網路安全老兵座談：雲安全審計（評估）應該怎麼做？

當前，雲租戶無法知道處在公有云上的資訊資產是否真的安全，缺乏獨立的第三方安全審計，在出現權責糾紛時，雲服務提供商“既是運動員又 是裁判員”，租戶處於絕對弱勢。另一方面，由於雲服務提供商得不到權威的審計和認證，導致合規性要求高的業務系統無法選擇公有云模式，成為了公有云發展的阻礙。

當前的雲安全審計，審計主體和審計標準還不夠權威，也缺乏權威的審計標準，審計的主體和審計的範圍也不夠全面、完整。筆者認為未來成熟的審計模型必定是具有第三方機構參與的涵蓋“行為”、“狀態”兩個維度的安全審計模型，最終實現全面性、權威性、實時性和審計報告披露的科學性。

先看看雲服務的網路安全風險排名：

  再看看雲使用者的關注點：

針對上述內容，相關的組織與部門其實都考慮到了。國際上NIST或ISO都有相關的標準規範，最有名的是雲安全聯盟CSA，CSA釋出過《雲端計算關鍵領域安全指南》、《雲端計算控制矩陣（CCM）》（這些都有中文版，如有需要可通過關注“賽博朔方”公眾號後留下郵箱和索取資料名稱的方式獲取）並推出了一個CSA-STAR認證體系。國內呢，已釋出了《雲端計算服務安全能力要求》（GBT31168-2014，面向雲服務商）、《雲端計算服務安全指南》（GBT31167-2014，面向政府部門），新的網路安全等級保護標準徵求意見稿裡也擴充套件了雲端計算部分（有基本要求、設計要求、測評要求三冊），國內也有基於CSA-STAR的C-STAR認證體系、工信部的“可信雲服務認證”等。

那麼如何進行雲安全評估呢？以下是一個以評估雲服務商為主及評估雲平臺相關為輔的案例，供參考。

1.  確定評估方法

擬以安全服務招標需求為依據，通過文件稽核、訪談、審計驗證、抽樣測試等手段進行評估。評估內容包括：等級保護三級（雲平臺、業務系統等）、事前評估檢測與加固、事中監控與防護、安全事後評估與應急處置、安全工作與能力、專案管理等方面。

2. 確定評估框架

根據專案實際，確定具體的評估框架如下表所示：

3.  評估操作指南

 本文不針對文件稽核、滲透測試等環節提供操作指南，這部分各家公司都有自己的一套方法。針對雲安全評估部分，是以C-STAR評估體系（此體系綜合了等同參考或修訂的CSA標準、ISO27001、CSA_CCM對應的中國國家標準與規範）為主（如需相關的評估操作指導文件，可通過關注“賽博朔方”公眾號後留下郵箱和索取資料名稱的方式獲取）。

C-STAR評估體系，包括應用和介面安全、審計保證及合規性、業務連續性管理和操作彈性、變更控制和配置管理、資料安全和資訊生命週期管理、資料中心安全、加密和金鑰管理、治理和風險管理、人力資源、身份識別和訪問管理、基礎設施和虛擬化安全、互操作性和可移植性、移動安全、安全事件管理與電了證據及雲端調查取證、供應鏈管理與透明性及責任、威脅和脆弱性管理16個領域164個條款，具體分佈如下表所示：

  根據上述164個評估條款進行評估/測試後或形成整體的雲平臺安全管理成熟度雷達圖。

4. 輸出評估報告

按照上述的評估框架，最終輸出《驗證與測試報告》、《安全服務評估總結報告》。

最後，說一點關於雲平臺建設、運營過程中各方最為關注的重點，就是雲平基礎設施提供者、雲平臺建設者、雲平臺管理者、雲平臺運營者、第三方安全服務商（有受僱於雲平臺方或雲租戶方）雲租戶、雲上業務的使用者等各方之前的關於網路安全的責任邊界問題，下次有機會再與大家分享。