選云服務平臺也需“按圖索驥”

如今，越來越多的企業愿意將自己的業務部署并擴展到云端。然而對于企業的信息安全人員來說，不可輕易跟風行事，而應當發揮自己的專業優勢，協助選擇最適合于本企業系統的云平臺商及其服務。

數月前，我們為即將新上線的項目管理與協助系統，展開了一次云服務提供商的“海選”。下面筆者簡單將當時所關注與考核的云平臺基本特質與重點要求分享給大家，希望能給各位的工作實踐提供參考與借鑒。

租戶數據的保護與存放

1.對租戶所使用的云空間應實施邏輯上或物理上的隔離。

2.根據租戶的協議需求和當地的法律法規要求，將租戶所分配的磁盤空間、應用程序及其數據物理上放置在指定的行政轄區內。

3.應使用企業級的加密標準（如 AES256），對在云服務平臺上存放的租戶靜態數據默認進行加密。

4.應使用傳輸層加密標準（如 TLS v1.3），對在云服務平臺中流轉的租戶動態數據執行加密保護。

5.應對租戶駐留在云服務平臺中的數據執行默認數據保留策略，為租戶提供數據級別的高可用性（HA）。根據租戶協議的實際需求，可按需延長。

租戶賬號的訪問與管理

1.確保能為租戶創建全平臺唯一的管理員賬號（ID），租戶籍此登錄云服務平臺，生成并管理自己的空間與各類應用。

2.根據最小權限原則，一旦租戶協議到期或失效，能及時禁用其管理員ID，并重置其登錄密碼。

遠程登錄與運維管理

1.在 通 過 密 鑰（如Regular-rotated SSH）或多因素身份認證（MFA，如一次性密碼、手機短信驗證碼、智能卡）的基礎上，僅允許使用加密的連接方式，遠程訪問或操作云服務平臺上的虛擬主機或存儲空間。

2.禁止遠程連接的主機將云服務平臺上的數據轉移到其本地介質上，或轉發到缺乏監管的在線資源（如網站/網盤）處。

平臺管理員的權限管控

1.為避免權限累積，在平臺管理員出現崗位變動的同時，及時調整或終止其原有的管理權限。

2.定期（如每年）或按需（如發生重大事故或變更后）評審平臺管理員的身份有效性和對應的權限。

3.平臺管理員的任何操作動作都配有相應的日志記錄。特權監控示例如下：

（1）賬戶的新建與修改。

（2）系統時間的變更。

（3）應用接口的配置。

（4）路由表的添加與修改。

（5）系統的重啟與關閉。

（6）防火墻及SDN的配置變化。

（7）系統或數據庫的恢復操作。

（8）腳本與計劃任務的設置與運行。

（9）對特定日志和審計文件的訪問。

租戶狀態與事件日志

1.根據租戶的協議需求，將租戶系統、應用和數據庫的狀態信息，連同平臺本身基礎設施所產生的各類事件，集中收集并存儲到專有的日志系統處。運用安全措施防止日志數據被刪除或篡改。

2.日志數據的默認存儲期限默認為半年。根據租戶協議的實際需求，可按需延長。

3.云服務平臺可收集到的租戶狀態示例如下：

（1）定期（如每5分鐘）收集租戶系統CPU持續使用率超過60%的流水信息。

（2）定期（如每10分鐘）收集租戶系統內存持續使用率超過70%的流水信息。

（3）定期（如每5分鐘）收集租戶系統入向數據量超過一定額度（如200MB）的流水信息。

（4）定期（如每5分鐘）收集租戶系統出向數據量超過一定額度（如200MB）的流水信息。

平臺加固與安全態勢管理

1.針對由云服務平臺所生產的服務器、應用、數據庫和存儲空間等各個涉密過程與環節，采取SOC-2級的強密碼策略。

2.根 據“Deny-all”的策略，默認關閉服務器、應用、和數據庫鏡像的所有服務和端口（知名服務與端口除外）。根據租戶協議的實際需求，逐一開啟并予以備案。

3.根據OWASP Top 10（如A5-安全配置的缺失），持續定制、維護并更新待交付的鏡像基線。

4.定期對云服務平臺本身的基礎設施，特別是Hypervisor層采取漏洞掃描、滲透測試、并實施安全加固等深度防御策略，以防御來自縱向外部的威脅、和橫向租戶之間的攻擊。

5.經由模擬生產環境測試之后，方可將系統與應用的升級補丁、以及加固的策略部署、并實施到平臺和租戶的真實生產環境之中。

狀態監控與抗攻擊性

1.應具有對抗APT的能力，對由網絡邊界所產生的、且夾雜在正常流量中的數據予以識別。

2.通過提供ADS服務，對可能產生的DDoS予以流量清洗和CC攻擊的防御。

3.具有全網視圖的分析工具，根據預先定義的條件和閾值，實時針對諸如內部租戶的使用占比、違規情況、以及對外部惡意入侵等行為提供監控與分析。

風險與威脅管理

根據 SOC-2 Type II，制定風險評估與管理的流程。要點示例如下：

（1）評估實施方：自行+第三方。

（2）評估頻率：定期（如每年）+按需（如發生重大事故或變更后）。

（3）評估方式：自動化掃描+手動專項測試。

（4）威脅源獲取方式：軟硬件廠商公告+威脅情報服務（如CVE+CNVD）。

業務連續與災難恢復

以DRaaS的交付方式、保障租戶協議中所承諾的MTTF，并提供接近零恢復點目標（RPO）的業務連續性/災難恢復（BC/DR）服務。

根據租戶協議的實際需求，提供可視化的恢復過程監控，和BC/DR的定期演練結果報告。

事件受理與事故響應

1.云服務平臺方和各租戶雙方，在實施任何配置變更與測試之前，都應提前相互通知與備案。

2.云服務平臺方根據ITIL的服務標準與分類，向各租戶提供統一的需求受理與響應平臺。

3.根據租戶協議的實際需求，云服務平臺可提供相關API、數據格式、標準化工具和支持文檔，以協助租戶管理和調用平臺資源、實現服務的部署與編排、數據的導出與導入、以及系統遷移等操作。

4.具有完備的事件處理流程，包括：識別→分類→調查→取證→抑制→根除→恢復→整改，并通過更新與演練保持的可行性。

資質與等保

1.應通過并實施ISO/IEC 27018標準，對租戶數據的隱私提供保護。

2.根據網絡安全法要求，在避免泄漏的前提下，具有完備的數據脫敏與銷毀的流程與規范。

3.應向云平臺管理人員例行傳授安全意識與操作技能培訓。

4.定期審查各種賬戶權限、數據操作、介質處置和事故處理的相關報告。

5.嚴格遵守網絡安全等保要求，保障站點的物理安全。

結語

根據上述所列的云服務平臺遴選要求，我們謹慎客觀地選出了適合與本企業實際業務需求的平臺服務提供方。

如今，我們的在線項目管理與協助系統已經完成了部署并運行了一段時間，我們與云平臺方也保持著良好的互動與合作。可見，雖然云服務能給我們帶來更多的靈活與便利，并降低了擴容與試錯的成本，但是正所謂“磨刀不誤砍柴工”，任何云項目的成功都將受益于前期基礎平臺的嚴選。