云計算服務持續監管研究

陳興蜀，葛龍，羅永剛，李想

（四川大學網絡空間安全研究院，四川 成都 610065）

云計算服務持續監管研究

陳興蜀，葛龍，羅永剛，李想

（四川大學網絡空間安全研究院，四川 成都 610065）

云計算環境的復雜性和動態性，難以及時掌握云計算服務安全運行狀態、評估云計算服務風險。為確保云計算服務的安全能力持續符合國家相關標準要求，對云計算服務持續監管相關內容進行了研究，定義了云服務商、客戶和持續監管方角色，明確各角色的監管責任、評估指標體系以及接口規范，確保政府部門、重點行業客戶穩定且安全地使用云計算服務。

云計算；持續監管；云計算安全

1 引言

云計算是一種計算資源的新型利用模式，客戶以購買服務的方式，通過網絡獲得計算、存儲、軟件等不同類型的資源［1］。云計算服務以其快速伸縮、泛在接入、自助按需、資源池化、服務可計量的創新服務特性很快成為業內關注的焦點，各地政府部門、重點行業紛紛進行規劃部署。積極推進云計算服務在政府部門的應用，獲取和采用以社會化方式提供的云計算服務，有利于減少各部門、各地方分散重復建設，有利于降低信息化成本、提高資源利用率［2］。

云計算的應用也帶來了一些安全問題，因此產生了對云計算安全的需求。2014年5月22日，中國政府宣布實施網絡安全審查制度。政府部門云計算服務安全審查制度作為網絡安全審查制度的組成部分，目前正在加快推進。GB/T 31167-2014《信息安全技術 云計算服務安全指南》（以下簡稱《指南》）和GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》（以下簡稱《要求》）兩項國家標準作為支撐云計算服務安全審查工作的技術標準，已于2014年9月3日發布。

《指南》和《要求》兩項標準對政府部門采用云計算服務提出了安全的技術和管理要求，促進了云計算在政府部門的安全應用。但由于云計算服務是在線、動態地為客戶提供服務，其安全能力隨云計算環境的技術、管理、外部因素等的變化而改變。如何讓客戶安全地使用云計算服務，則需要研究對云計算服務的持續監管技術和管理方法。

2 研究現狀

雖然云計算安全方面的標準研究已受到了廣泛重視，但目前國際和國內都還缺少云計算服務持續監管方面相應的技術和規范標準。云安全聯盟（CSA，Cloud Security Alliance）雖然提出了相關的初步框架，但后續沒有具體可操作性的標準或規范推出。我國在云計算服務持續監管上的研究仍是空白，目前主要存在以下問題。

1） 缺乏在運行監管中各角色的監管責任和管理邊界的界定。可能因運行監管的責任不履行或過度監管導致持續監管不能有效進行，造成安全問題處理延誤及各角色相互推諉責任等問題。

2） 缺乏有效、科學的監管數據接口定義。監管分析所需的數據、接口沒有統一規范的定義，會導致監管方難以從云計算環境獲得所需的監管數據。另一方面，云服務提供商配合提供監管數據需要修改云計算平臺，過度監管將導致監管成本過高。

3） 缺乏持續監管的評價指標體系。如何通過監管接口（以下簡稱監管 API）獲得監管數據，對云計算服務的安全能力進行有效評價，形成客觀的評價結果，也是持續監管的關鍵難點。

本文主要討論云計算服務持續監管框架、各角色的關系及監管責任、安全責任，持續監管的評估指標體系以及接口規范。主要目的是希望通過制定云計算服務持續監管框架及技術規范標準，讓主管云計算服務安全審查的部門及時掌握政府部門、重點行業采用云計算服務的情況，有效評估云服務商所提供服務的安全能力和安全風險，明確云計算服務環境中各角色安全責任和監管責任，從而保障客戶的業務及數據安全。

3 云計算服務持續監管框架

本文提出的云計算服務持續監管框架如圖1所示，包含3個角色：云服務商（以下簡稱CSP）、云服務客戶（主要指政府部門和重點行業的客戶，以下簡稱客戶）、持續監管方（CMO，continuous monitoring organization）。

圖1 云計算服務持續監管框架

3.1 各角色的監管責任

客戶：租用CSP提供的云計算服務，向持續監管方提供部署在云計算服務平臺上的業務、數據和安全相關備案信息，通過對CSP的持續監管掌握云計算服務質量和安全狀態，并通過對自身的安全監管，保障云計算服務平臺上部署的業務和數據的安全。

CSP：為客戶提供云計算服務的持續監管接口，接受持續監管部門的監管，關心自身平臺的運行狀態與安全態勢，向客戶保證服務質量。

CMO：受CSP和客戶的信任，評估CSP的云計算服務質量和安全狀態，實時為黨政用戶、重點行業用戶提供云計算服務的持續監管，全面掌握客戶的云服務使用情況。

3.2 云計算服務持續監管實現方式

CMO應按照政府信息安全相關規章制度和標準對CSP和客戶進行持續監管，CSP、客戶應積極參與并配合CMO的持續監管活動。

3.2.1 對CSP的持續監管

CMO對CSP進行持續監管的主要目的是為了驗證CSP是否持續實施其承諾的云服務相關安全措施，是否持續履行《指南》中所要求的安全監管責任和義務，是否持續符合《要求》中的安全能力要求。

驗證方式主要通過自證和被證的方式實現，如圖2所示。

圖2 持續監管方對CSP的監管方式

CSP應在本地建立并維護一個監測平臺或組件用于監測云計算平臺，通過制定并實施監管策略、對自身平臺開展周期性的風險評估和監測、不斷收集并分析指標信息以及對內持續開展信息安全教育等方式保證自身云平臺的安全性。CSP以報告的形式向CMO提交其制定的監管策略內容及實施的成果、或風險評估和檢測方法及結果等相關材料，實現自證。其中，CSP提交的自證材料應根據CMO要求的格式和指標進行整理，并按和CMO協商的頻率提交。

CSP應提供監測接口給CMO，以便CMO可以通過監測接口獲取云平臺相關數據信息，以驗證CSP提供的自證材料的準確性，從而實現被證。

如果CMO對CSP的驗證結果與CSP提供的自證材料的誤差在可接受范圍內（CMO與 CSP協商），則證明CSP滿足CMO的監管要求，否則，應按照《要求》規定的要求及時整改，直到符合要求為止。

3.2.2 對客戶的持續監管

CMO對客戶進行持續監管的主要目的是為了驗證客戶是否持續符合《指南》中所要求的安全監管責任和義務。

驗證方式主要是通過客戶向 CMO備案的方式實現，如圖3所示。客戶應向CMO提交其使用云服務的基本情況（包括但不限于部門名稱、部門屬性、使用的云服務廠商、服務模式、部署模式、業務和數據類型等）、自身負責的云計算環境及客戶端實施的安全措施及成果等相關材料。客戶提交的材料應根據CMO要求的格式和內容進行整理，并按和CMO協商的頻率提交。CMO對客戶進行備案，以便國家有關部門了解當前已部署云服務的黨政機關的情況和安全狀態。

圖3 CMO對客戶的監管方式

客戶所使用的云計算環境及客戶端的安全應由客戶負責，客戶可根據《指南》中客戶的監管責任對CSP進行監管以保證自己使用的云平臺的安全性。因此，客戶對CSP的監管不在本文討論范圍內。

如果客戶云平臺出現重大變更或信息安全事件，應及時通知CMO，CMO更新備案信息。

4 持續監管各角色的安全責任

在持續監管框架中，云計算環境的安全性由CSP和客戶共同承擔。在某些情況下，CSP還要依靠其他組織提供計算資源和服務，其他組織也應承擔安全責任。因此，云計算安全措施的實施主體有多個，各類主體的安全責任因不同的云計算服務模式而異。

本文參考《指南》中的相關內容，劃分了客戶和CSP的安全責任范圍，如圖4所示。

圖4 服務模式與安全責任控制范圍

云計算根據服務模式可以分為軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）。不同服務模式下CSP和客戶對計算資源的控制范圍不同，控制范圍則決定了安全責任的邊界。如圖4所示，圖4中兩側的箭頭表示CSP和客戶的控制范圍，具體如下。

1） 在SaaS模式下，用戶承擔客戶端安全相關責任；CSP承擔服務端安全責任。

2） 在PaaS模式下，用戶承擔自己開發和部署的應用及其運行環境的安全責任，其他安全由CSP負責。

3） 在 IaaS模式下，用戶負責分配到的虛擬網絡安全，自己部署的操作系統、運行環境和應用的安全，對這些資源的操作、更新、配置的安全和可靠性負責。CSP負責虛擬化計算資源層及底層資源的安全。

考慮到云服務商可能還需要其他組織提供的服務，如SaaS或PaaS服務模式中，如果SaaS或PaaS服務基礎資源是由IaaS服務提供商提供的，在這種情況下，一些安全措施由其他組織提供。因此，云計算安全責任模型可歸納為如圖 5所示的模型。

5 云計算服務持續監管評估指標體系

評估指標體系是CMO監管CSP及客戶是否符合監管要求的重要依據，評估指標的制定直接影響持續監管的實現方式。CMO應依據《要求》中對CSP的安全能力的要求制定指標，并遵循由大到小、由粗到細的方式對指標進行分類。例如，可以根據云平臺的運行狀態將指標分為靜態指標（文檔類）和動態指標（接口類），然后將靜態指標具體分為信息安全策略文檔、安全培訓報告或記錄、安全評估報告等形式。同時可以將動態指標具體分為配置信息、負載信息、流量信息等，然后再根據每個項對指標進行細化。

圖5 持續監管角色安全責任模型

CMO應與CSP或客戶關于每一項指標的合理性以及實現技術或手段進行討論，最后與CSP或客戶對合理且可實現的指標達成一致意見，并制定成評估指標體系。指標體系應以CMO與CSP或客戶協商的頻率，定期更新。表1列舉了《要求》中對CSP的安全能力的所有類別，鑒于當前指標制定工作還在進行中，當前列出來的一些指標只是初步設想，具體的指標內容還有待討論與更進一步的研究，因此表2僅列舉了針對《要求》中的“系統與通信保護”項制定的指標，其他項的具體指標還在研究中。

表1 安全能力類別

表2 系統與通信保護指標

6 云計算服務持續監管API規范

監管API是CMO實現監管CSP的重要手段。CMO應遵循通用、簡單、易于實現、可交互等特點制定接口規范。CSP應根據CMO制定的接口規范提供相應功能的接口。接口規范的制定可以參考RESTful（representational state transfer）協議，CMO可以通過典型的“查詢—響應”的方式向CSP查詢云服務當前相關的安全屬性。例如當前服務的脆弱性等級或最新的脆弱性評估信息等。CMO也可以使用標準的基于 XMPP［11］（extensible messaging and presence protocol）的通知機制定義“觸發器”，在滿足特定條件時接收告警事件。

需要重點強調的是，CMO應采用統一標準來制定接口規范。監管API不能替代用于收集、存儲及分析事件的監控設備和相關技術。

通過幾個簡單的例子來說明持續監管API的作用。如圖6所示，CMO使用某個查詢接口向CSP查詢其承諾的服務可用性等級指標，此指標通常會被寫入到SLA中。查詢結果以CMO規定的形式返回給CMO。

圖6 查詢CSP承諾的服務可用性等級

如圖7所示，CMO向CSP查詢上個月實際達到的服務可用性等級。查詢結果被稱作“測量結果”，因為它表示的是服務等級測量的結果，此結果是由CSP上報的。

圖7 查詢上個月的服務可用性等級

如圖8所示，CMO要求CSP在某個特定情況被證實時發送告警，這被稱為“觸發器”。此外，CSP也會在本地記錄此次告警的細節，以便客戶或CMO后期咨詢。

圖8 高危事件上報并記錄

可以根據接口的功能或類型將其劃分為不同集合，并將集合作為功能組件來使用。例如，將接口按功能分為以下幾類，如圖9所示。

圖9 監管API接口分類

1） 服務視圖API：獲得特定云計算服務的服務視圖，如服務的名稱、服務ID等相關信息。

2） 組件視圖API：通過服務ID獲得該服務的相關組件信息。

3） 組件目標API：獲得組件的預期目標，如可用性。

4） 組件度量API：獲得組件的度量值，可以是定性或定量值。通過與組件目標值比較可以確定組件性能或安全是否滿足要求。

7 結束語

本文所描述的云計算服務持續監管內容是在研究國際、國內云計算服務持續監管相關標準、技術和管理成果之上，結合我國政府部門、重點行業使用云計算服務的安全要求，提出云計算服務中持續監管的角色和安全責任邊界，形成云計算服務持續監管框架，并研究、初步提出了云計算服務的評估指標體系與接口規范。

云計算服務持續監管框架及技術規范標準，是對我國云計算服務安全標準體系的完善，能有效支撐云計算服務安全審查的工作，保障涉及黨政、重點行業的云計算服務快速、穩健、持續地發展。

隨著云計算服務在黨政機關、企事業單位以及國家重點行業中的應用不斷發展，云計算服務持續監管技術將成為今后云計算領域中的研究熱點，如何實時監管云計算服務平臺將會成為今后的重點研究課題。

［1］ 中國國家標準化管理委員會. 信息安全技術 云計算服務安全指南: GB/T 31161-2014［S］. 北京: 中國標準出版社， 2014. Standardization Administration of China. Information security technology of cloud computing services security guidelines:GB/T 31161-2014［S］. Beijing: China Standards Press， 2014.

［2］ 中國國家標準化管理委員會. 信息安全技術 云計算服務安全能力要求: GB/T 31168-2014［S］. 北京:中國標準出版社， 2014. Standardization Administration of China. Cloud computing service security capacity requirements of information security technology:GB/T 31168-2014［S］. Beijing: China Standards Press， 2014.

［3］ FedRAMP Office. Continuous monitoring strategy & guide. Version2.0［S］. 2014.

［4］ NIST Special Publication 800-137. Information security continuous monitoring （ISCM） for federal information systems and organizations［S］. 2011.

［5］ NIST Special Publication 800-37. Guide for applying the risk management framework to federal information systems［S］. 2010.

［6］ CSA（Cloud Security Alliance）. Auditing the cloud controls matrix［S］.2014.

［7］ CSA. Defined categories of security as a service［S］. 2016.

［8］ NIST Special Publication 800-145. The NIST definition of cloud computing［S］. 2011.

［9］ CSA. CTP data model and API［S］. 2015.

陳興蜀（1968-），女，四川自貢人，博士，四川大學教授，主要研究方向為網絡空間安全。

葛龍（1976-），男，江蘇丹陽人，博士，四川大學講師，主要研究方向為云計算安全。

羅永剛（1980-），男，貴州甕安人，博士，四川大學講師，主要研究方向為云計算、大數據安全。

李想（1987-），男，河南鄭州人，四川大學博士生，主要研究方向為云計算安全。

Research on continuous monitoring of cloud computing service

CHEN Xing-shu， GE Long， LUO Yong-gang， LI Xiang

（Cybersecurity Research Institute， Sichuan University， Chengdu 610065， China）

The complexity and dynamism of cloud computing environment hardly lead to timely awareness of cloud computing service's operating state and assessment of cloud computing service risk. In order to ensure that the security of cloud service abidingly conforms to relevant national standard， continuous monitoring of cloud computing service was researched， and the role of cloud service provider was defined， customer， and continuous monitoring，described their supervising responsibility， and assessed index system and interface specification， thus guaranteeing stable and secure employment of cloud computing service by government department and key industries.

cloud computing， continuous monitoring， cloud computing security

TP393

A

10.11959/j.issn.2096-109x.2016.00105

2016-08-10；

2016-09-08。通信作者：陳興蜀，chenxs@scu.edu.cn