云计算服务安全能力要求
1 范围
本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。
本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务,也适用于对云计算服务进行安全审查。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
GB 50174-2008 电子信息系统机房设计规范
GB/T 9361-2011 计算机场地安全要求
3 术语和定义
GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。 3.1
云计算 cloud computing
云计算是一种通过网络便捷地访问海量计算资源(如网络、服务器、存储器、应用和服务)的模式,使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。 3.2
云服务商 cloud service provider
为个人、组织提供云计算服务的企事业单位。云服务商管理、运营支撑云计算服务的计算基础设施及软件,通过网络将云计算服务交付给客户。
3.3
客户 cloud consumer
使用云计算平台处理、存储数据和开展业务的组织。
3.4
第三方评估机构 third party assessment organization
独立于云服务商和客户的专业评估机构。
3.5
云基础设施 cloud infrastructure
云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。
3.6
云计算平台 cloud platform
由云服务商提供的,包括向客户提供服务的云基础设施及其上的服务层软件,即指提供云计算服务的软硬件集合。
1
3.7
云计算环境 cloud environment
包括由云服务商提供的云基础设施,及客户在云基础设施之上部署的软件及相关组件的集合。 4 概述
4.1 云计算的安全责任
云计算服务的安全性由云服务商和客户共同保障。在某些情况下,云服务商还要依靠其他组织提供计算资源和服务,其他组织也应承担信息安全责任。因此,云计算安全措施的实施主体有多个,各类主体的安全责任因不同的云计算服务模式而异。 SaaS
云客户
PaaS
IaaSSaaS
服控制范围PaaS务
层控制范围IaaS
资源抽象和控制层SaaS
物理资源层PaaS
计算机、网络和存储等硬件
IaaS
云提供商
图4-1 云计算服务模式与控制范围的关系
软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是3种基本的云计算服务模式。如图4-1所示,在不同的服务模式中,云服务商和客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。云计算的物理资源层、资源抽象和控制层都处于云服务商的完全控制下,所有安全责任由云服务商承担。服务层的安全责任责则由双方共同承担,越靠近底层(即IaaS)的云计算服务,客户的管理和安全责任越大;反之,云服务商的管理和安全责任越大。
——在SaaS中,云服务商需要承担物理资源层、资源抽象和控制层、操作系统、应用程序等的相关责任。客户则需要承担自身数据安全、客户端安全等的相关责任;
——在PaaS中,云服务商需要承担物理资源层、资源抽象和控制层、操作系统、开发平台等的相关责任。客户则需要承担应用部署及管理,以及SaaS中客户应承担的相关责任;
——IaaS中,云服务商需要承担物理资源层、资源抽象和控制层等的相关责任,客户则需要承担操作系统部署及管理,以及PaaS、SaaS中客户应承担的相关责任。
考虑到云服务商可能还需要其他组织提供的服务,如SaaS或PaaS服务提供商可能依赖于IaaS服务提供商的基础资源服务。在这种情况下,一些安全措施由其他组织提供。
因此,云计算安全措施的实施责任有4类,如表4-1所示。
表4-1 云计算安全措施的实施责任
责任示例
云服务商承担在SaaS模式中,云服务商对平台上安装的软件进行安全升级。
客户承担在IaaS模式中,客户对其安装的应用中的用户行为进行审计。
云服务商和客户共云服务商的应急演练计划需要与客户的信息安全应急演练计划相协调。在实施应急演练时,需要同承担客户与云服务商相互配合。
2
其他组织承担有的SaaS服务提供商需要IaaS服务提供商的基础设施服务,相应的物理与环境保护措施应由IasS
服务提供商予以实施。
本标准不对客户承担的安全责任提出要求。客户应参照《云计算服务安全指南》及其他国家、行业有关信息安全的标准规范落实其安全责任。
如云服务商依赖于其他组织提供的服务或产品,则其所承担的信息安全责任直接或间接地转移至其他组织,云服务商应以合同或其他方式对相应安全责任进行规定并予以落实。但是,云服务商仍是客户监管的直接对象。
4.2 云计算安全措施的作用范围
在同一个云计算平台上,可能有多个应用系统,某些信息安全措施应作用于整个云计算平台,平台上每个具体的应用系统直接继承该安全措施即可。例如,云服务商的人员安全措施即适用于云计算平台上每一个应用系统。这类安全措施称为通用安全措施。
某些安全措施则仅是针对特定的应用,例如云计算平台上电子邮件系统的访问控制措施与字处理系统的访问控制措施可能不同。这类安全措施称为专用安全措施。
在特殊情况下,某些安全措施的一部分属于通用安全措施,另一部分则属于专用安全措施,例如云计算平台上电子邮件系统的应急响应计划既要利用云服务商的整体应急响应资源(如应急支援队伍),也要针对电子邮件系统的备份与恢复作出专门考虑,这类安全措施称为混合安全措施。
云服务商申请为客户提供云计算服务时,所申请的每一类云计算应用均应实现本标准规定的安全要求,并以通用安全措施、专用安全措施或混合安全措施的形式,标明所采取的每项安全措施的作用范围。 4.3 安全要求的分类本标准对云服务商提出了基本安全能力要求,反映了云服务商在保障云计算平台上客户信息和业务信息安全时应具有的基本能力。这些安全要求分为10类,每一类安全要求包含若干项具体要求。
10类安全要求分别是:
