邮发代号 2-786
征订热线:010-82341063
与传统 IT 环境相比,云计算环境中的资产通常规模更庞大且具有更高的动态性,配置管理能力的自动化程度不足可能导致工作量大和复杂性上升,从而增加了人为操作失误的风险。近年来发生的多起云计算安全事件显示,云计算环境中的配置错误以及缺乏安全基线管理是造成云上安全事件的重要原因之一。因此,提升云计算环境配置管理能力成为提高云计算环境安全性和可靠性的关键。2024 年 5 月,中央网信办等四部门发布了《互联网政务应用安全管理规定》,其中第二十四条指出,党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。云上安全配置管理作为云安全评估的重点内容,以及云上租户的重点安全责任再次成为关注的焦点。
Fortinet 于 2023 年发布的云安全报告显示,59% 的网络安全专业人员认为,配置错误仍是首要的云安全风险。绿盟科技统计的 2023 年重大云安全事件中,约四成是因为人为错误配置导致的云存储桶数据泄露,这些事件暴露了用户在使用存储桶服务时存在访问控制配置不当和缺乏加密保护等安全问题。2024 年,由于云存储服务器配置错误,某公司大量敏感信息遭到未授权访问和泄露。事件源于开发环境中的微软 Azure 托管存储服务器被错误配置为公共访问,导致私钥和内部数据暴露。尽管云计算技术提供了强大的功能和灵活性,但错误配置使得这些优势成为潜在的安全隐患。针对信息系统和云上资产的安全配置管理,我国现行的国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)和《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019),为保障信息系统安全运行提供了实施指引。两个标准均针对网络服务和信息处理的提供者,要求为信息系统服务的网络安全负责,以推动《网络安全法》相关规定的落地实施,其中也包括了针对安全配置管理的要求。以美国国家标准与技术研究院(NIST)给出的定义为例,安全配置管理(SCM)是指以实现安全和管理风险为目标,为系统设置一套标准安全配置要求并持续监控各个指标,以此组织可以迅速识别违规行为,减少系统攻击面。信息系统随着业务需求的变化不断调整,系统变更伴随着必要的配置调整。为确保系统配置所需的调整不会对系统安全产生不利影响,系统管理员需要建立一个明确定义的配置管理流程,并在其中融入安全控制措施。相较于传统的 IT 环境,云计算环境呈现出资产类型多样化、资产的动态性和更大的资产规模等特点,导致云计算环境下的配置管理更为复杂。其配置管理需具备适应性强和自动化的特点,以应对不断变化的资源状态,以及确保配置的可靠性和安全性。资产类型的多样化。云计算被划分为包括基础设施即服务(IaaS)、平台即服务(PaaS)以及软件即服务(SaaS)等多种服务模型。每种服务模型都包含不同类型的资产,如虚拟机、容器、存储、网络配置及应用程序接口等。云上安全配置管理不仅需要维护物理资产,还需对虚拟资源进行配置管理。资产的动态性。与传统 IT 环境相比,云环境中的资产呈现出更高的动态性。资源的扩展或缩减可以迅速进行,配置的更改及资源的重新分配能够即刻实现。这种资产的高度动态性要求配置管理系统必须具备实时更新和管理资产信息的能力。更大的资产规模。云计算环境支持大规模的资产部署,这不仅增加了配置管理的复杂度,也使得配置管理过程更依赖于自动化工具和解决方案,以便快速进行部署、监控以及进行常规变更。国际上对安全配置管理的关注较早,研究较为深入,涵盖了合规性标准的应用、自动化工具的开发、持续监控和新技术的引入等多个方面,为企业以及信息系统提供了有效的工具和方法,以应对复杂多变的网络安全态势。其主要举措包括以下四方面内容。
(一)以法律法规和政策要求强调安全配置工作的重要性从国际实践来看,从法律法规和政策要求方面强调信息系统应进行安全配置是一种通行做法。例如,美国联邦信息安全管理法案(FISMA)要求联邦机构实施信息安全计划以保护信息系统,其中包括安全配置管理的要求。欧盟方面,《通用数据保护条例》(GDPR)在关注数据隐私保护的同时,也强调了底层信息系统的安全配置管理,以确保数据的安全性。英国国家网络安全中心(NCSC)发布了《云安全原则》和其他参考指南,帮助组织实施和管理云环境中的安全配置。由此可见,制定和实施安全配置管理的法规和政策是保障信息系统安全和数据隐私的重要手段,通过强调法律法规和政策的要求,可以促使信息系统运营者切实履行实施安全配置的义务,以更好地保护系统和数据的安全。无论是国际标准还是国外发达国家出台的相关标准,均从标准层面为信息系统的安全配置提供了指导。ISO/IEC 27000 系列是目前国际上被广泛接受和应用的信息安全管理体系认证标准集,其中 ISO/IEC 27002 和 ISO/IEC 27017 是国际公认的信息安全控制措施实施指南和云安全管理标准,为云环境的配置管理实践提供了具体指导。ISO/IEC 27002 提供了详细的信息安全控制措施和最佳实践,包括安全配置的建立、记录、实施、监控和审查。ISO/IEC 27017 在信息安全控制措施实施的基础上,给出了基于云服务特点的特定信息安全控制指南,包括虚拟网络配置要求通过系统化的要求和最佳实践来指导安全配置管理。以上标准通过明确的控制措施和最佳实践,推动了云环境中的安全配置管理工作。此外,云安全联盟(CSA)推出的云控制矩阵 v4(CCM v4)包括 17 个控制域中的 197 个控制目标,全方位涵盖了云计算技术的安全领域,并为变更控制和配置管理提供更好的实施和评估指导。美国开展联邦云计算风险与授权管理项目(FedRAMP),旨在对云服务商进行评估以确保其符合联邦信息安全标准,所使用的标准包括 NIST 发布的一系列标准和指南,如《NIST SP 800-53 信息系统和组织的安全和隐私控制 第 5 版》和《NIST SP 800-128 信息系统安全配置管理指南》等,为云服务商提供安全配置管理的具体指导。此外,位于美国的社区驱动非营利组织互联网安全中心(CIS)发布的 CIS 控制(CIS Controls)和 CIS 基准(Benchmarks),提供了包括虚拟化软件与容器编排平台等具体资产的安全配置建议和基准检查表,得到了广泛应用。新加坡多层云安全(MTCS)标准是区分不同安全级别的云安全标准,其中覆盖了包括安全配置、变更管理、安全测试和检测在内的多个关键安全领域。德国联邦信息安全办公室(BSI)制定了云计算合规标准目录(Cloud Computing Compliance Criteria Catalogue,C5),用于评估云服务提供商的合规性。其中在资产管理方面要求落实可接受使用和安全处理资产政策,强化资产的错误处理、日志记录、加密、认证和授权机制等多方面安全配置工作。NIST 开发的安全内容自动化协议(SCAP),是一组用于自动化管理系统的安全配置、漏洞管理和合规性评估的开放标准。SCAP 由包括 XCCDF、OVAL、DataStream、ARF、CPE、CVE、CWE 等多组标准化的描述格式、声明性语言与协议组成,用于描述、交换和报告计算机系统的安全配置和漏洞信息,帮助实现安全配置管理的自动化。除了制定和发布 SCAP 相关的标准和指南,NIST 还开发并提供了一系列工具和资源,帮助组织理解和实施 SCAP。通过组织各种培训课程、研讨会和网络研讨会,NIST 向 IT 从业人员和网络安全人员传授如何使用和实施 SCAP 的经验,这些措施有效推动了对 SCAP 的理解和应用。(四)推动供应商建立统一安全基线,实现统一安全水位美国政府配置基线(USGCB)计划是一项联邦倡议,通过为部署在联邦信息系统中的各种 IT 产品提供一致、安全的配置设置,确保所有联邦机构实现统一的安全态势,降低政府网络遭受网络威胁的风险。虽然标准化安全设置的原则最初侧重于桌面和服务器配置,但同样适用于基于云的相关资产。英国政府于 2022 年发布的《政府网络安全战略 2022-2030》规定了政府在面对不断变化的网络风险时的防范措施,其中安全配置的管理便是关键措施之一。《战略》提到,英国政府将与它的主要供应商合作,进一步开发基线安全配置,供政府机构遵循和调整,确保所有政府组织了解如何配置其生产力套件,以提供基线水平的网络安全,从而大幅降低因配置错误而导致的常见风险。目前,我国已建立基本的云计算平台配置管理的总体指导文件,但在提供配置管理工作落实指引、推动厂商加强配置自动化、集中化管理方面仍存在差距。以下是我国加强云计算环境配置管理能力、改善现状的五点思路。
(一)进一步完善安全配置管理标准规范,为安全配置工作提供工作依据现有云计算安全相关标准中,仅对安全配置相关内容提出少量要求条款,尚无法指导云服务商开展具体实践。比如,《信息安全技术 云计算服务安全能力要求》(GB/T31168-2014)和《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等标准,尚缺乏指导安全配置管理实施的细则。2024 年,全国网安标委标准立项计划中提出了政务云安全配置基线要求相关的标准制定任务,标准的制定将为云计算环境下的安全配置工作提供重要工作依据。(二)鼓励行业关注安全配置自动化管理工具,提升专业工具供给能力现阶段,我国在自动化配置管理工具的研发和推广方面仍显不足,手工配置管理现象普遍,导致管理效率低下和配置错误风险增加。为提高安全配置管理的效率和准确性,应大力推广和应用自动化工具。首先,应支持推广基础架构即代码(IaC)方法,使用编程语言或配置语言来编写配置文件,实现工具自动化执行配置文件中的指令,从而减少了人为错误和手动操作的复杂性。同时支持本土网络安全相关企业研发符合国内需求的安全配置管理工具,在确保开源工具安全的前提下,也可以尝试应用如 Ansible、Puppet、Chef等国际成熟的开源工具,并结合本地实际进行定制化开发与适配,增强技术支持力度。通过自动化工具的应用和迭代,不仅可以提升安全配置管理的整体效率,还能实现对安全配置的持续监控和优化,形成动态安全控制体系。(三)督促云服务商制定完善配置基线、配置变更等工作手册,规范云计算环境配置管理实施过程云服务商在实际运营中,应根据云计算环境的特性和用户需求,制定详细的配置基线和配置变更管理规程。这些安全要求应包含配置项的详细说明、标准化操作流程、常见问题解决方案以及安全配置的最佳实践,确保配置管理的各个环节都有据可依,有章可循。参考国内外标准,制定配置管理计划应综合考虑配置管理策略、最小特权原则、最小功能原则、审计功能配置、恶意代码防范和数据安全保护等六个方面,以便更好地识别资产的配置项和理解配置管理的实际应用,从而提升云计算环境的安全性和稳定性。其中,配置变更的规范性更是重中之重。变更流程混乱可能导致配置不当,直接影响系统的整体安全性,未经批准或误操作引起的配置变更将导致实际配置与既定的安全策略和要求不符,使得系统的安全性下降。通过规范和控制配置变更的各个环节,确保系统在不断演进中的稳定性、安全性和合规性,减少因配置变更引发的安全风险和系统故障。建议在开展云计算服务安全评估和云等保测评工作中,对云服务商进行云安全配置管理能力的核验,以检查评估手段督促云服务商和云租户重视安全配置管理工作。(四)加强云平台运维人员技能培训,强化供应商及人员筛选和监督机制为保持云平台的持续安全运营和运维能力,人员是最为关键的要素,只有掌握实际技能的人员才能确保在项目建设、交付和运营期间持续更新和提升安全能力。首先,应加强云平台运维人员的技能培训,确保他们能够熟练掌握最新的安全配置管理标准和工具技术。通过定期的培训课程、研讨会和实操演练,提升运维人员的安全意识和技术水平,使其能够及时应对和解决各种安全问题。其次,需完善供应商筛选和监督机制。选择具备良好安全背景和高水平技术支持能力的供应商,并对供应商人员的日常操作进行考核和监督,以确保其在实际操作中有效执行安全配置管理标准。(五)行业组织推进社区合作,促进安全配置管理理念发展、经验及情报分享鼓励国内安全从业人员和专家建立安全配置管理社区,通过线上线下的交流活动,分享经验和最佳实践,推动安全配置管理技术的进步和应用。同时,通过对安全配置的最新案例、事件等情报进行复盘分析等深入交流讨论,加强云平台管理人员的安全责任意识,提升云平台运维人员的安全配置和安全事件处置水平,形成行业共同关注、乐于分享、互助提升的良好氛围。随着云计算技术的不断发展和应用范围的不断扩大,配置管理将面临更多新的需求和挑战。云计算环境的配置管理不仅涉及技术实施,更是一项涉及策略制定、流程优化和团队协作的综合工程。要构建安全可靠的云计算服务,必须从多个方面入手,包括遵循国家标准和行业最佳实践、采用自动化工具和统一管理平台、实施配置审计和配置变更管理。每一步都是保障云计算环境安全性和可靠性的关键。目前,人工智能技术得到了快速发展,通过人工智能辅助开展网络安全工作也成为重要的关注方向,其中配置管理也是一个重要的结合点。总之,配置管理是动态的能力,也是衡量云服务商水平的一块“试金石”,需引起云服务商高度重视,才能切实有效地保障云计算基础设施的算力安全,为数字经济的蓬勃发展和数据要素的发挥奠定安全基础。
(本文刊登于《中国信息安全》杂志2024年第9期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664233735&idx=1&sn=697774fc3b79798b1415db67ac6d6b26&chksm=8b59f9febc2e70e8623da896fbabe940a4a7d35fd8059527fc2effac5cdccf923b7148096907&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh