云安全审计.docx
《云安全审计.docx》由会员分享,可在线阅读,更多相关《云安全审计.docx(22页珍藏版)》请在冰豆网上搜索。
云安全审计
云安全审计
云计算作为一种新兴的计算资源利用方式逐渐被各行业所接受和部署。
采用了云计算技术的信息系统,称为云计算平台(系统)。
云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。
软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。
在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。
由于云服务平台建设的复杂性以及传统信息系统安全和云计算自身技术特点所引发的新的信息安全和风险,与传统信息系统安全审计相比,对于云服务平台的安全审计有其自身的特点。
本节将从云服务规划与需求分析、供应商选择与合同签署、云服务平台开发测试与交付、云计算平台的安全管理、云计算平台的迁移与部署、云计算平台的安全运维、云计算服务关闭与数据迁移等方面对云安全审计的方法与步骤进行描述。
一、云服务规划与需求分析审计
(一)业务概述
在规划与需求分析阶段,组织应根据自身的经营战略与规划,通过对组织资产、云服务平台功能性、非功能性和安全性等四个方面的需求分析,以及云服务的效益评估,综合评判部署云计算服务平台的合理性及其建设模式,并最终形成决策报告。
(二)审计目标和内容
1.云服务综合评估
该控制项旨在检查组织在部署云计算服务平台前,是否综合评估采用云计算服务后获得的效益(经济效益和社会效益)、可能面临的信息安全风险、可以采取的安全措施后做出决策,从而判断组织是否可在其可承受、容忍的风险范围内,或在当安全风险引发信息安全事件时有适当的控制或补救措施而采用云计算服务。
2.决策建议与审批
该控制项旨在检查组织在部署云服务平台时,是否在基于服务综合评估的基础之上,对其进行综合分析形成采用云计算服务的决策报告,并经本单位最高领导批准,从而成为指导采用云计算服务的重要依据。
(三)常见问题和风险
1.云平台规划与建设时未充分考虑部署模式、服务模式对于经济效益、功能性需求、现有资源利用、现有流程的影响,导致项目建设与预期差距较大,经济效益较差。
2.云平台规划与建设时未充分考虑数据安全和整体安全防护,导致云平台安全管控能力不足,容易造成数据泄露或安全风险。
3.云平台建设缺乏严格的审批程度,导致需求模糊、边界不清晰、性能不满足预期要求,严重影响云平台的交付和使用。
(四)审计的主要方法和程序
1.云服务综合评估
(1)查阅组织项目建设的相关制度规范,了解涉及科技项目建设的评价指标和流程。
(2)检查组织是否对业务进行识别并进行优先级划分,并访谈关键业务部门负责人,了解关键业务特点、资源需求、时延、连续性以及安全保护的要求。
(3)访谈信息科技建设负责人,了解组织在规划建设云服务平台项目时是否基于部署模式(公有云、私有云和混合云)、服务模式(IaaS、PaaS、SaaS)对经济效益、功能性需求、非功能性需求、安全需求、现有资源利用/需求情况、现有信息系统管理流程是否受到影响等方面进行综合评估,以及评估、审批的流程,参与人员,并调阅项目建设的立项文档,从而判断效益评估的合理性、科学性以及合规性,其中,效益评估应至少包括建设成本、运维成本、人力成本、创新性以及对业务性能和质量带来的优势。
(4)检查组织与数据管理相关的规章制度,了解组织是否明确数据类型,并查看数据存放的位置,从而判断云平台数据是否涉及敏感信息以及数据存储的合规性。
(5)访谈云服务平台负责人,了解现有的云部署模式和服务模式,并询问其对在该模式下的安全风险和平台运营者所应承担的安全责任知晓情况及其采取的常规安全防护措施、平台可移植和互操作性,从而判断现有云服务平台对业务的安全风险承受能力。
(6)检查组织是否对其资产进行识别和归属分析,从而明确其部署的软件所有权/使用权,数据资产的归属权。
2.决策建议与审批
(1)查阅云计算服务平台建设项目的决策报告,检查是否包括:
背景描述,描述拟采用云计算服务的信息和业务;效益分析,从场地、人员、设备、软件、运行管理、维护升级、能耗等方面,对采用本地应用与云计算服务所需费用进行综合分析;云计算服务模式、部署模式选择,从而明确客户与云服务商的安全措施、实施边界和管理边界;数据和业务部署到云计算环境后可能遇到的功能需求分析,不同模式下的资源需求分析,数据的备份与数据的传输方式和网络带宽要求等;拟部署到云服务平台中数据或系统的可用性、可靠性、恢复能力、事务响应时间、吞吐率等指标;基于对拟部署到云计算平台的信息和业务的安全能力要求;将业务系统迁移到云计算平台后,为确保业务连续性进行的部署方案;退出云计算服务或变更云服务商的初步方案;对客户相关人员进行安全意识、技术和管理培训的方案;本单位负责采用云计算服务的领导、工作机构及其责任;采购和使用云计算服务过程中应该考虑的其他重要事项。
(2)检查决策报告是否经过业务部门及管理层或专家团队的评审,以及审批流程是否完整;若存在改进建议是否及时完善从而有效控制风险。
二、供应商选择与合同签署审计
(一)业务概述
在服务商选择与合同部署阶段,客户应根据上阶段所提的需求和决策报告,从服务能力、服务风险和服务费用等三个方面评估云服务商的服务能力,选择并与其协商和签署服务合同(包括服务水平协议、安全需求、保密要求等内容),从而完成云服务平台的开发、建设、测试以及数据和业务向云计算平台的迁移与部署。
(二)审计目标和内容
1.云服务安全风险评估
该控制项旨在重点检查组织是否从数据安全与存储合规角度,结合自身对部署云服务平台后可能产生风险的容忍度和处置能力进行评估,并作为云服务商选择和评估的参考依据。
2.服务安全能力评估
该控制项旨在检查组织在选择第三方云服务平台时,是否对其基本的服务安全能力进行评估。
3.云安全控制措施责任的识别
该控制项旨在检查组织是否基于所选择的云服务部署模式,明确与服务提供方的责任。
4.云服务合同及保密协议签署
该控制项旨在检查组织在选择第三方云服务商时,是否与其签署服务合同,并检查其内容是否包含明确的服务水平协议、安全需求、保密要求等关键内容,从而保障组织的权益。
(三)常见问题和风险
1.组织没有对云环境下其数据所有权的保障能力进行风险评估的风险。
2.组织没有根据采用的服务模式(IaaS、PaaS、SaaS),明确云服务提供商与自身所承担安全责任的风险,以及没有能力采取相应的控制措施所产生的风险。
3.组织所选择的云服务商自身安全风险管控体系不完善,自身的安全评估不足,导致存在较大风险隐患。
4.云服务商第三方机构审计不到位,无法对云服务商的风险进行识别与监督。
5.云服务商安全与应急响应机制不健全,导致发生安全事件无法及时进行处置。
(四)审计的主要方法和程序
1.云服务安全风险评估
(1)检查云服务平台存储的生产经营数据是否属于国家规定的重要数据范畴,从而判断组织是否存在可能的数据管辖风险。
(数据管辖风险)
(2)检查组织是否对其数据所有权的保障能力进行风险评估。
(数据所有权保障风险)
(3)检查组织所部署的云服务平台是否提供或具有有效的机制、标准或工具来验证所删除的数据可否完全删除,以防止其退出云计算服务后组织数据仍然可能完整保存或残留在云计算平台上。
(数据残留风险评估)
(4)评估是否存在单一云服务供应商的风险。
(供应商锁定的风险评估)
2.服务安全能力评估
(1)对云服务平台所处的机房物理与环境保护能力进行检查或评估,确保云服务商机房位于中国境内并符合国家标准规范,机房是否采取监控措施以确保最低限度的人员物理接触。
(物理安全,数据境内存储)
(2)检查云服务商或组织自身是否建立风险评估体系和监控目标清单,从而确保在威胁环境发生变化时,对云计算平台定期进行风险评估,确保云计算平台的安全风险处于可接受水平,并监控目标清单,对目标进行持续安全监控,在发生异常和非授权情况时发出警报。
(风险管理,安全监控)
(3)检查云服务商是否接受云租户以外的第三方运行监管,并定期开展云安全审计,并向组织或社会定期公布安全审计报告。
(第三方安全监管,云安全审计)
(4)检查云服务商是否建立针对云计算平台设施和软件维护所使用有效控制维护机制并具备相关能力,包括制度、工具、技术、人员及能力。
(云安全监控)
(5)检查云服务商是否提供通用的安全控制措施,以及针对组织特定的应用需要及服务模式,提供专用的安全控制措施,并制定每个应用或服务的安全计划。
(通用安全控制措施,专用安全控制措施)
(6)检查云服务商是否提供开放接口或开放性安全服务,允许组织接入第三方安全产品或在云平台选择第三方安全服务,支持异构方式对云租户的网络、主机、应用、数据层的安全措施进行实施。
(第三方安全产品接入)
(7)检查云服务商的云服务平台是否通过安全测试及国家等级保护认证,以及其供应商通过安全测评,从而对其安全措施的有效性进行验证和评估,并检查相关资质证书和安全检测报告,必要时须向组织提交供应商清单。
(安全测试评估,等保安全测评,产品及服务安全检查)
(8)检查云服务商是否为云计算平台制定应急响应计划并具备容灾恢复能力,建立必要的备份与恢复设施和机制应急响应与灾备。
(应急管理与应急处置)
(9)检查云服务商的对外沟通渠道与方式,从而确保其具备在发生供应链安全事件信息、威胁信息、重大或紧急变更时能及时传递给组织。
(应急沟通)
3.云安全控制措施责任的识别
检查在公有云环境下,组织是否根据采用的服务模式(IaaS、PaaS、SaaS),明确云服务提供商与自身所承担的安全责任,以及是否有能力采取相应的控制措施,如通用安全控制措施、专用安全控制措施和混合安全措施。
(安全控制措施)
4.云服务合同及保密协议签署
检查组织与云服务商是否签署服务合同,以及合同内容中是否包括:
双方的安全责任和义务;客户方就云计算服务的安全功能要求、强度要求、保障要求、保密要求;云服务商应遵从的安全技术和管理标准;服务级别协议(SLA)及具体的参数,并对涉及术语、指标、管理范围、职责划分、访问授权、隐私保护、行为准则进行确定;约定提供给云服务商的数据、设备等资源,以及云计算平台上客户业务运行过程中收集、产生、存储的数据和文档等都属客户所有,云服务商应保证客户对这些资源的访问、利用、支配等;约定利用云服务商平台或与云服务商合作开发创造出成果(软件、信息和计算成果)的所有权、使用权等归属问题;约定云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织;未经客户授权,不得访问、修改、披露、利用、转让、销毁客户数据;在服务合同终止时,应将数据、文档等归还给客户,并按要求彻底清除数据。
如果客户有明确的留存要求,应按要求留存客户数据;采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性和可用性。
提供客户有效的安全监管、服务质量下降及应急处置的沟通渠道;约定当发生安全事件并造成损失时对客户的经济赔偿;不以持有客户数据相要挟,配合做好客户数据和业务的迁移或退出;发生纠纷时,在双方约定期限内仍应保证客户数据安全;合同终止的条件及合同终止后云服务商应履行的责任和义务;若云计算平台中的业务系统与客户其他业务系统之间需要数据交互,约定交互方式和接口;云计算服务的计费方式、标准,客户的支付方式等;安全审计的支持与报告。
检查组织是否对可访问客户信息或掌握客户业务运行信息的云服务商签订保密协议,以及对能够接触客户信息或掌握客户业务运行信息的云服务商内部员工与其签订保密协议,并作为合同附件,保密协议应至少包括:
合规要求、敏感信息披露、发现与报告、保密协议的有效期。
三、云服务平台开发测试与交付审计
(一)业务概述
组织部署云服务平台可根据自身的能力,可选择自建、二次开发或完全采购。
因此,对该生命周期的检查,重点在于检查组织是否建立完善的开发、测试和验收的管理流程,从而确保在云服务平台交付后得以稳定运行。
若组织直接从云服务商处采购的云服务不涉及二次开发,则该项审计内容可不予考虑。
(二)审计目标和内容
1.云平台开发规划
该控制项旨在检查组织进行云服务平台开发建设时,是否将开发测试安全与平台安全规划纳入到整体规划建设方案当中,并提前制定平台开发的质量管理、变更管理、测试与验收以及开发全过程安全监控等相关规范文档。
2.开发安全风险管理
该控制项旨在检查组织进行云服务平台开发建设时,是否实施平台开发安全风险管理,并将其集成到系统开发各生命周期活动中。
3.安全测试与培训
该控制项旨在检查组织在进行云服务平台开发建设时是否制定相关的平台测试计划和规程,并对其进行安全测试和平台交付前的安全培训。
(三)常见问题和风险
1.云服务平台规划与设计未同步考虑安全功能需求,导致安全整体保护能力不足。
2.云上应用的相关安全需求、安全架构和安全设计规范缺失,不利于落实各项安全要求,安全与功能建设未实现同步管理。
3.组织的云计算服务平台由外部服务商进行开发建设时,未定义针对其安全措施有效性的持续监控计划,可能导致持续监控失效的风险。
4.云服务平台的安全测试与培训不到位,未发现潜在的安全漏洞,一旦漏洞被利用,可能造成云平台重要数据泄露。
(四)审计的主要方法和程序
1.平台开发规划
(1)检查组织是否制定云服务平台设计规范、安全架构以及涉及开发过程的安全策略与规程等相关文档,其应定义各项安全功能、机制和服务如何协同工作,以提供完整一致的保护能力,并查看其是否定义各阶段的信息安全角色及相应责任人。
(2)检查组织在进行云计算服务系统开发时,是否制定安全策略与规程等相关文档,以及是否定义了系统生命周期,(如规划阶段、设计阶段、实施阶段、运维阶段、废止阶段等),并提出各阶段信息系统和服务的安全需求、安全架构和安全设计规范,并检查系统规划文档、系统设计说明书。
(3)检查系统开发安全策略与规程等相关文档,是否定义了在系统生命周期中使用的系统工程方法、软件开发方法、测试技术和质量控制过程,检查开发测试文档、变更文档。
(4)检查组织云计算服务平台由外部服务商进行开发建设时,是否定义了针对其安全措施有效性的持续监控计划,并检查持续监控计划的详细程度。
(5)检查系统开发安全策略与规程等相关文档,是否对开发的环境和预期运行环境、验收准则及强制配置要求等进行了描述,并检查云计算平台信息系统、组件或服务开发清单中的相应管理文档。
2.开发安全风险管理
(1)检查系统开发安全策略与规程等相关文档,查看其是否有将信息安全风险管理过程集成到系统开发各生命周期活动中的要求,并访谈相关安全负责人,了解风险管理的落实情况。
(2)访谈相关安全负责人,询问组织是否对开发商说明的系统功能、端口、协议和服务进行必要的风险评估,并基于该评估结果禁用不必要或高风险的功能、端口、协议或服务。
3.安全测试与培训
(1)检查组织或云服务平台开发商是否制定测试计划与测试规程等文档,查看其是否定义了在单元、集成、系统以及回归测试或评估时应执行的深度和覆盖面,并检查云计算服务系统的测试报告及代码安全审查。
(2)检查是否对云服务平台部署前进行渗透测试和安全评估,了解其存在的脆弱性和威胁,并检查测试和评估报告是否出自独立第三方。
(3)检查系统开发安全策略与规程等相关文档,查看其是否定义了开发商需提供的有助于正确使用所交付系统或产品中的安全功能、措施和机制的培训,是否要求开发商提供所定义的培训,并检查相关培训记录。
四、云计算平台的安全管理审计
(一)业务概述
是指云计算平台的安全合规管理,信息安全等级保护检查测评及其他安全规范遵循工作。
(二)审计目标和内容
1.合规识别与制度制定
该控制项旨在检查组织是否准确识别与云计算相关的安全合规要求,如数据安全、数据存储等内容,同时制定云服务平台安全管理的规章制度及安全监督指标。
2.云服务安全管理角色及责任
该控制项旨在检查组织在其内部是否识别并定义云服务管理的角色及其安全职责,特别关注是否涉及与客户、云服务提供商共同确定的涉及云计算服务的安全职责,同时检查职责设置的合理性。
3.信息安全等级保护落实检查
该控制项旨在检查组织部署的云服务平台是否依据等保要求定级备案,并定期开展等保的落实检查工作。
4.资源保障
该控制项旨在检查组织是否为云服务平台的开发部署和后期运行从制度层面提供保证机制并检查工作的落实情况。
(三)常见问题和风险
1.云服务平台安全管理策略与制度不健全,无法有效发挥安全监督作用。
2.云服务安全管理角色及责任定义不清晰,无法有效落实云平台安全管控要求。
3.未定期开展信息安全等级保护检查,无法及时发现现有控制措施与等保的差距,同时存在合规风险。
(四)审计的主要方法和程序
1.合规识别与制度制定
(1)检查组织是否制定了云服务平台安全管理的规章制度,查看其内容是否至少包括云服务平台的安全制度与策略、安全组织与人员的相关规程、评审和更新信息安全规章制度的频率。
(2)访谈系统安全负责人、外部服务提供商、开发商或客户等内外部相关人员,询问传达信息安全规章制度的情况,信息安全规章制度的评审和更新的情况,并检查是否按要求进行了信息安全规章制度的评审和更新。
(3)检查组织是否收集和整理相关的法律、法规、政策和标准要求,并形成合规文件清单。
2.云服务安全管理角色及责任
(1)调阅安全组织与人员策略与规程等相关文档,查看是否明确岗位信息安全职责要求,定义需进行分离的关键职责从而满足关键职责分离要求。
(2)访谈系统管理员、账号管理员或安全管理员等相关人员,询问通过访问控制措施进行职责分离落实的情况。
(3)检查岗位信息安全职责的相关文档,查看其是否有与客户和云服务提供商共同确定涉及云计算服务的安全职责。
(4)检查组织是否对已确立的责任,包括组织自身、客户和云服务提供商进行监管与检查,从而确保安全责任的落实。
3.信息安全等级保护落实检查
(1)检查组织是否基于已部署的云服务平台上存储数据和运行的重要性及受到侵害的程度对其进行等保定级。
(2)检查组织是否基于云服务平台的等保级别定期开展等保落实检查工作,并调阅相关检查文档。
4.资源保障
(1)查阅组织的云服务管理制度文档,检查是否有为云服务平台开发部署和后期运行提供资源保障的承诺描述。
(2)检查工作计划、预算管理过程文档,查看是否有为保护信息系统和服务提供所需资源(如有关资金、场地、人力等)的项目。
(3)访谈信息安全负责人或系统安全负责人等相关人员,询问为保护信息系统和服务所需资源的落实情况。
五、云计算平台的迁移与部署审计
(一)业务概述
是指组织根据自身的安全需求和云计算服务的安全能力要求,制定云计算服务迁移与部署计划并加以实施,确保数据和业务可以安全地向云计算平台进行迁移与部署。
(二)审计目标和内容
1.迁移计划
该控制项旨在检查组织在进行云服务平台迁移、部署前是否制定完善的迁移方案并对迁移过程可能产生的风险进行分析并制定应对方案,从而为后期执行迁移部署提供保证。
2.平台迁移测试与部署
该控制项旨在检查组织是否依据已制定的迁移方案进行部署前的测试,并在部署完成后进行云服务平台的运行测试,从而保证云服务平台满足既定的各项服务指标。
(三)常见问题和风险
1.未制定迁移部署方案或未严格执行迁移部署方案,导致迁移失败或迁移过程中业务中断和数据丢失。
2.未开展针对迁移部署过程的风险分析,无法根据识别出的风险制定应对方案和回退策略。
3.云服务平台部署后,未依据既定的验收标准对平台的功能、性能和安全性进行测试,平台功能未满足预期要求并存在安全隐患。
(四)审计的主要方法和程序
1.迁移计划
(1)检查组织是否制定迁移部署方案(一次性迁移、阶段性迁移)和实施进度计划表,明确参与人员及职责,并查阅方案是否经过审批。
(2)是否制定迁移部署的培训计划并对参与人员进行相关培训。
(3)是否开展针对迁移部署过程的风险分析,如数据丢失、业务中断、部署过程中组织客户数据和资源权限的泄露等,并根据识别出的风险制定应对方案和回退策略。
2.平台迁移测试与部署
(1)检查组织是否根据事前制定的平台迁移测试计划,组织技术力量或委托第三方对云服务平台的迁移(包括数据和系统)进行部署前的测试,查看测试评估报告和整改建议并检查具体整改措施的执行情况。
(2)检查组织是否采取技术手段,确保迁移前后数据的完整性与保密性,并调阅数据完整性测试报告。
(3)检查组织在云服务平台部署后,是否依据既定的验收标准和监控指标对平台的功能、性能和安全性进行监控与测试,在满足要求后投入运行,并调阅运行验收测试报告。
六、云计算平台的安全运维审计
(一)业务概述
云平台投入运行后,虽然客户将部分控制和管理任务转移给云服务商,但最终安全责任还是由客户自身承担。
因此需要对自身的云计算服务运维进行良好的安全管理。
(二)审计目标和内容
1.网络与通信安全
该控制项旨在从两种视角,针对网络与通信安全,检查组织或云服务商是否采取有效的措施,保证云服务平台的安全,包括实施物理和虚拟网络及主机的安全区域划分、安全隔离、安全防护,并采取管理和技术措施确保网络与通信的安全性和可用性。
2.身份鉴别
该控制项旨在检查组织或云服务提供者是否在云计算环境中,针对云用户、租户和管理员采取多种身份鉴别手段,并确保在系统整个生命周期内用户标识的唯一性,以及对主机、虚拟机监视器和管理平台采用证书技术,确保证书的可信度和系统的抗抵赖性,检查整个身份鉴别机制的相关配置是否受到统一控制。
3.访问控制
该控制项旨在检查组织或云服务商是否针对物理资源、虚拟资源、网络与通信和用户与管理员制定相应的访问控制策略并据此执行。
4.恶意代码与入侵防范
该控制项旨在检查组织或云服务商的云服务平台是否具有从基础设施层到资源抽象层的区域边界和恶意代码防护功能,并部署相应的产品;是否制定恶意代码库的升级策略并主动进行更新,并对恶意代码进行自动检测、防范和响应。
5.应用与数据安全
该控制项旨在检查云服务商或组织是否采取措施对云服务平台涉及的重要数据进行有效识别和分类,并从平台数据静态存储、动态传输与数据调用等三方面,检查是否采取措施确保数据的机密性和完整性,以及为确保已识别出的重要数据的可用性采取备份与恢复措施,同时检查云服务平台对外接口的安全性。
6.安全监控与审计
该控制项旨在检查组织或云服务商是否对云服务平台制定安全监测的制度规范与策略,明确安全监控指标和监控对象,至少应包括资源类、安全事件和操作行为,并就云服务平台的运营管理开展安全审计。
(建立日志留痕记录)
(三)常见问题和风险
1.云计算服务系统安全区域划分不合理,导致安全要求覆盖不全面,存在安全风险隐患。
2.云计算服务系统未部署流量检测和清洗设备,无法对异常流量的监控和统计分析,受异常流量影响,导致网络不可用。
3.云计算服务系统身份鉴别机制不严格,导致身份认证机制被绕过,造成重要数据或敏感信息的泄露。
4.云计算服务系统审计功能未开启或审计日志未定期查看,无法及时发现存在的违规操作或风险隐患。
(四)审计的主要方法和程序
1.网络与通信安全
(1)查阅网络拓扑图,并访谈安全管理人员,了解组织或云服务提供商是否对云计算服务系统根据业务安全
升级会员 