務協議中,必須明確給出關于服務可用性狀態的描述。目前,已經出現了很多用于監測網絡連接狀態的服務和產品,以及依靠云服務提供商的監測工具。
事故響應:事故是指服務非正常提供的狀態,以及引起或可能引起服務中斷或服務質量下降的事件。根據信息技術基礎架構庫(ITIL)模型,對事故的監測和響應等級通常由兩個因素決定:一是嚴重性,根據事故的嚴重性分級進行確定。二是響應時間,是指進行補救的時間
服務彈性與負載公差:彈性可以在數量上描述為在一個執行期內失敗資源配置占全部配置要求的比例。一些CSP提供冗余能力服務,這不但可在其他用戶使用時保證一定的彈性,而且更重要的是,對災害恢復時期意義重大。
數據生命周期管理:主要用于測量提供商數據處理的效率和效益,包括服務的備份或數據復制系統、導出數據的能力和數據丟失防護系統。
技術合規性和漏洞管理:用于衡量云服務是否符合技術安全政策,包括控制的準確性和漏洞處理能力。監測技術的合規性和漏洞管理,往往要根據偏離基準線安全政策的程度進行。
變更管理:用于對與系統安全屬性和配置有關的重要變更進行監測和管理。在簽署合同時需要制定一個清單明細,如果清單上的項目發生變更,應向用戶發出通知。
數據隔離:是一種功能性的要求,必須實時進行。數據隔離可確保不同的客戶數據和服務的保密性、完整性和可用性,并保護數據免受未授權第三方用戶的訪問。
日志管理與取證:包括獲取用戶使用云資源的歷史信息。按照其內部控制、合規、審計、法律和監管要求,客戶可能需要獲取以下信息:哪些用戶在何時、何處、對哪些數據進行怎樣的處理。
相關鏈接
美國率先對云服務安全監測進行部署
在世界各國紛紛著手研究云服務相關安全監管政策之時,美國已率先進行了云服務安全監測部署。美國國家標準與技術研究院(NIST)發布了一系列云計算白皮書,NIST的《云計算定義》也被廣泛引用和采納。近期,NIST還發布了《聯邦信息系統和機構的信息安全持續監測(ISCM)》報告,為籌劃內部云服務安全流程提供指導,通過持續監測,保持其對信息安全、漏洞和威脅的警覺。
《聯邦風險和授權管理計劃(FedRAMP)》是美國聯邦政府機構在采購云服務時須遵守的操作指南。該計劃不僅制定了安全要求,同時也監測安全措施的執行情況,例如每季度定期發布漏洞掃描報告。FedRAMP很可能成為美國云服務公共合同監測的參考基準。
京公網安備 11010502049343號