云安全审计—第3205号内部审计实务指南第五章第4节
2021-01-25
云计算作为一种新兴的计算资源利用方式逐渐被各行业所接受和部署。采用了云计算技术的信息系统,称为云计算平台(系统)。云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
由于云服务平台建设的复杂性以及传统信息系统安全和云计算自身技术特点所引发的新的信息安全和风险,与传统信息系统安全审计相比,对于云服务平台的安全审计有其自身的特点。本节将从云服务规划与需求分析、供应商选择与合同签署、云服务平台开发测试与交付、云计算平台的安全管理、云计算平台的迁移与部署、云计算平台的安全运维、云计算服务关闭与数据迁移等方面对云安全审计的方法与步骤进行描述。
一、云服务规划与需求分析审计
(一)业务概述
在规划与需求分析阶段,组织应根据自身的经营战略与规划,通过对组织资产、云服务平台功能性、非功能性和安全性等四个方面的需求分析,以及云服务的效益评估,综合评判部署云计算服务平台的合理性及其建设模式,并最终形成决策报告。
(二)审计目标和内容
1、云服务综合评估该控制项旨在检查组织在部署云计算服务平台前,是否综合评估采用云计算服务后获得的效益(经济效益和社会效益)、可能面临的信息安全风险、可以采取的安全措施后做出决策,从而判断组织是否可在其可承受、容忍的风险范围内,或在当安全风险引发信息安全事件时有适当的控制或补救措施而采用云计算服务。
2、决策建议与审批该控制项旨在检查组织在部署云服务平台时,是否在基于服务综合评估的基础之上,对其进行综合分析形成采用云计算服务的决策报告,并经本单位最高领导批准,从而成为指导采用云计算服务的重要依据。
(三)常见问题和风险
1、云平台规划与建设时未充分考虑部署模式、服务模式对于经济效益、功能性需求、现有资源利用、现有流程的影响,导致项目建设与预期差距较大,经济效益较差。
2、云平台规划与建设时未充分考虑数据安全和整体安全防护,导致云平台安全管控能力不足,容易造成数据泄露或安全风险。
3、云平台建设缺乏严格的审批程度,导致需求模糊、边界不清晰、性能不满足预期要求,严重影响云平台的交付和使用。
(四)审计的主要方法和程序
1、云服务综合评估
(1)查阅组织项目建设的相关制度规范,了解涉及科技项目建设的评价指标和流程。
(2)检查组织是否对业务进行识别并进行优先级划分,并访谈关键业务部门负责人,了解关键业务特点、资源需求、时延、连续性以及安全保护的要求。
(3)访谈信息科技建设负责人,了解组织在规划建设云服务平台项目时是否基于部署模式(公有云、私有云和混合云)、服务模式(IaaS、PaaS、SaaS)对经济效益、功能性需求、非功能性需求、安全需求、现有资源利用/需求情况、现有信息系统管理流程是否受到影响等方面进行综合评估,以及评估、审批的流程,参与人员,并调阅项目建设的立项文档,从而判断效益评估的合理性、科学性以及合规性,其中,效益评估应至少包括建设成本、运维成本、人力成本、创新性以及对业务性能和质量带来的优势。
(4)检查组织与数据管理相关的规章制度,了解组织是否明确数据类型,并查看数据存放的位置,从而判断云平台数据是否涉及敏感信息以及数据存储的合规性。
(5)访谈云服务平台负责人,了解现有的云部署模式和服务模式,并询问其对在该模式下的安全风险和平台运营者所应承担的安全责任知晓情况及其采取的常规安全防护措施、平台可移植和互操作性,从而判断现有云服务平台对业务的安全风险承受能力。
(6)检查组织是否对其资产进行识别和归属分析,从而明确其部署的软件所有权/使用权,数据资产的归属权。
2、决策建议与审批
(1)查阅云计算服务平台建设项目的决策报告,检查是否包括:
背景描述,描述拟采用云计算服务的信息和业务;
效益分析,从场地、人员、设备、软件、运行管理、维护升级、能耗等方面,对采用本地应用与云计算服务所需费用进行综合分析;
云计算服务模式、部署模式选择,从而明确客户与云服务商的安全措施、实施边界和管理边界;
数据和业务部署到云计算环境后可能遇到的功能需求分析,不同模式下的资源需求分析,数据的备份与数据的传输方式和网络带宽要求等;
拟部署到云服务平台中数据或系统的可用性、可靠性、恢复能力、事务响应时间、吞吐率等指标;
基于对拟部署到云计算平台的信息和业务的安全能力要求;
将业务系统迁移到云计算平台后,为确保业务连续性进行的部署方案;退出云计算服务或变更云服务商的初步方案;
对客户相关人员进行安全意识、技术和管理培训的方案;
本单位负责采用云计算服务的领导、工作机构及其责任;
采购和使用云计算服务过程中应该考虑的其他重要事项。
(2)检查决策报告是否经过业务部门及管理层或专家团队的评审,以及审批流程是否完整;若存在改进建议是否及时完善从而有效控制风险。
二、供应商选择与合同签署审计
(一)业务概述
在服务商选择与合同部署阶段,客户应根据上阶段所提的需求和决策报告,从服务能力、服务风险和服务费用等三个方面评估云服务商的服务能力,选择并与其协商和签署服务合同(包括服务水平协议、安全需求、保密要求等内容),从而完成云服务平台的开发、建设、测试以及数据和业务向云计算平台的迁移与部署。
(二)审计目标和内容
1、云服务安全风险评估
该控制项旨在重点检查组织是否从数据安全与存储合规角度,结合自身对部署云服务平台后可能产生风险的容忍度和处置能力进行评估,并作为云服务商选择和评估的参考依据。
2、服务安全能力评估
该控制项旨在检查组织在选择第三方云服务平台时,是否对其基本的服务安全能力进行评估。
3、云安全控制措施责任的识别
该控制项旨在检查组织是否基于所选择的云服务部署模式,明确与服务提供方的责任。
4、云服务合同及保密协议签署
该控制项旨在检查组织在选择第三方云服务商时,是否与其签署服务合同,并检查其内容是否包含明确的服务水平协议、安全需求、保密要求等关键内容,从而保障组织的权益。
(三)常见问题和风险
1、组织没有对云环境下其数据所有权的保障能力进行风险评估的风险。
2、组织没有根据采用的服务模式(IaaS、PaaS、SaaS),明确云服务提供商与自身所承担安全责任的风险,以及没有能力采取相应的控制措施所产生的风险。
3、组织所选择的云服务商自身安全风险管控体系不完善,自身的安全评估不足,导致存在较大风险隐患。
4、云服务商第三方机构审计不到位,无法对云服务商的风险进行识别与监督。
5、云服务商安全与应急响应机制不健全,导致发生安全事件无法及时进行处置。
(四)审计的主要方法和程序
1、云服务安全风险评估
(1)检查云服务平台存储的生产经营数据是否属于国家规定的重要数据范畴,从而判断组织是否存在可能的数据管辖风险。(数据管辖风险)
(2)检查组织是否对其数据所有权的保障能力进行风险评估。(数据所有权保障风险)
(3)检查组织所部署的云服务平台是否提供或具有有效的机制、标准或工具来验证所删除的数据可否完全删除,以防止其退出云计算服务后组织数据仍然可能完整保存或残留在云计算平台上。(数据残留风险评估)
(4)评估是否存在单一云服务供应商的风险。(供应商锁定的风险评估)
2、服务安全能力评估
(1)对云服务平台所处的机房物理与环境保护能力进行检查或评估,确保云服务商机房位于中国境内并符合国家标准规范,机房是否采取监控措施以确保最低限度的人员物理接触。(物理安全,数据境内存储)
(2)检查云服务商或组织自身是否建立风险评估体系和监控目标清单,从而确保在威胁环境发生变化时,对云计算平台定期进行风险评估,确保云计算平台的安全风险处于可接受水平,并监控目标清单,对目标进行持续安全监控,在发生异常和非授权情况时发出警报。(风险管理,安全监控)
(3)检查云服务商是否接受云租户以外的第三方运行监管,并定期开展云安全审计,并向组织或社会定期公布安全审计报告。(第三方安全监管,云安全审计)
(4)检查云服务商是否建立针对云计算平台设施和软件维护所使用有效控制维护机制并具备相关能力,包括制度、工具、技术、人员及能力。(云安全监控)
(5)检查云服务商是否提供通用的安全控制措施,以及针对组织特定的应用需要及服务模式,提供专用的安全控制措施,并制定每个应用或服务的安全计划。(通用安全控制措施,专用安全控制措施)
(6)检查云服务商是否提供开放接口或开放性安全服务,允许组织接入第三方安全产品或在云平台选择第三方安全服务,支持异构方式对云租户的网络、主机、应用、数据层的安全措施进行实施。(第三方安全产品接入)
(7)检查云服务商的云服务平台是否通过安全测试及国家等级保护认证,以及其供应商通过安全测评,从而对其安全措施的有效性进行验证和评估,并检查相关资质证书和安全检测报告,必要时须向组织提交供应商清单。(安全测试评估,等保安全测评,产品及服务安全检查)
(8)检查云服务商是否为云计算平台制定应急响应计划并具备容灾恢复能力,建立必要的备份与恢复设施和机制应急响应与灾备。(应急管理与应急处置)
(9)检查云服务商的对外沟通渠道与方式,从而确保其具备在发生供应链安全事件信息、威胁信息、重大或紧急变更时能及时传递给组织。(应急沟通)
3、云安全控制措施责任的识别检查在公有云环境下,组织是否根据采用的服务模式(IaaS、PaaS、SaaS),明确云服务提供商与自身所承担的安全责任,以及是否有能力采取相应的控制措施,如通用安全控制措施、专用安全控制措施和混合安全措施。(安全控制措施)
4、云服务合同及保密协议签署检查组织与云服务商是否签署服务合同,以及合同内容中是否包括:
双方的安全责任和义务;
客户方就云计算服务的安全功能要求、强度要求、保障要求、保密要求;
云服务商应遵从的安全技术和管理标准;
服务级别协议(SLA)及具体的参数,并对涉及术语、指标、管理范围、职责划分、访问授权、隐私保护、行为准则进行确定;
约定提供给云服务商的数据、设备等资源,以及云计算平台上客户业务运行过程中收集、产生、存储的数据和文档等都属客户所有,云服务商应保证客户对这些资源的访问、利用、支配等;
约定利用云服务商平台或与云服务商合作开发创造出成果(软件、信息和计算成果)的所有权、使用权等归属问题;
约定云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织;
未经客户授权,不得访问、修改、披露、利用、转让、销毁客户数据;在服务合同终止时,应将数据、文档等归还给客户,并按要求彻底清除数据。如果客户有明确的留存要求,应按要求留存客户数据;
采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性和可用性。提供客户有效的安全监管、服务质量下降及应急处置的沟通渠道;
约定当发生安全事件并造成损失时对客户的经济赔偿;
不以持有客户数据相要挟,配合做好客户数据和业务的迁移或退出;
发生纠纷时,在双方约定期限内仍应保证客户数据安全;
合同终止的条件及合同终止后云服务商应履行的责任和义务;
若云计算平台中的业务系统与客户其他业务系统之间需要数据交互,约定交互方式和接口;云计算服务的计费方式、标准,客户的支付方式等;
安全审计的支持与报告。检查组织是否对可访问客户信息或掌握客户业务运行信息的云服务商签订保密协议,以及对能够接触客户信息或掌握客户业务运行信息的云服务商内部员工与其签订保密协议,并作为合同附件,保密协议应至少包括:合规要求、敏感信息披露、发现与报告、保密协议的有效期。
三、云服务平台开发测试与交付审计
(一)业务概述
组织部署云服务平台可根据自身的能力,可选择自建、二次开发或完全采购。因此,对该生命周期的检查,重点在于检查组织是否建立完善的开发、测试和验收的管理流程,从而确保在云服务平台交付后得以稳定运行。
若组织直接从云服务商处采购的云服务不涉及二次开发,则该项审计内容可不予考虑。
(二)审计目标和内容
1、云平台开发规划
该控制项旨在检查组织进行云服务平台开发建设时,是否将开发测试安全与平台安全规划纳入到整体规划建设方案当中,并提前制定平台开发的质量管理、变更管理、测试与验收以及开发全过程安全监控等相关规范文档。
2、开发安全风险管理
该控制项旨在检查组织进行云服务平台开发建设时,是否实施平台开发安全风险管理,并将其集成到系统开发各生命周期活动中。
3、安全测试与培训
该控制项旨在检查组织在进行云服务平台开发建设时是否制定相关的平台测试计划和规程,并对其进行安全测试和平台交付前的安全培训。
(三)常见问题和风险
1、云服务平台规划与设计未同步考虑安全功能需求,导致安全整体保护能力不足。
2、云上应用的相关安全需求、安全架构和安全设计规范缺失,不利于落实各项安全要求,安全与功能建设未实现同步管理。
3、组织的云计算服务平台由外部服务商进行开发建设时,未定义针对其安全措施有效性的持续监控计划,可能导致持续监控失效的风险。
4、云服务平台的安全测试与培训不到位,未发现潜在的安全漏洞,一旦漏洞被利用,可能造成云平台重要数据泄露。
(四)审计的主要方法和程序
1、平台开发规划
(1)检查组织是否制定云服务平台设计规范、安全架构以及涉及开发过程的安全策略与规程等相关文档,其应定义各项安全功能、机制和服务如何协同工作,以提供完整一致的保护能力,并查看其是否定义各阶段的信息安全角色及相应责任人。
(2)检查组织在进行云计算服务系统开发时,是否制定安全策略与规程等相关文档,以及是否定义了系统生命周期,(如规划阶段、设计阶段、实施阶段、运维阶段、废止阶段等),并提出各阶段信息系统和服务的安全需求、安全架构和安全设计规范,并检查系统规划文档、系统设计说明书。
(3)检查系统开发安全策略与规程等相关文档,是否定义了在系统生命周期中使用的系统工程方法、软件开发方法、测试技术和质量控制过程,检查开发测试文档、变更文档。
(4)检查组织云计算服务平台由外部服务商进行开发建设时,是否定义了针对其安全措施有效性的持续监控计划,并检查持续监控计划的详细程度。
(5)检查系统开发安全策略与规程等相关文档,是否对开发的环境和预期运行环境、验收准则及强制配置要求等进行了描述,并检查云计算平台信息系统、组件或服务开发清单中的相应管理文档。
2、开发安全风险管理
(1)检查系统开发安全策略与规程等相关文档,查看其是否有将信息安全风险管理过程集成到系统开发各生命周期活动中的要求,并访谈相关安全负责人,了解风险管理的落实情况。
(2)访谈相关安全负责人,询问组织是否对开发商说明的系统功能、端口、协议和服务进行必要的风险评估,并基于该评估结果禁用不必要或高风险的功能、端口、协议或服务。
3、安全测试与培训
(1)检查组织或云服务平台开发商是否制定测试计划与测试规程等文档,查看其是否定义了在单元、集成、系统以及回归测试或评估时应执行的深度和覆盖面,并检查云计算服务系统的测试报告及代码安全审查。
(2)检查是否对云服务平台部署前进行渗透测试和安全评估,了解其存在的脆弱性和威胁,并检查测试和评估报告是否出自独立第三方。
(3)检查系统开发安全策略与规程等相关文档,查看其是否定义了开发商需提供的有助于正确使用所交付系统或产品中的安全功能、措施和机制的培训,是否要求开发商提供所定义的培训,并检查相关培训记录。
四、云计算平台的安全管理审计
(一)业务概述
是指云计算平台的安全合规管理,信息安全等级保护检查测评及其他安全规范遵循工作。
(二)审计目标和内容
1、合规识别与制度制定
该控制项旨在检查组织是否准确识别与云计算相关的安全合规要求,如数据安全、数据存储等内容,同时制定云服务平台安全管理的规章制度及安全监督指标。
2、云服务安全管理角色及责任
该控制项旨在检查组织在其内部是否识别并定义云服务管理的角色及其安全职责,特别关注是否涉及与客户、云服务提供商共同确定的涉及云计算服务的安全职责,同时检查职责设置的合理性。
3、信息安全等级保护落实检查
该控制项旨在检查组织部署的云服务平台是否依据等保要求定级备案,并定期开展等保的落实检查工作。
4、资源保障
该控制项旨在检查组织是否为云服务平台的开发部署和后期运行从制度层面提供保证机制并检查工作的落实情况。
(三)常见问题和风险
1、云服务平台安全管理策略与制度不健全,无法有效发挥安全监督作用。
2、云服务安全管理角色及责任定义不清晰,无法有效落实云平台安全管控要求。
3、未定期开展信息安全等级保护检查,无法及时发现现有控制措施与等保的差距,同时存在合规风险。
(四)审计的主要方法和程序
1、合规识别与制度制定
(1)检查组织是否制定了云服务平台安全管理的规章制度,查看其内容是否至少包括云服务平台的安全制度与策略、安全组织与人员的相关规程、评审和更新信息安全规章制度的频率。
(2)访谈系统安全负责人、外部服务提供商、开发商或客户等内外部相关人员,询问传达信息安全规章制度的情况,信息安全规章制度的评审和更新的情况,并检查是否按要求进行了信息安全规章制度的评审和更新。
(3)检查组织是否收集和整理相关的法律、法规、政策和标准要求,并形成合规文件清单。
2、云服务安全管理角色及责任
(1)调阅安全组织与人员策略与规程等相关文档,查看是否明确岗位信息安全职责要求,定义需进行分离的关键职责从而满足关键职责分离要求。
(2)访谈系统管理员、账号管理员或安全管理员等相关人员,询问通过访问控制措施进行职责分离落实的情况。
(3)检查岗位信息安全职责的相关文档,查看其是否有与客户和云服务提供商共同确定涉及云计算服务的安全职责。
(4)检查组织是否对已确立的责任,包括组织自身、客户和云服务提供商进行监管与检查,从而确保安全责任的落实。
3、信息安全等级保护落实检查
(1)检查组织是否基于已部署的云服务平台上存储数据和运行的重要性及受到侵害的程度对其进行等保定级。
(2)检查组织是否基于云服务平台的等保级别定期开展等保落实检查工作,并调阅相关检查文档。
4、资源保障
(1)查阅组织的云服务管理制度文档,检查是否有为云服务平台开发部署和后期运行提供资源保障的承诺描述。
(2)检查工作计划、预算管理过程文档,查看是否有为保护信息系统和服务提供所需资源(如有关资金、场地、人力等)的项目。
(3)访谈信息安全负责人或系统安全负责人等相关人员,询问为保护信息系统和服务所需资源的落实情况。
五、云计算平台的迁移与部署审计
(一)业务概述
是指组织根据自身的安全需求和云计算服务的安全能力要求,制定云计算服务迁移与部署计划并加以实施,确保数据和业务可以安全地向云计算平台进行迁移与部署。
(二)审计目标和内容
1、迁移计划
该控制项旨在检查组织在进行云服务平台迁移、部署前是否制定完善的迁移方案并对迁移过程可能产生的风险进行分析并制定应对方案,从而为后期执行迁移部署提供保证。
2、平台迁移测试与部署
该控制项旨在检查组织是否依据已制定的迁移方案进行部署前的测试,并在部署完成后进行云服务平台的运行测试,从而保证云服务平台满足既定的各项服务指标。
(三)常见问题和风险
1、未制定迁移部署方案或未严格执行迁移部署方案,导致迁移失败或迁移过程中业务中断和数据丢失。
2、未开展针对迁移部署过程的风险分析,无法根据识别出的风险制定应对方案和回退策略。
3、云服务平台部署后,未依据既定的验收标准对平台的功能、性能和安全性进行测试,平台功能未满足预期要求并存在安全隐患。
(四)审计的主要方法和程序
1、迁移计划
(1)检查组织是否制定迁移部署方案(一次性迁移、阶段性迁移)和实施进度计划表,明确参与人员及职责,并查阅方案是否经过审批。
(2)是否制定迁移部署的培训计划并对参与人员进行相关培训。
(3)是否开展针对迁移部署过程的风险分析,如数据丢失、业务中断、部署过程中组织客户数据和资源权限的泄露等,并根据识别出的风险制定应对方案和回退策略。
2、平台迁移测试与部署
(1)检查组织是否根据事前制定的平台迁移测试计划,组织技术力量或委托第三方对云服务平台的迁移(包括数据和系统)进行部署前的测试,查看测试评估报告和整改建议并检查具体整改措施的执行情况。
(2)检查组织是否采取技术手段,确保迁移前后数据的完整性与保密性,并调阅数据完整性测试报告。
(3)检查组织在云服务平台部署后,是否依据既定的验收标准和监控指标对平台的功能、性能和安全性进行监控与测试,在满足要求后投入运行,并调阅运行验收测试报告。
六、云计算平台的安全运维审计
(一)业务概述
云平台投入运行后,虽然客户将部分控制和管理任务转移给云服务商,但最终安全责任还是由客户自身承担。因此需要对自身的云计算服务运维进行良好的安全管理。
(二)审计目标和内容
1、网络与通信安全
该控制项旨在从两种视角,针对网络与通信安全,检查组织或云服务商是否采取有效的措施,保证云服务平台的安全,包括实施物理和虚拟网络及主机的安全区域划分、安全隔离、安全防护,并采取管理和技术措施确保网络与通信的安全性和可用性。
2、身份鉴别
该控制项旨在检查组织或云服务提供者是否在云计算环境中,针对云用户、租户和管理员采取多种身份鉴别手段,并确保在系统整个生命周期内用户标识的唯一性,以及对主机、虚拟机监视器和管理平台采用证书技术,确保证书的可信度和系统的抗抵赖性,检查整个身份鉴别机制的相关配置是否受到统一控制。
3、访问控制
该控制项旨在检查组织或云服务商是否针对物理资源、虚拟资源、网络与通信和用户与管理员制定相应的访问控制策略并据此执行。
4、恶意代码与入侵防范
该控制项旨在检查组织或云服务商的云服务平台是否具有从基础设施层到资源抽象层的区域边界和恶意代码防护功能,并部署相应的产品;是否制定恶意代码库的升级策略并主动进行更新,并对恶意代码进行自动检测、防范和响应。
5、应用与数据安全
该控制项旨在检查云服务商或组织是否采取措施对云服务平台涉及的重要数据进行有效识别和分类,并从平台数据静态存储、动态传输与数据调用等三方面,检查是否采取措施确保数据的机密性和完整性,以及为确保已识别出的重要数据的可用性采取备份与恢复措施,同时检查云服务平台对外接口的安全性。
6、安全监控与审计
该控制项旨在检查组织或云服务商是否对云服务平台制定安全监测的制度规范与策略,明确安全监控指标和监控对象,至少应包括资源类、安全事件和操作行为,并就云服务平台的运营管理开展安全审计。(建立日志留痕记录)
(三)常见问题和风险
1、云计算服务系统安全区域划分不合理,导致安全要求覆盖不全面,存在安全风险隐患。
2、云计算服务系统未部署流量检测和清洗设备,无法对异常流量的监控和统计分析,受异常流量影响,导致网络不可用。
3、云计算服务系统身份鉴别机制不严格,导致身份认证机制被绕过,造成重要数据或敏感信息的泄露。
4、云计算服务系统审计功能未开启或审计日志未定期查看,无法及时发现存在的违规操作或风险隐患。
(四)审计的主要方法和程序
1、网络与通信安全
(1)查阅网络拓扑图,并访谈安全管理人员,了解组织或云服务提供商是否对云计算服务系统根据业务安全需要对平台资源层、服务层和应用层进行安全区域的划分,并在安全边界进行隔离防护,同时,云租户之间及租户内部也应根据安全业务需要、等级保护原则和业务生命周期进一步划分安全区域,制定各区域的安全策略并部署隔离防护设施,从而实现网络隔离和虚拟机之间的隔离。(区域边界划分、网络安全隔离与防护、虚拟安全域划分)
(2)检查虚拟机监视器、云管理平台,查看同一宿主机内虚拟机之间、虚拟机与物理机之间流量是否能被识别、监控,并查看不同宿主机的虚拟机之间、虚拟机与物理机之间流量是否能被识别、监控。(流量监管)
(3)检查网络架构、配置策略和云管理平台,查看是否实现管理流量和业务流量的分离,以及云平台管理流量与云租户业务流量的分离。(流量分离)
(4)检查云服务提供商或组织是否对云计算系统各组成部分之间、虚拟机之间、云计算系统内部通信网络,通过通信完整性校验、密码技术和VPN技术确保网络和通信的完整性与安全性。(网络安全性)
(5)检查云服务提供商或组织是否部署流量检测和清洗设备,实现对异常流量的监控和统计分析,防止因异常流量造成的网络不可用。(网络可用性)
(6)查阅网络拓扑图,检查服务商或组织对网络是否采用冗余技术,对关键链路、主要物理网络设备、虚拟网络设备、网络核心和汇聚层等部署冗余设备,并根据租户、主机和应用的业务重要程度,划分对应的网络带宽优先级,从而确保网络的可用性。(网络可用性)
2、身份鉴别
(1)检查组织是否制定身份认证和账号策略,包括用户身份与终端绑定、完整性验证检查、账号锁定、账号时效、禁止重复登录等策略,并采取两种及两种以上组合机制对用户身份进行验证,对系统管理员和安全管理员是否采用单点登录的集中用户验证机制。(单点登录、集中用户认证)
(2)检查用户的验证信息是否加密存储,限制登录口令最小长度和更换周期。
(3)检查云管理平台,在进行远程管理时,是否对管理终端和云平台边界设备之间建立双向身份验证机制(如证书、共享密钥等),并限制访问重要物理资源及虚拟资源、安全管理中心的远程登录地址。(远程登录身份认证)
(4)检查网络策略控制器和网络设备(或设备代理)之间是否建立双向身份验证机制,并验证网络设备防护能力是否符合要求。(设备间的身份鉴别)
3、访问控制
(1)检查服务商或组织是否基于系统业务类型、重要性或信息的重要程度,根据安全域的划分,制定访问控制策略,并检查不同安全等级网络区域边界访问控制机制部署情况及访问控制规则,从而判断针对边界访问控制机制或边界访问控制设备、不同虚拟机间访问控制、虚拟机迁移是否得到有效控制。
(网络访问控制,虚拟资源访问控制)
(2)检查服务商或组织是否对特权用户、系统管理员、用户和云租户依据“最小授权”原则和“职责分离”原则进行访问控制权限的设置。
(3)检查服务商或组织是否对包括用户、访问协议实现对云服务平台的网络设备访问进行控制。
(4)检查服务商或组织是否制定并部署针对虚拟机和多租户的访问控制策略,并允许租户在自身虚拟机上部署各自的访问控制策略,或通过在虚拟机监视器上集中部署访问控制策略。(虚拟化和多租户访问控制)
4、恶意代码与入侵防范
(1)检查云服务提供商或组织内部是否制定恶意代码和入侵防范系统特征库的更新策略,并检查恶意代码版本和入侵防范系统特征库是否与其服务提供商的最新版本相一致。
(2)检查恶意代码防护系统是否采取集中管理、统一部署的方式,可自动对恶意代码感染及其在虚拟机之间的蔓延进行检测和告警,并在监测到破坏后进行修复,同时为确保虚拟机安全系统建立恶意代码传播路径的追踪和安全隔离。(恶意代码防范)
(3)检查恶意代码保护和入侵防范的对象,在基础设施层到资源抽象层是否针对包括宿主机和虚拟主机以及虚拟机监视器和云管理平台。
(4)检查云服务提供商或组织内部是否在(高风险)区域边界和关键网络节点处部署恶意代码防护系统,从而实现对终端、web应用、邮件系统、数据库、中间件、网络虚拟化软件、虚拟机监视器或云管理平台恶意代码检测与清除,特别是虚拟服务器之间数据交换和云终端接入通信。
(5)检查云服务提供商或组织内部是否在区域边界、关键业务系统采取相关技术措施,根据风险大小,在其附近部署入侵检测与防范系统,从而实现对用户行为、恶意流量、恶意攻击、恶意扫描及异常流量和未知威胁的识别、监控、防护,同时对上述活动进行数据收集、存储和分析。(入侵防范)
(6)检查部署的入侵检测与防范系统日志,审计日志记录内容是否与审计信息相关及是否受到安全保护和定期备份,防止非预期的修改、删除和覆盖,并检查云服务提供商或组织是否对日志进行关联分析并进行关联响应。
5、应用与数据安全
(1)检查组织是否制定针对云服务平台对外接口的安全策略,并检查接口设计文档或开放性服务技术文档,查看是否符合开放性及安全性要求。
(2)检查组织是否对云服务平台对外接口进行渗透测试或代码审计并调阅测试或审计报告,从而验证是否存在安全漏洞或安全隐患。
(3)检查云服务商或组织是否针对系统管理数据(如镜像文件、快照)、鉴别信息和重要业务数据,在存储、传输过程(包括云计算系统内部和虚拟机之间的通信)中,使用具有完整性校验和加密的技术与工具进行完整性校验,从而防止在存储和传输过程中遭到破坏、恶意篡改和泄露,并对不一致的数据进行恢复。(镜像与快照保护)
(4)检查是否采用完整性校验算法和工具防止被恶意篡改。
(5)检查云服务商或组织是否使用统一的调用接口,对存储和使用环节的数据进行完整性检查。
(6)检查云服务商或组织对上层提供接口、操作云服务控制平台、向云主机或云存储系统及数据库传输数据是否采用加密技术,包括加密协议、算法。
(7)检查云服务商或组织是否针对云服务系统涉及的本地数据、在线数据、重要业务信息及软件系统,根据重要程度和数据敏感性,制定分类分级策略及相应的备份恢复策略,对不同等级的数据进行备份与恢复。
(8)检查是否制定并实施针对虚拟资源数据级、系统级和应用级的冗余备份。
6、安全监控与安全审计
(1)访谈系统安全负责人,询问制定哪些相关策略从而对安全措施有效性进行持续监控,并检查云平台对安全措施有效性进行持续监控,监控应至少包括漏洞与补丁监控、宿主机监控、网络监控、用户/租户/管理员的操作行为监控、网络安全事件监控和系统行为监控。(安全监控)
(2)检查审计策略与规程等相关文档,查看是否可对上述监控对象进行审计,并定义可(连续)审计事件,是否制定并维护该审计事件清单,及是否定义了需连续审计事件的审计频率。(连续性审计)
(3)检查审计范围是否包括重要用户行为、系统安全事件、数据库行为、虚拟机的迁移、虚拟资源申请、虚拟资源调度、虚拟资源分配、虚拟资源异常使用和重要命令进行安全审计,以及是否可以实现集中审计或第三方审计。
(4)检查审计策略与规程等相关文档,查看是否对审计记录内容提出要求,应至少包含:事件类型、事件发生的时间和地点、事件来源、事件结果以及与事件相关的用户或主体的身份等相关信息,并检查日志的存储安全和存储周期是否符合审计策略与规程。
(5)检查审计策略与规程等相关文档,查看是否建立了与其他组织针对安全审计的协调机制。(外部审计协调)
(6)检查组织是否根据不同的审计对象部署审计产品,并登录查看审计功能是否开启并基于审计策略进行配置,查看审计记录是否包含所规定的审计内容。
(7)检查审计记录存储容量配置信息,查看是否按照要求配置了相应的存储容量。
(8)检查审计策略与规程等相关文档,查看是否定义了当审计过程失败时接收报警信息的人员(角色)清单。
(9)检查审计系统配置信息,查看是否有系统审计过程失败的报警机制,并访谈云服务商定义的人员或角色,询问接收到审计失败告警信息的情况和处理机制与流程。
(10)检查审计策略与规程、系统设计说明书等相关文档,查看是否提供审计处理和审计报告生成的机制,以及是否支持实时或准实时的审查、分析和报告,并对安全事件的事后调查。
(11)检查审计策略与规程等相关文档,查看是否定义了在线保存审计记录的时间段,是否要求支持安全事件的事后调查,是否要求符合法律法规及客户的信息留存的要求,并检查记录留存的时间配置信息,查看是否与定义的时间段一致。
七、服务关闭与数据迁移审计
(一)业务概述
是指组织在云服务关闭与数据迁移前应当制定关闭当前云服务平台或向其他云服务平台迁移时相关流程,从而确保组织完整退出当前云服务阶段,同时确保原云服务商的相关责任和义务得到履行。
(二)审计目标和内容
1、关闭和迁移规划
该控制项旨在检查组织是否就云服务平台关闭及其所涉及的平台数据迁移制定相应的规划方案和应急预案,从而确保数据迁移的妥善执行以及服务的连续性、可用性。
2、数据迁移及完整性和保密性保障
该控制项旨在检查组织在云服务平台关闭时所进行的平台数据迁移操作是否有效确保组织数据的完整性和保密性。
(三)常见问题和风险
1、原有云平台上存储的数据完全未返回组织或执行彻底清除程序,导致残留数据泄露。
2、未制定云平台数据迁移和资料移交清单,导致迁移数据不完整或资料不全面,影响迁移效果,也不利于迁移资料的规范化管理。
(四)审计的主要方法和程序
1、关闭和迁移规划
(1)检查组织是否制定云服务平台关闭及其数据迁移的规划、方案、流程,从而确保平台数据和业务的可用性、连续性,如是否制定回退方案和应急预案等。
(2)检查组织是否对回退方案或应急预案进行测试并调阅测试报告。
2、数据迁移及完整性和保密性保障
(1)检查组织是否制定平台数据迁移和资料移交清单,包括客户移交给云服务商的数据和资料,以及客户业务系统在云计算平台上运行期间产生、收集的数据以及相关文档资料,如数据文件、程序代码、说明书、技术资料、运行日志等。
(2)检查组织是否为确保迁移数据的完整性和保密性而采取相应的措施。
(3)调阅组织平台数据迁移的历史记录和迁移数据完整性、有效性测试报告。
(4)调阅原有云服务合同,了解组织对于原云服务商平台数据存储的时限要求和删除要求,并查阅相关数据删除与介质销毁的历史记录,判断是否符合组织数据与介质销毁的服务要求。