【YD通讯标准】 云计算安全框架

ICS33.040
中华人民共和国通信行业标准
YD/T3148-2016
云计算安全框架
Securityframeworkforcloudcomputing(ITU-TX.1601,Securityframeworkforcloudcomputing,IDT)2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·.
4概述
5云计算的安全威胁
6云计算的安全携战
7云计算的安全能力
8框架方法
附录A（资料性附录）与云计算安全威胁和挑战相对应的安全能力参考文献·
YD/T3148-2016
YD/T3148-2016
本标准使用翻译法等同采用ITU-TX.1601《云计算的安全框架》。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位：中国信息通信研究院本标准主要起草人：张彦超、谢玮、魏薇。iKAoNiKAca
1范围
云计算安全框架
YD/T3148-2016
本标准分析云计算环境中，云服务客户、云服务提供商、云服务伙伴面临的安全威胁和挑战，并阐明可减缓这些风险和应对安全挑战的安全能力。本标准提供的框架方法适用于在减缓云计算安全威胁和应对安全挑战时，应对安全能力做出的具体规范。2规范性引用文件
3术语、定义和缩略语
3.1本标准定义的术语
下列术语和定义适用于本文件。3.1.1
云计算CloudComputing
有助于网络以按需自助方式调配和管理获取一系列可伸缩和富有弹性的、可共享的物理或虚拟资湿的范式。
云服务CloudService
通过云计算实现的一种或多种能力，通过使用声明接口启动。3.1.3
云服务客户CloudServiceCustomer使用云服务的具体业务关系的一方。3.1.4
云服务伙伴CloudServicePartner支持或辅助云服务提供商或云服务客户活动的合作伙伴。3.1.5
云服务提供商CloudServiceProvider提供云服务的一方。
云服务用户CloudServiceUser
与使用云服务的云服务客户相关联的人。3.1.7
CommunicationsasaService(CaaS)通信即服务
一种类别的云服务，其中为云服务客户提供的能力是实时通信和协作。iKAoNiKAca
YD/T3148-2016
注：CaaS既可提供平台能力类型，也可提供应用能力类型。3.1.8
社区云CommunityCloud
专门支持并由一系列特定云服务客户共享的云部署模式，资源至少由上述客户中的一人控制。注：共享要求包括但不限于任务、信息安全要求、政策和合规性方面的考忠。3.1.9
基础设施即服务
InfrastructureasaService(laaS)一种类别云服务，其中同公服务客产提供的能力类型是一种基础设施能力类型注：云服务客户不管理也不控制下层物理和虚拟资源，但控制操作系统、存储和使用物理及虚拟资源得到部署的应用。云服务客户也可拥有控制特定网络成份（如主机防火增）的有限能力。3.1.10
多租户Multi-Tenancy
物理和虚拟资源的分配方法能够使多租户及其计算和数据相互隔离并无法实现互访3.1.11
网络即服务NetworkasaService(NaaS)一种类别云服务，其中向云服务客户提供的能力为传送连接和相关网络能力。注：NaaS可提供三种云能力类型中的任何一种。3.1.12
相关方Party
自然人或组织。
平台即服务PlatformasaService（PaaS）一种类别云服务，其中向云服务客户提供的能力为传送连接和相关网络能力。注：Naas可提供三种云能力类型中的任何一种。3.1.14
私有云PrivateCloud
专门由一个单一云服务客户享用的云部署模式，资源由云服务客户控制。3.1.15
公共云PublicCloud
可潜在地向任何云服务客户提供的云部署模式，资源由云服务提供商控制，3.1.16
安全挑战SecurityChallenge
一种源自自然或云服务操作环境的安全“困难”（包括“间接”威胁），而非直接安全威胁。3.1.17
SoftwareasaService(SaaS)
软件即服务
一种类别云服务，其中再云服务客户提供的去能力类型为应用能力类型3.1.18
iKAoNiKAca
租户Tenant
共享一套物理和鹿拟资源接入的一组云服务用户。YD/T3148-2016
注：通常且在多租户的环境中，形成一个租户的一组云服务用户将全部属于同一个云服务客户组织。有些情况下可能一组云服务用户涉及来自多个不同消费者的用户，特别是社区云的部署，但这属于特殊例外情况。然而，特定云服务客户组织可在单一会服务提供商那里拥有多个不同租户（或许代表组组中不同的业务部门（如销售与财务）），因为从业务和商业角度出发，可能有充分理由需要将属于这些不同部门的数据和活动保持分离。3.2他处定义的术语
本标准使用下列他处定义的术语。3.2.1
认证Authentication
核实用户、程序或装置的身份，这常常是允许获取信息系统资源的前提条件[NIST-SP-800-53]3.2.2
能力Capability
有能力从事特定活动的品质。[ISO/IEC19440]3.2.3
5DataController
数据控制方
确定个人数据的使用目的和处理方法的人（自已或联合他人或与其他人一道进行）[keydefinition]。3.2.4
5DataProcessor
数据处理方
在个人数据方面，这意味着代表数据控制方处理数据的任何人（而非数据控制方的雇员）[keydefinition]
管理程序Hypervisor
管理主机客户操作系统并控制客户操作系统与物理硬件之间指令流动的虚拟化部分[NIST-SP-800-125],
个人可识别信息PersonallyIdentifiableInformation（a）可被用于识别相关信息与之关联的PII（个人可识别信息）主体，或（b）能被或可能被直接或间接与PII主体联系起来的任何信息[ISO/EC29100]。3.2.7
安全域SecurityDomain
指一套元素，安全政策、安全管理机构和一组与安全相关的活动，其中有关元素须符合相关活动的安全政策，而安全政策则受到有关安全域中安全管理机构的管理[ITU-TX.810]3.2.8
安全事件Securitylncident
指使安全的某个方面受到威胁的有害事件[ITU-TE.409]3.2.9
iKAoNrKAca
YD/T3148-2016
服务水平协议ServiceLevelAgreement（SLA）服务提供商与客户之间书面记录的、明确服务和服务目标的协议。注1：也可在服务提供商与供应商、内部集团或作为供应商行事的客户之间签定服务水平协议。注2：可将服务水平协议纳入合同或另一种文件记录协议之中[ISO/IEC20000-1]。3.2.10
Threat
可能对系统或机构造成伤害的有害事件的潜在起因[ISO/IEC27000]。3.2.11
虚拟机器
VirtualMachine(VM)
对真实机器的高效、隔离和逻辑复制NIST-SP-800-145]3.2.12
同Vulnerability
可由威来源加以利用的信息系统、系统安全程序、内部控制或实施中存在的弱点[NIST-SP-800-30]。
3.3缩略语
下列缩略语适用于本文件。
ApplicationProgrammingInterfaceBusiness Continuity PlanningCommunicationsasaService
CentralProcessingUnit
Cloud ServiceCustomer
Cloud Service Partner
Cloud Service Provider
Cloud Service User
Domain Name System
InfrastructureasaService
IdentityandAccessManagement
Information and Communication TechnologyInternctProtocol
Information Technology
Network as a Service
Operating System
PlatformasaServicewww.bzxz.net
PersonallyIdentifiableInformationPublic Key Infrastructure
Soffware as a Service
Subscriber Identity Module
应用程序编程接口
业务连续性计划
通信即服务
中央处理器
云服务客户
云服务伙伴
云服务提供商
云服务用户
域名系统
基础设施即服务
身份和接入管理
信息通信技术
互联网协议
信息技术
网络即服务
操作系统
平台即服务
个人可识别信息
公钥基础设施
软件即服务
用户身份模块
iKAoNiKAca
4概述
Service Level Agreement
Virtual Machine
服务水平议
虚拟机
YD/T3148-2016
计算是一种有助手网络方便和接需获取一系列可调配资源（如网络、服务器、存储、应用和服务）的服务，这些资源可被服务提供商管理，并迅速得到调配和释放。云计算客户可使用这些资源在任何装置、任何时间和地点以灵活和按需方式开发、托管和运行服务和应用。云计算服务通常以特定服务类别提供，如，基础设施即服务（IaaS）、平台即服务（PaaS）、软件即服务（SaaS）、网络即服务（NaaS）等。这些服务有助于云计算客户在无需建立新的信息通信技术（ICT）基础设施和系统的前提下快速和方便地出台或改变其业务，并获得了按照需要弹性调配资源的机会。例如，某些云服务提供商（CSP）可提供抽象硬件和软件资源服务（如laaS或NaaS)，某些云服务提供商能提供平台服务（PaaS）或应用服务（SaaS），以方便客户和伙伴快速开发和部署并能远程配置和使用应用。在采用云服务方面亦存在着安全威助和挑战，且不同云计算服务部署模式和服务类别的安全要求也不同。由于云计算具有分布式和多租户性质，远程获取云计算服务司空见惯，且每一程序所涉实体众多，因此，云计算比其他范式更易受到内部和外部安全威胁的影响。可采用传统安全程序和机制缓解诸多安全威胁。安全涉及和影响到云计享服务的诸多方面，因此，对云计算服务相关的资源进行安全管理是云计算的一个至关重要的方面。
在将ICT系统过渡到云计算之前，潜在的云服务客户（CSC）应确定其安全威胁（见以下第5章）和安全挑战（见以下第6章）：
根据这些威胁和挑战，应明确一系列安全能力（见以下第7章）。有关这些能力的具体要求不属于本标准的范围，需要根据对已明确的威胁和挑战做出风险评估，提出实施具体云计算服务的相关能力要求，在风险评估基础上，CSC可确定是否采用云计算，并就服务提供商和架构做出知情决定。应通过采用信息安全风险管理框架（如[ISO/IEC27005]确定的风险管理框架）进行上述风险评估。有关推荐使用的框架方法办亦见以下第8章。
本标准对安全成和安全挑战做出区分。安全威与攻击（主动和被动）相关联，但也与环境故或灾难有关。安全挑战是由自然或云服务操作环境产生的困难，如果安全挑战不能得到正确应对，则可能为威胁的产生打开方便之门。本标准在这些得到确定的安全成胁和挑战基础上，描述一系列旨在减缓云计算安全威胁和应对安全挑战的安全能力
5云计算的安全威胁
威胁会对诸如信息、程序和系统等资产带来潜在危害，因此也会对组织造成潜在危害、威助可源于自然，或由人为造成，可以是意外性质，也可以是故意所为。威胁可来自组织内部或外部，威助也可被归类为意外威胁或有意威助，以及主动或被动威胁。所遇到的具体威助在很大程序上取决于选定的特定云服务，例如，对于公共云而吉，威助可源自CSC和CSP之间的职责分工：对数据和程序的责任权方面的规定、数据保护的一致性和充分性以及隐私的保护等。然而，对于私有云而言，威胁购更易于解决，因为CSC控制看由CSP托管的所有租户。尽管本标准确定的一些威胁已由一些行业现有文件涵盖（如ITU-TX.800建议书），但所有威胁均与云计算相关。iKAoNiKAca
YD/T3148-2016
本章阐述云计算环境中可能出现的多种不同安全威胁5.1云服务客户（CSC）的安全威肺下述威胁直接影响到CSC。这些成胁可能影响CSC的个人或企业利益、隐私、合法性或安全。并非所有CSC都将受到所有威胁的影响，CSC的性质不同以及所使用云服务的不同决定了风险不是等同的例如，针对商业视频文档代码转换（trans-coding）的云服务并不要求保护个人可识别信息（PII），但却强烈要求保护数字资产。
5.1.1数据丢失和泄漏
由于云服务环境通常为多租户环境，因此，数据丢失或漏对CSC是一项严重威胁。不能恰如其分地管理加密信息（如加密密钥）、认证代码和接入特权，可能会带来诸如数据丢失和向外界意外泄露数据的极大损害。例如，造成这一威助的主要原因可能是认证、授权和审计控制不足、加密和/或认证密钥的使用不统一、操作失败、处理不当、数据中心的可靠性以及数据恢复情况，且这些与本标准6.1.2、6.1.3和6.1.4所述的挑战相关联。5.1.2不安全的服务获取
身份证书（包括CSC管理员的身份证书）在云计算环境中易于被未经授权的用户加以利用，这是因为云计算不同于传统电信环境，常常难以依赖地点（如有线网络）或特定硬件元系的存在（如，移动签约用户身份模块（SIM））来强化身份认证。由于多数服务为远程提供服务，因此，未得到保护的连接存在潜在漏洞。即使连接得到保护或为局部连接，其他攻击方式（如网上钓鱼、欺诈、社交工程和软件漏洞的利用）也可能获得成功。如果攻击方获得用户或管理员的证书，则他们可以对活动和交易进行偷听、操纵数据、返回假信息，并将CSC的客户机指间非法网站。密码带带被重复用于多个网站和务，这就加大了此类攻击的影响，因为任何一种单一破坏都会使诸多服务面临风险。云计算解决方案还在此之上增加了一种新的威胁：CSC的账户或服务实例可能变成攻击者的新基地。攻击者可以此为起点，充分利用CSC的声誉和资源发起后续攻备5.1.3内部威胁
只要涉及到人，就总是存在个人以与服务安全不一致的方式行事的风险。CSC雇员共用“管理员”密码、不能安全保管证书（如，将证书写在贴在屏幕上的便签上）、用户（或消费者群体中的成员）租心大意或训练无素、心怀不满的雇员的恶意行为等始终会带来重大威胁5.2云服务提供商（CSP）的安全威胁本节明确直接影响CSP的威胁。这类威可能影响到CSP提供服务、开展业务、保留客户的能力对特定CSP的威胁也取决于其提供的服务和环境5.2.1未经授权的管理获取
云计算服务包括CSC员工管理由CSC掌控的云服务部分的接口和款件成份，如，增加或消除CSC麗员账户，、与CSC的自身服务器进行连接，改变服务能力、更新域名系统（DNS）条目和网站等。这种管理接口可成为攻击者选定的自标，攻击者可假冒CSC管理员对CSP发起攻击。由于此类云服务必须由CSC自身员工获取，因此，保护这些服务就成了云计算安全的主要关切。5.2.2内部威胁
只要涉及到人，就永远存在个人以恶意或租心大意方式行事的风险，使服务安全受到威胁。6
TiKAoNirKAca
YD/T3148-2016
CSP雇员共用“管理员”密码、不能安全保管证书（如将证书写在贴在屏幕上的便签上）、粗心大意或训练无素的用户、或心存不满的润员的悲意行为始终会对任何企业都造成重大威胁CSP特别需要认真考患其自身雇员的可信任性：即使对雇员进行过很好的鉴别，也总是会有技能姆熟的入侵者成功获得CSP数据中心员的位置。这种入侵者可能企图破坏CSP本身，或打算渗透自前得到支持的特定CSC系统，尤其当CSC是高度知名的公司或管理机构时。6云计算的安全挑战
安全挑战包含产生于自然或云服务操作环境的困难，而非安全威胁，挑战包括“间接”威胁。间接威胁是指云服务参与者面临的可能对其他方带来有害后果的威胁。本标准确定的挑战如不能得到适当应对，则可能为威打开方便之门。在考虑云计算服务时，应对这些挑战做出考患。
6.1云服务客户（CSC）的安全挑战本节阐述与环境困难相关的安全挑战或间接威胁，这些可能会直接威胁CSC的利益6.1.1职责分工不明确
云服务客户通过不同类别服务和部署模式消费所提供的资源，因此，客户自建的信息通信系统依赖手这些服务。在CSC与CSP之间缺乏明确职责分工可能会带来理念和操作方面的冲突。如果所提供服务的合同相互矛盾，则会导致异常现象或事件的发生：例如，在国际范围内，哪个实体是数据控制方，哪个实体是数据处理方可能并不明确。6.1.2丧失信任
由于云计算服务具有黑盒（black-box）特点，因此，CSC难以确定对其CSP的信任程度，如果无法以正式方式获得并认可提供商的安全水平，则CSC无法评估提供商所实施的安全水平。这种有关CSP安全水平认可的缺乏可能成为一些CSC在使用云服务方面的一项严重安全威胁，6.1.3丧失管理
云服务客户决定将其部分ICT系统过波到云计算基础实施上意味着由CSP部分掌控其自身系统，这可能对SC的数据造成成重威，特别在涉及到提供商的作用和所获得的特权时。如果与此同时还不明确了解云计算提供商的做法的活，则可能会出现配置失当、甚全方使不怀好愿的内部人员发起攻击的借况。
一些CSC在采用云计算服务时，可能担心失去自身对由CSP托管的信息和资产、数据存储、对数据备份的依赖（数据保留间题）业务连续性计划（BCP）措施和灾难恢复等的控制。例如：
，云服务客户希望删除某一文件，但CSP却保留了CSC并不知情的副本·云服务提供商赋予CSC管理员超出后者允许的特权。，一些CSC可能担心CSP向外国政府透露其数据6.1.4丧失隐私
当CSP处理私密信息时，可能对隐私造成侵犯，从而违反了相关隐私规则或法律，其中包括泄露私密信息，或处理私密信息的目的并非为CSC和/或数据主体所授权的目的6.1.5服务的不可用性
YD/T3148-2016
可用性并非为看计环境独有，但由手至计算设计原理是面回服务的，因此，如果上游计算服务不能完全得到提供，则服务提供可能受到影响。此外，由于云计算的依载性是动态变化的，因此为攻击者带来了更多的可能性。例如，对一个上游服务发起的拒绝服务攻击可能影响同一个云计算系统中的多个下游服务。
6.1.6锁定一家云服务提供商
高度依赖单一一家CSP会使由另一家CSP取而代之更加困难，如果CSP依靠非标准功能或格式、且不提供互操作性的话，即会出现这一情况。若被锁定使用的CSP不能解决安全漏洞，则上述情况会变成一种安全威励，从而使CSC在面临风险时无法迁移至另一家CSP。6.1.7盗用知识产权
当CSC的代码由CSP运行或其他资产由后者存储时，则存在该资料被露给第三方或被盗用（用于未经授权的用途）的挑战。这其中可包括侵犯版权或暴露商业秘密。6.1.8丧失软件完整性
一且CSC的代码由CSP运行，则该代码可能被修改或感染，而CSC却无法对此直接掌控，从而使其软件在某种程度上行为异常，尽管这种可能性无法由CSC控制，但它却可严重影响到云服务客户的声答和业务。
6.2云服务提供商（CSP）的安全挑战本节阐述可能会使CSP利益受到更多直接威胁的与环境困难相关的安全挑战或闻接威韧6.2.1职责分工不明确
日在石计算系统中确定不同作用（CSP、CSC以及公服务伙伴（CSN））。职责分工不明铺涉及到诸如数据拥有、接入控制或基础设施维护等问题，这些会影响到业务或带来法律争端（特别是在涉及到第三方或CSP同时也是CSC或CSN时）。当CSP跨多个管辖区开展工作和/或提供服务（合同和协议可能以不同语言拟就或属于不同法律框架）时，这种职责分工不明确的风险进一步加大。亦见以下有关“管辖冲突”的6.2.4。
6.2.2共享环境
云计算在很大范围内实现大量数据共享，因此可节约成本，但这种情况也使诸多接口面临潜在风险。例如，不同CSC同时消费一个至的服务，由此，CSC可在未得到授权时接入租户的虚拟机、网络流量、实际/剩余数据等。这种对另一家CSC资产的未经授权或恶意接入可能使完整性、可用性和保密性受到危害。
例如，多个共同托管在一个物理服务器上的虚拟机器既共享中央处理单元（CPU），也共享由管理程序（hypervisor）予以虚拟化的内存资源，由此产生的挑战涉及到管理程序隔高机制的失效，从而方便了对其他虚拟机的内存或存储器进行未经授权的访问。6.2.3保护机制之间的相互矛盾和冲突由于公计算基确础设施堂非集中架构，因此，其分布式安全模块之间的保护机制可能相互矛盾。例如，由一个安全模块拒绝的接入可能获得另一个模块的许可，这种相互矛盾可能为得到授权的用户带来问题，或可能由攻击者利用，从而使保密性、完整性和可用性受到危害6.2.4管辖冲突
YD/T3148-2016
云中的数据可在数据中心之间、甚或跨国境移动。在不同托管国，数据可能受不同适用管辖区的规管，管辖冲突可能带来法律方面的复杂性，6.2.5，演进风险
云计算的一个优点是从系统设计阶段到实施阶段可推退某些选择，这意味着，只有当要求采用系统相关依赖软件组件的功能得到实现后才选择和实施这些成份。然而，传统的风险评估方法不再适应这种动态演进系统的需求。在设计阶段已通过安全评估的系统在其后期可能出现新的漏润，因为软件成份发生了变化。
6.2.6不良的过渡和集成
同云系统进行过渡往往意味署需要移动大量数据并对配置做出重大修改（如网络寻址）。将一部分ICT系统过渡到外部CSP可能要求在系统设计方面做出重大改变（如网络和安全政策）：占不兼容的接口或相互盾的政策执行所引起的不良集成可能会带来功能性和非功能性方面的影响。例如，在专用数据中心防火墙后运行的鹿拟机器可能在CSP的云中被意外暴露给开放的互联网。6.2.7业务中断
云计算对资源进行分配并将其作为服务子以提供。整个云计算生态系统由多个相互依赖的部分组成，任何一个部分的中断（如断电、拒绝服务或延误）都可能影响到与6.1.5一服务的不可用性一相关的云计算的可用性，并随后导致业务中断。6.2.8云服务伙伴的锁定
云服务提供商的平台是利用来自多家不同供应商的软件和硬件成份构建的，一些成份可能包含对CSP有用的专用功能特性或扩展。然而，依这专用功能特性限制了CSP采用另一家部件供应商服务的能力。
虽然锁定是一个业务问题，本身并非安全威胁，然而，该问题有时会带来安全方面的担忧。例如，如果提供关键部件的CSN停业，则可能无法进一步提供安全补丁。如果部件出现漏洞，则减缓该风险会异常困难或代价高昂。
6.2.9供应链漏洞
如果通过CSP供应链提供的平台硬件或软件威胁到CSC或CSP的安全，则前者会面临风险（如意外或有意引入恶意款件或可被利用的润）。一个有说服力的例子便是CSN的不良代码。如果CSN的代码由CSP运行，如客户界面、虚拟机器（VM）、客户操作系统（OS）、应用、平台部件或审计/监测软件（如伙伴提供服务审计）则存在这一安全挑战。
另一个示例是CSP运行由伙伴提供的代码。如果伙伴不能及时提供必要的安全更新，则CSP面临风险。
6.2.10软件依赖
如发现漏洞，可能无法立即应用更新，因为如此行事会破坏其他软件成份（尽管这些成份可能并不要求更新）。如果由一家或多家CSN而非CSP本身提供的成份之间相互依赖，则这种情况会更为明显。6.3云服务伙伴（CSN）的安全挑战本节说明直接影响CSN的挑战。这类挑战可能影响到CSN开展业务、获得付款、保护其知识产权的能力。特定CSN面临的安全挑战取决于其具体的业务和环境，如开发、集成、审计或其他方面。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。