除了通过合同管理风险(《CSA云计算关键资产重点领域安全指南4.0版》第2.1节“数据治理”)之外,你还可以对存储到云资源中的数据实施控制。有多项云服务就是用来帮助你把数据从你的本地系统叠加或复制到云端的,可在管理和数据治理方面实现更高的一致性。
身份管理是这种方法的核心,上述指南的域12介绍了复制或共享身份的策略,以及跨云供应商的单点登录和联合身份等访问控制选项。自带密钥(BYOK)可为数据访问提供补偿性控制;你可以把自己的密钥导入基于软件的密钥管理系统,或导入云供应商提供的专用硬件安全模块。
有三种基本方法可以做到这一点:
1. 传输前给数据加密;
2. 对传输和存储服务都使用加密;
3. 采用以数据为中心的安全保护措施。
《CSA云计算关键资产重点领域安全指南4.0版》第5.1.2节说明了这些方法面对在云端移动和使用数据的情况可以发挥怎样的作用。这里的要求是,在使用这些方法之前,你应该制定好自己的数据治理战略并清楚应该如何对这些方法做出权衡取舍。
该指南第11章介绍了支持这些战略的具体技术。如果你选择在将数据移动到云端之前进行加密,或者在全企业范围执行一种加密解决方案,那么,你要么应该为云端的数据访问镜像本地密钥和加密功能,将本地控制与云端原生服务结合到一起使用,你要么应该把自己的现行加密解决方案带到云端代替云原生服务。
如果你选择在服务层给数据传输(例如TLS、VPN)和数据存储(例如卷、对象、数据库)加密,你可以用云原生功能或者你偏好的加密解决方案来保护会接触传入的数据的每项服务。屏蔽和令牌化等以数据为中心的安全工具可以用来在数据向云迁移之前转换这些数据。
虽然有些静态屏蔽解决方案是不可逆的,但是如果你需要将令牌反转为原始数据值,你要么需要在本地执行这一操作,要么将现有令牌化服务带到云端执行去令牌化处理。不过这三种方法都可以提供安全的数据传输和存储,并能把信息复制到多个云服务模型。
大多数云供应商跟你一样害怕流氓管理员访问你的数据,因为这种“黑天鹅”事件可能会严重影响他们的声誉和估值。因此,他们会全力确保自己手下的管理员无法在未经事先批准和没有接受全面审计的情况下访问客户数据、加密密钥和系统。但是这种风险不管有多小,也毕竟是一种风险。
更有可能的风险是云供应商被迫根据《CSA云计算关键资产重点领域安全指南4.0版》“域3:法律问题、合同和电子发现”所述法院命令提供访问权。你的“风险管理”(域2)和“信息治理”(域5)计划需要考虑这些风险。
在极端情况下,你必须最大限度减少乃至排除云供应商或敌对外部方对你的数据的所有访问;云服务组合、自带加密以及把数据屏蔽用作数据编辑形式的令牌化等数据管理控制,可以提供充分隔离和保护。
大多数基础设施即服务供应商现在提供了“可信执行环境”——但计算节点的费用会增加。代码和数据以完全加密的方式传递到这些服务器,并且只在管理程序层以下解密,因为它们被加载到安全硬件中,其他进程无法查看或更改。
将可信执行与自带加密、自带密钥(例如域11所述用于SaaS、PaaS、IaaS的BYOK)和密钥管理软件(例如域10和11所述用于PaaS/IaaS的自带加密)相结合,你将能完全控制数据存储和使用中的数据。
你可以。
各大SaaS、PaaS和IaaS供应商都提供把密钥从你的本地HSM导入密钥保管库或云HSM的功能,《CSA云计算关键资产重点领域安全指南4.0版》域11对此有详细描述。集成的程度会因具体情况的不同而各异,这取决于云供应商以及你选择使用本地HSM还是云HSM。你可能需要手动执行导入,但是你会得到最高可达FIPS 140-2安全3级的安全保护。云供应商从HSM用你导入的主密钥派生密钥,用于给各种服务(例如对象、卷、数据库)中包含的数据加密。
《CSA云计算关键资产重点领域安全指南4.0版》中几乎每个域都谈到了监控,但却很少有提供如何实现监控的具体事例的。另外没有说明的是,日志功能对大多数公共云供应商来说多少算是新功能,而监控这些日志以获取与安全相关的事件或合规报告肯定是才刚刚起步。云计算供应商在这方面做得越来越好,但是日志文件却很少能反映活动的全貌。
现实地说,如果你想监控云中的活动,你将需要混合使用云和第三方工具。除了来自你自己运行的服务器、容器和应用程序的日志文件之外,主要需要综合收集云提供的服务日志和身份日志。这意味着你需要借助所有来源,甚至可能需要用数据仓库或日志记录工具来补充事件存储。
好消息是,有些云如今可以提供过滤和路由它们生成的事件的能力以及创建基本安全策略的能力(这些策略实际上监控着云事件),同时还可以在日志中发现情况时发出警报。这些同样都是基本监控功能,你可能需要将一部分日志数据移回本地来实施监控、发出警报和生成报告,或者可能需要在云端创建这方面的基础设施。
把应用程序日志、系统日志和Web网关事件传输给Hadoop集群、Elastic Stack、Splunk乃至到云中运行的SIEM设施的做法已经非常普遍。然后,由这些设施利用与本地使用的报告和分析功能相同的功能提供一致的报告。
《CSA云计算关键资产重点领域安全指南4.0版》域8(“虚拟化和容器”)简要论述了容器安全。具体而言,该指南第8.1.4节涉及了四个方面的内容:
1. 基础设施安全;
2. 管理层面;
3. 镜像仓库;
4. 容器内容安全。
基础设施至关重要,因为安全保护较差的操作系统允许用户访问服务器上的所有数据和秘密,甚至可以控制服务器本身。
容器管理通常由所谓“编制管理器”(Orchestration Manager)执行,其中最常见的是Kubernetes和Swarm。这两款编制管理器都是非云原生的,而不幸的是,它们的默认设置都非常不安全。引导新容器要求签发凭证和秘密,用于访问操作所需要的数据。来自主要供应商和云原生系统的镜像存储库确实提供了安全的镜像存储以及数字签名功能,可保证容器镜像不曾被人篡改。
《CSA云计算关键资产重点领域安全指南4.0版》虽然提供了一些路标,把你引向需要注意的领域,但是它缺乏工具和具体说明。为了弥补这些差距,该指南建议用秘密管理技术向运行中的容器签发凭证,并用透明硬盘或文件加密来存储敏感数据,只允许你认为合适的容器访问。
该指南还建议利用容器存储库提供的代码/容器签名系统,并强制要求容器编制系统只可使用注册表中得到批准的容器。此外,如果你指定由自己的操作系统来运行容器,就像指南域8建议虚拟服务器那样,你需要花费大量时间确保把操作系统配置成专门用于容器的安全变体。“云身份和访问”控制将限制哪些人可以访问或管理容器以及周围的容器基础设施和安全工具。
云供应商将提供访问日志,你可以把这些日志与编制日志结合到一起来对活动进行检查。
多租户环境的安全起始于你对潜在云服务提供商(CSP)的提问。有一种得到一致认可的工具可供你用来比较多家供应商的多租户解决方案,这就是云安全联盟的“共识评价倡议问卷”(CAIQ)。你可以把这份调查问卷拿给每家供应商,由他们填写好后逐个比较他们的答案。CAIQ被划分成多个“安全控制域”,可用来教育你本人、你的用户,并能使你从多租户供应商处获取客观信息。至于你究竟准备让被你选中的供应商必须在多大程度上符合调查问卷内容,由你自行决定。
因此,如果你无法得到单租户解决方案,在最好的情况下,你可以从多租户供应商那里得到所有数据都都会被加密的保证,而密钥由你自己持有。
责任共担模型是一种被广为接受的工具,可帮助人们深入认识到,云的安全该由云供应商负责云,而云中数据的安全,该由云买家负责。
你几乎肯定要负责本地和云中数据的安全。随着你的工作负载迁移到多家云供应商,你可能需要通过了解以下问题来确保自己对数据在云端的安全有充分信心:
l 你是否遵守了内部和行业数据保护规定?
l 你的云供应商收到法院传票时,你的数据是否还受保护?
l 你是否能够安全地将数据从一家云供应商快速转移到另一家云供应商?
根据云安全联盟(CSA)的定义:
[它]是致力于定义最佳实践规范并提高人们对这些规范的认识,以帮助确保云计算环境安全的世界级领导组织。CSA借助行业从业者、协会、政府及其企业和个人成员的主题专业知识,提供与云安全相关的研究、教育、认证、活动和产品。CSA的活动、知识和广泛网络使受云影响的整个社区(其中包括供应商和客户、政府、企业家和保险业)受益,CSA还建立了一个论坛,供各方在此协同合作,一起创建和维护一个值得信赖的云生态系统。
尽管各种机构早已认识云计算带来的好处,但是许多机构依然需要制定自己的长期云安全战略并适应不断变化的业务要求。云安全联盟(CSA)的“云控制矩阵”可以帮助你在制定或完善企业云安全战略的过程中确定自己的要求。
根据CSA的定义:
云安全联盟云控制矩阵(CCM)是专为提供基本安全原则而设计的,可指导云供应商并帮助潜在云客户评价云供应商的整体安全风险。CSA CCM提供了一个控制框架,详细说明了与云安全联盟13个域指南相对应的安全概念和原则。云安全联盟控制矩阵的基础是其与其他行业公认的安全标准、法规和控制框架(如ISO 27001/27002、ISACA COBIT、PCI、NIST、Jericho论坛和NERC CIP)的量身定制关系,可对云供应商发布的服务机构控制报告进行补充或提供内部控制指导。
多租户环境的安全起始于你对潜在云服务供应商(CSP)的提问。有一种得到一致认可的工具可供你用来比较多家供应商的多租户解决方案,这就是云安全联盟的“共识评价倡议问卷”(CAIQ)。你可以把这份调查问卷提供给每家供应商,由他们填写后逐个比较他们的答案。CAIQ被划分成多个“安全控制域”,可用来教育你本人、你的用户,并能使你从多租户供应商处获取客观信息。至于你究竟准备让被你选中的供应商必须在多大程度上符合调查问卷内容,由你自行决定。