隨著雲計算應用的日益深入,雲計算服務正在成為政府採購越來越多的一項內容。 如何保證政府和企業使用雲計算服務的安全性,如何建立採購雲計算服務的安全標準,如何加強雲計算服務的安全監測,已經引起政府主管部門的高度關注。 為保證成員國政府雲計算服務採購的安全,歐盟網路與資訊安全域于2012年4月正式出臺《雲計算合同安全服務水準監測指南》(簡稱《指南》),提供了一套持續監測雲計算服務提供者服務等級協定運行情況的操作體系, 將監測行動科學地引入到全合同週期之中,以達到即時核查使用者資料安全性的目的。
加強安全監測成為雲計算服務發展重要前提隨著雲計算應用的廣泛和深入,雲服務安全隱患問題愈發凸顯,加強安全監測,是發展雲服務的重要前提。
由於雲計算可以大幅降低成本並提高效率,目前各國在公共服務領域採購雲計算服務的金額和比重都呈現快速上升趨勢。 據IDC預測,2013年雲服務利潤將達442億美元,而歐洲雲服務市場也將超過60億歐元。 雖然雲服務的好處不勝枚舉,但也因其多使用者、共用資源等特點,帶來很多風險和不確定性。 特別是隨著雲計算應用的日益廣泛和深入,雲服務涉及的資料安全隱患問題愈發凸顯。 總的來說,雲計算環境的風險主要有3個方面:一是政策和組織風險,如喪失一定的管理權、被迫鎖定于某一個或某幾個雲服務提供者(CSP)等;二是技術風險,如使用者間的資料隔離失效、資料刪除不完全、內部人員惡意操作等;三是法律風險, 如資料保護風險等。 可見,加強安全監測和防範風險,無疑是發展雲服務的重要前提。 這不僅有利於發揮規模效應,還會使CSP具有差異化競爭優勢和更及時有效的更新能力。
出臺《指南》是歐盟雲服務安全部署關鍵環節為了持續保障雲服務安全,歐盟出臺了《雲計算合同安全服務水準監測指南》,將評估工作貫穿整個合同期。
早在2009年,歐盟網路與資訊安全域(ENISA)就啟動了相關研究工作,先後發佈了《雲計算:好處、風險及資訊安全建議》和《ENISA雲計算資訊安全保障框架》,使公共部門對雲服務提供者進行預評估,確定是否採購其服務。 2011年,ENISA又發佈了《政府雲的安全性和復原力》報告,為公共機構提供了決策指南。 ENISA還調查了歐洲140多個公共機構在雲服務採購方面的做法,為進一步出臺詳細的操作指南奠定了基礎。 然而,以上部署主要關注在雲服務提供前期如何規避安全風險。 為了在整個合同期持續地保障雲服務安全,2012年4月,ENISA制定併發布了《雲計算合同安全服務水準監測指南》。 《指南》重點關注公共服務領域的合同,將評估工作貫穿整個合同期。 這將有助於對雲服務的資料安全持續監測,為雲服務採購者提供指導,推動產業進入一個全新的發展階段。
《指南》八項指標體系反映SLA運行情況《指南》從SLA角度出發,為客戶提出了包括服務可用性、事故回應、資料生命週期管理等8個指標體系。
由於雲服務的安全性主要由雲服務提供者掌控,而客戶與供應商的互通主要是通過服務等級協定(SLA)。 因此,本《指南》主要從SLA角度出發,為客戶提出了包括服務可用性、事故回應、服務彈性、資料生命週期管理等8個方面的一整套持續監測其服務提供者SLA運行情況的指標體系, 旨在通過對這8項反映SLA運行情況的關鍵指標的持續監測和預警,説明客戶達到核查其資料安全性的目的。
服務的可用性:可用性是指在一定的時間內,服務請求和服務時間得到滿足的占比。 在服務協定中,必須明確給出關於服務可用性狀態的描述。 目前,已經出現了很多用於監測網路連接狀態的服務和產品,以及依靠雲服務提供者的監測工具。
事故回應:事故是指服務非正常提供的狀態,以及引起或可能引起服務中斷或服務品質下降的事件。 根據資訊技術基礎架構庫(ITIL)模型,對事故的監測和回應等級通常由兩個因素決定:一是嚴重性,根據事故的嚴重性分級進行確定。 二是回應時間,是指進行補救的時間服務彈性與負載公差:彈性可以在數量上描述為在一個執行期內失敗資源配置占全部配置要求的比例。 一些CSP提供冗余能力服務,這不但可在其他使用者使用時保證一定的彈性,而且更重要的是,對災害恢復時期意義重大。
資料生命週期管理:主要用於測量供應商資料處理的效率和效益,包括服務的備份或資料複製系統、匯出資料的能力和資料丟失防護系統。
技術合規性和漏洞管理:用於衡量雲服務是否符合技術安全政策,包括控制的準確性和漏洞處理能力。 監測技術的合規性和漏洞管理,往往要根據偏離基準線安全政策的程度進行。
變更管理:用於對與系統安全屬性和配置有關的重要變更進行監測和管理。 在簽署合同時需要制定一個清單明細,如果清單上的專案發生變更,應向使用者發出通知。
資料隔離:是一種功能性的要求,必須即時進行。 資料隔離可確保不同的客戶資料和服務的保密性、完整性和可用性,並保護資料免受未授權協力廠商使用者的訪問。
日誌管理與取證:包括獲取使用者使用雲資源的歷史資訊。 按照其內部控制、合規、審計、法律和監管要求,客戶可能需要獲取以下資訊:哪些使用者在何時、何處、對哪些資料進行怎樣的處理。
《聯邦風險和授權管理計畫(FedRAMP)》是美國聯邦政府機構在採購雲服務時須遵守的操作指南。 該計畫不僅制定了安全要求,同時也監測安全措施的執行情況,例如每季度定期發佈漏洞掃描報告。 FedRAMP很可能成為美國雲服務公共合同監測的參考基準。
(責任編輯:杜慶先)