陈兴蜀(四川大学网络空间安全学院常务副院长、教授):
主题:云计算服务持续监管探讨
各位专家上午好,很高兴跟大家一起对云计算服务安全方面分享一下前期的考虑。刚才高老师跟大家介绍了我们国家发布的《网络安全法》,而且对于法中对于标准化的实施给我们做了一个很好的解读,对我们也是很大的信心和鼓舞。跟大家分享的内容有几个方面:
第一,云计算服务持续监管的需求是什么。刚才刘主任给我们发布了已经发布的云计算服务的国家标准,这两个标准也在进行比较有效的实施和推进当中。对于云计算服务安全审查的需求,中央网信办在2014年发布的关于加强党政部门云计算服务网络安全管理的意见,在这个意见里面,一方面提到了中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门服务云计算的服务商参照有关网络安全国家标准,组织第三方机构进行网络安全审查。
我们已经发布的两个云计算标准都是重要的指导。在这个意见中已经提到,云计算服务安全审查重点审查的是云计算服务的安全性和可控性。云计算是一个持续的服务,当我们的客户把业务部署在云计算平台上以后,它的底层的管理工作都依托云服务商来做,在这种情况下,如何让云计算服务可控,这就是我们面临的问题了。
作为党政部门来讲,在这个指导意见中也提出了一系列的要求。我们已经发布的两个要求,《云计算服务安全指南》,《云计算服务能力要求》。这两个,一个是针对政府部门采用云计算服务,还有一个是我们作为云计算服务安全审查的工作,现在重点会参考这两项标准,《云计算服务安全指南》是从客户的视角,作为党政部门的客户,我在使用云计算的时候,我应该注意什么,在这个指南中,从客户的视角告诉他在采用云计算服务的全生命周期你应该注意哪些重点环节,在这里面要注意一些什么事情。在这里包括了我们如何选择服务商,如何和服务商签订合同等等工作都在这个指南中做了全生命周期的指导。
另外一个《云计算服务能力要求》是从云服务商的角度,云服务商要向政府部门提供云计算的服务,我要重点注意哪些方面的能力要求,这个能力要求从十个大的方面提出了500多项能力要求的指标。作为云服务商,也把这个作为它的重点参考内容。今年通过审查制度的试点,在今年9月份中央网信办在他的网站上面已经正式发布了首批通过云计算服务安全审查的三家云服务商的名单。在这里面,我们看到配套的党政部门云计算服务安全管理体系已经基本齐全,包括管理制度、审查流程、审查过程中第三方评估机构应该如何去评价云服务商,以及专家最后通过哪些重点关注的能力去对云服务商进行评判,这些工作逐渐形成了体系化的内容。应该说成果还是比较明显的。而我们正式发布首批的名单也是云计算服务安全管理的重要里程碑了。
刚才已经提到了云计算服务是一个持续的过程,我们的云服务商在不断的为我们的用户提供服务,而在这个过程里面,他需要对他的平台进行相应的安全和管理方面的规则的实施,包括一些软硬件的升级,还有如何保障它的云计算服务平台里面的安全能力等等。这就需要我们的党政部门在审查的时候,首批通过了,并不是说这个事就完成了,而是说更多后续的审查更加重视持续的监督和管理。这也是我们审查的重点。
而作为云计算服务审查来讲,引入持续监管机制也是要对云服务商的安全风险进行持续的跟踪。通过安全审查,并不意味着高枕无忧,需要相关部门对我们的云服务商的安全能力进行持续的监管,一旦发现云服务商有重大的违规行为,或者提供的云服务商存在重大的安全风险的时候,就会对云服务商进行相应的严厉的惩罚。这也是审查的一个特点。所以为了形成审查、持续监管和惩戒的完整机制,审查最终要对云服务商起到震慑的作用。这里很重要的就是持续监管了,我如何在通过审查的云服务商,对它进行持续的监管,掌握现在的安全状态。
这是我们起草的一个持续监管的框架,对于持续监管来讲,我们涉及到的主要角色是三个方面:云服务商是我们的监管对象;客户使用云计算服务的;持续监管方。
我们的客户最终要对部署在云平台上的数据和安全服务负最终责任,他要保障云计算平台上的业务和数据安全,他如何去保障?他租用的CSP提供云计算服务,这个时候他就要像持续监管方提供部署在云平台上的业务和数据,以及相关的安全措施的备案信息。作为客户来讲,他并不是说我租用服务以后,他的事情就跟他没有关系了,在这里面你要评估,你把什么样的数据和业务放在云平台上了,这些内容你要向相关的监管机构进行备案。
另外,他也需要去负责部署在云计算平台上面相关的业务系统的安全。如果他是租用的IaaS,在这方面的部分也是他需要自己负责的,相关的管理措施也需要他自己备案。除了客户自己要做的事情,他也需要由云服务商给他提供的监管接口,他要掌握云服务商为他提供服务的运营情况,他有一个对云服务商的实际监管问题。
还有就是对自身的安全监管。这些工作作为客户来讲,并不是我租用云,所有的事情都交给云服务商了,你自己该负责的事情还要负责。所以我们在持续监管里面提到了一个客户向持续监管方的备案机制。
作为云服务商来讲,他在监管里面是重要角色,首先他要提供监管的接口,接受持续监管方的监管。要向持续监管方提供自证明材料,还要提供相应的API接口,通过API传送监管数据。
另一方面,他也要提供监管接口给客户进行监管,他对客户的持续监管接口和监管方的是不一样的,这里面也存在监管接口问题。
作为持续监管方,他是受CSP和客户信任的,他要做的事情就是要评价云服务商的云计算服务质量和安全的状态。另一方面,他要实时为党政部门用户包括重点行业用户提供云计算的重点行业的监管这样一个评判的能力。
另外,他也通过持续监管来全面掌握客户的云服务使用情况。我们希望能够通过这样一个监管架构使得政府部门能够全面去了解现在我们全国的各个党政部门到底有多少的客户把自己的业务和数据放到了云上,他们之间的整个态势情况是什么样的。这也是我们现在提到的持续监管方要做的事情。
有了这样一个监管框架以后,我们在这里面提到的对CSP的监管方式主要是通过两方面,一个是CSP的自证的方式。因为我们在云计算服务安全指南和云计算服务安全能力要求当中,已经对持续监管提出了相应的要求了,这里面更多的就是要求CSP定期要提供一些自证明的材料,但是这些内容相对来说还是比较静态的。
所以在这里面,除了自证明材料以外,也提到了监管接口,他也要通过监管接口提供相关的监管数据,使得监管方对云计算平台有一个全面的掌握。作为CSP来讲,他要实现这个监管,可以有不同的方式,他可以通过在本地建立一个监测平台或者是组件,这个是由CSP自己做的,他做的目的就是通过监管接口实现对数据的提交,也就是对云计算服务的实际监管要通过这个接口完成。要向持续监管方提供的内容包括两类,一个是自证明材料,一个是通过监管接口不断持续提高监管数据。
还有一个部分是向客户提供,他也会提供一个监管接口,让每一个客户知道他所租用的云计算服务的安全状态和运营情况。客户的备案制度也是在这个架构里面,由客户向持续监管方提供他使用云计算服务的基本情况。这里面包括这个部门的名称、属性、使用的云计算服务提供商是哪一个,他的服务模式、部署模式,包括业务和数据类型等等,作为客户负责的云计算环境,他也需要向相关的监管部门告诉他,他的安全措施的落实情况。
因为在实际的运行过程中我们发现,很多的业务部门一旦把业务部署到了云平台上以后,后续的很多管理工作自己没有去落实。这样的话,很可能导致我的云计算平台是安全了,但是在云计算平台上部署的业务系统,包括帐号管理、他自己该做的控制措施做的不到位,他的风险仍然很大,这也是要求客户要落实的。最终的目的就是让主管部门掌握已经部署在云计算服务平台上的党政部门的业务和数据的运行情况。
我们把角色和责任各自区分以后,后面就是如何定义持续监管的标准规范了。我们对于接口规范定义的思路是这样的:我们现在的标准已经有不少单位在参与了,包括了CSP,也包括第三方测评机构,还包括一直在为政府部门提供安全服务和云服务商直接打交道的部门。
在这个过程中非常有意思的一件事就是,政府部门请第三方机构,他可能是一些提供安全服务的,他觉得他自己使用云计算服务的时候,他自己没有能力评估云计算服务的安全能力,这些系统部署的怎么样,他也没有能力掌握。在这种情况下他往往会请第三方做安全服务的公司来做。做的过程中政府部门不太清楚自己到底要对云计算平台掌握到什么程度,现在出现了两种不同的政府部门的用户,有一些是对云平台管的特别死,他甚至想知道我的云计算平台上面每一个物理机上面的资源使用情况,每一个虚机在上面部署以后的运营情况,要求在云计算物理平台上部署他的程序,要求大量采集资源,再由他委托的机构把这些信息得到以后,对云平台进行评估,最后得出来的数据,你会发现这样一个单位平台的评估结果和云服务商自己的评估结果是不太一样的。
最后就会出现矛盾了。这就是一个角度问题,这就是为什么我们需要持续监管的规范。作为客户来讲,他和云服务商的边界到底是什么,我们也希望通过这样一个规范,把边界定义清楚,避免出现用户的手伸的太长,去管云平台的运维和资源的调度,导致平台一旦出现问题,我们的责任很难撇清楚。
现在参与单位各种角色的都有,大家在一起讨论的时候也挺有意思的,到底边界应该定义到什么位置,所以我们现在各个参与单位也都提供了关于接口方面的资料,他们在实际运行中出现的问题和他们现在实施的方案。现在一些典型的案例都已经汇集到我们这儿了。
另外一个部分是针对CSA云安全联盟提出的《CTP数据模型和API》技术文档。云安全联盟好几年前已经提出了CTP数据模型按了,他的目的也是为了由第三方审计机构对云计算服务平台进行审计,他也是想解决云计算服务平台的透明性和信任性的问题。我们的客户把业务和数据部署上去了,到底情况怎么样,他希望能够通过第三方审计的角色对他进行评判。还有云计算服务利益的相关方,我们组织了很多标准讨论和专家研讨,来自于各方的资料是我们现在的重要参考。还有,其他的云计算服务监管相关的资料,包括CADF提出来的框架,这些东西都是我们现在定义接口规范的重要参考。
下面我介绍一下CTP协议,CTP协议是云可信协议的简称,它的目的是为云客户请求并使用他所使用的云计算服务的相关安全信息而设计的一种机制。作为客户来讲,我使用你这个云计算平台,我想了解你这个平台的安全性,这个时候他通过云可信协议获得云服务商给他反馈的相关信息,从而实现对云服务的透明度和可信度的评价。
他要解决的问题是云计算服务平台监管方面存在的缺口。他的目的当时提出来是从客户和云服务商之间的透明度和可信度。这个协议为客户监控云计算平台提供了一些方法,但是还是存在一些缺陷和不足。首先就是监测方法缺少一些互操作性。
另外,这些方法通常关注性能指标,对安全方面关注比较少。另外,云服务商测量方法在参数和范围方面的描述不够准确。由于这个标准最后没有太好的落地,虽然也推出来了有几年,也有一些开源的研究工作在做。但是最近这一段时间,这几年这个工作还是停滞不前的状态。每个云服务商针对一些相似的属性,由于他的定义不同,他的度量方法也不同,就会导致虽然有这样一个协议,但是真正把这些方法汇集到一起的时候,大家觉得它的共识度不高。在可信云协议当中,它的关键特点就是,这个协议适合于IaaS SaaS PaaS不同接口,这种瞄准是规范设计,而不是实现,对于具体怎么做并没有做设定。访问CTP测量权限是由CSP来控制的。CSP可以通过访问列表确定客户到底能不能获得他的属性。这个测量值可以是特定的租户和组件之间,也可以是服务类型的相互之间的信息交互,这个协议也有它的优势和特点, CTP的接口和服务,这个在网上能够找到。
持续监管接口规范的参与机构,我们现在各个参与单位的工作都在进行中。标准参与单位包括云服务安全监管单位、云服务监管运营单位、云服务主管部门、云服务测试单位和云服务商等等。通过这个标准他都能够获得他需要的数据。
不同的角色对云计算服务持续监管的需求不同,租户的角色和第三方监管机构,从国家层面的监管机构,甚至我们在交流过程中发现,从客户的角度来讲,他有时候也会去从不同的角度对云计算平台提出他的监管要求。
现在有不少参与单位在标准制订制订过程中已经积累了很长时间,也有一些大量的成功经验,已经毕竟我们云计算服务的标准示范是从2014年开始,到现在,这个过程里面已经有了不少政府、云服务商、第三方做安全服务的公司在做。所以已经有了很好的实际的经验和案例,我们已经拿到不少单位给我们的文档,我们希望从已有的实际和国际上的可参考的成果里面来形成我们的规范。非常感谢这些参与单位给我们提供的这些宝贵的资料,但是我们还是希望有更多的单位来参与,特别是大型的云服务的提供商,虽然这个标准大家都很积极,我们看到腾讯、阿里、华为都参与在这里面的制订,但是我们希望把这些接口,包括后面马上要提到的指标体系尽量的落地,使得这个标准具有很强的可操作性。
刚才提到的是规范的接口,接下来的事情就是这个接口上面落地的往下走的指标体系了,这个指标体系的编制我们现在有一个思路。
首先,针对已经颁布的《云计算服务安全指南》和《云计算安全能力要求》这两个国家标准做一个深入的解读。在这个过程中形成我们对应的指标体系,比如说能力要求我们提出了五百多项,这些能力要求到底哪些是需要做持续监管的,持续监管和能力之间到底是什么样的对应关系。我们在进行分析过程中没有一一对应。有可能一项能力我需要若干项指标才能支持对他的评价,在这里面如何把这个理顺,这个工作量非常大。在这个过程中我们会做一个指标的草案,准备在年底前把这个拿出来,逐渐进行研讨,也来征求大家的意见,我们的标准编制组的成员单位一起共同完善这个规范和指标。
标准的梳理过程我们是这么做的:两项已经发布的标准中,把需要持续监管的指标进行大类分割,到底有哪些大类需要做,也和标准制订参与单位,涉及到监管的一些企业,云服务的主管部门、第三方的测试部门和云服务商一起来进行讨论,来确定一个初步的,现在指标的编制方法基本上已经定下来了,剩下的事情就是把我们的指标进行细化。而这个细化过程我相信会是一个比较困难,也比较漫长的事情了,我们也希望能够把这个节奏尽可能的往前推进。当前的一些工作,我们现在各个参与的单位已经提供了很多的资料,我们从中要提取相应的可以用于持续监管的指标,也分析了不同的云计算服务平台,我们也参考了很多已有的比较成熟的云计算平台,他们提出一些监管的指标,把这里面的一些指标作为共性的东西提炼出来。31168能力要求里面的各项能力要求。参考国际已经有的持续监管的成果。来形成持续监管的指标项。
关于信息系统的监测,它的分类非常多,我们针对虚拟机和平台发现了一些指标,这些平台和指标也有很多需要进行调整。
下面我们提供了一些监管的思路,我们希望在后续的工作过程中,业界同行大家一起来出谋划策。
难点:
第一,现在国际上可借鉴的标准和成果案例非常缺乏,如果大家齐心协力的把这件事情推进,下一步我们也希望能够为国际标准化组织做出我们的贡献。
第二,涉及到多角色,既涉及到技术问题,也涉及到管理问题,到底我们要监管的内容是什么,我们的标准要进行落地实施,也涉及到相关的管理机制的建立和完善。所以我相信,这看似只是一个标准,但是和标准配套的管理制度、相应的机制、后面我到底要怎样持续监管,从国家层面来讲,我们希望达到一个什么样的目标,这都是后续要配套做的事情。这个工作的难度不亚于我们当初做云计算服务的两项国家标准,那两项国家标准,我们投入了差不多一年多的时间干这个事情,但是后来发现这个标准的难度,虽然我们审查的工作已经启动了,已经有了一些里程碑的结果,但是后面如何让已经通过审查的云计算服务还能够继续为党政机关服务,这还是我们面临的新的课题。
编制思路,指标体系和编制规范的编制思路,还有一个编制方法的问题,我们指标如何分类,还有接口,由于有不同的持续监管的对象,你的接口是不太一样的,这是接口分类,编写格式倒是相对后期的事情,前面的工作定下来,后面就是格式如何采用什么样的风格去编写。我希望业界的同行们大家一起共同努力,把这件事情继续往下推进。因为云计算服务下一步一定是常态性的发展,在这种情况下,我们会有越来越多的党政部门的用户和重点行业都会采用云计算服务,在这种情况下,我们如何保证它的安全,这是我们行业会共同面临的话题。
今天就给大家介绍到这里。谢谢大家!