如今，越來越多的企業(yè)愿意將自己的業(yè)務(wù)部署并擴展到云端。然而對于企業(yè)的信息安全人員來說，不可輕易跟風(fēng)行事，而應(yīng)當(dāng)發(fā)揮自己的專業(yè)優(yōu)勢，協(xié)助選擇最適合于本企業(yè)系統(tǒng)的云平臺商及其服務(wù)。

數(shù)月前，我們?yōu)榧磳⑿律暇€的項目管理與協(xié)助系統(tǒng)，展開了一次云服務(wù)提供商的“海選”。下面筆者簡單將當(dāng)時所關(guān)注與考核的云平臺基本特質(zhì)與重點要求分享給大家，希望能給各位的工作實踐提供參考與借鑒。

租戶數(shù)據(jù)的保護與存放

1.對租戶所使用的云空間應(yīng)實施邏輯上或物理上的隔離。

2.根據(jù)租戶的協(xié)議需求和當(dāng)?shù)氐姆煞ㄒ?guī)要求，將租戶所分配的磁盤空間、應(yīng)用程序及其數(shù)據(jù)物理上放置在指定的行政轄區(qū)內(nèi)。

3.應(yīng)使用企業(yè)級的加密標(biāo)準(zhǔn)（如 AES256），對在云服務(wù)平臺上存放的租戶靜態(tài)數(shù)據(jù)默認進行加密。

4.應(yīng)使用傳輸層加密標(biāo)準(zhǔn)（如 TLS v1.3），對在云服務(wù)平臺中流轉(zhuǎn)的租戶動態(tài)數(shù)據(jù)執(zhí)行加密保護。

5.應(yīng)對租戶駐留在云服務(wù)平臺中的數(shù)據(jù)執(zhí)行默認數(shù)據(jù)保留策略，為租戶提供數(shù)據(jù)級別的高可用性（HA）。根據(jù)租戶協(xié)議的實際需求，可按需延長。

租戶賬號的訪問與管理

1.確保能為租戶創(chuàng)建全平臺唯一的管理員賬號（ID），租戶籍此登錄云服務(wù)平臺，生成并管理自己的空間與各類應(yīng)用。

2.根據(jù)最小權(quán)限原則，一旦租戶協(xié)議到期或失效，能及時禁用其管理員ID，并重置其登錄密碼。

遠程登錄與運維管理

1.在 通 過 密 鑰（如Regular-rotated SSH）或多因素身份認證（MFA，如一次性密碼、手機短信驗證碼、智能卡）的基礎(chǔ)上，僅允許使用加密的連接方式，遠程訪問或操作云服務(wù)平臺上的虛擬主機或存儲空間。

2.禁止遠程連接的主機將云服務(wù)平臺上的數(shù)據(jù)轉(zhuǎn)移到其本地介質(zhì)上，或轉(zhuǎn)發(fā)到缺乏監(jiān)管的在線資源（如網(wǎng)站/網(wǎng)盤）處。

平臺管理員的權(quán)限管控

1.為避免權(quán)限累積，在平臺管理員出現(xiàn)崗位變動的同時，及時調(diào)整或終止其原有的管理權(quán)限。

2.定期（如每年）或按需（如發(fā)生重大事故或變更后）評審平臺管理員的身份有效性和對應(yīng)的權(quán)限。

3.平臺管理員的任何操作動作都配有相應(yīng)的日志記錄。特權(quán)監(jiān)控示例如下：

（1）賬戶的新建與修改。

（2）系統(tǒng)時間的變更。

（3）應(yīng)用接口的配置。

（4）路由表的添加與修改。

（5）系統(tǒng)的重啟與關(guān)閉。

（6）防火墻及SDN的配置變化。

（7）系統(tǒng)或數(shù)據(jù)庫的恢復(fù)操作。

（8）腳本與計劃任務(wù)的設(shè)置與運行。

（9）對特定日志和審計文件的訪問。

租戶狀態(tài)與事件日志

1.根據(jù)租戶的協(xié)議需求，將租戶系統(tǒng)、應(yīng)用和數(shù)據(jù)庫的狀態(tài)信息，連同平臺本身基礎(chǔ)設(shè)施所產(chǎn)生的各類事件，集中收集并存儲到專有的日志系統(tǒng)處。運用安全措施防止日志數(shù)據(jù)被刪除或篡改。

2.日志數(shù)據(jù)的默認存儲期限默認為半年。根據(jù)租戶協(xié)議的實際需求，可按需延長。

3.云服務(wù)平臺可收集到的租戶狀態(tài)示例如下：

（1）定期（如每5分鐘）收集租戶系統(tǒng)CPU持續(xù)使用率超過60%的流水信息。

（2）定期（如每10分鐘）收集租戶系統(tǒng)內(nèi)存持續(xù)使用率超過70%的流水信息。

（3）定期（如每5分鐘）收集租戶系統(tǒng)入向數(shù)據(jù)量超過一定額度（如200MB）的流水信息。

（4）定期（如每5分鐘）收集租戶系統(tǒng)出向數(shù)據(jù)量超過一定額度（如200MB）的流水信息。

平臺加固與安全態(tài)勢管理

1.針對由云服務(wù)平臺所生產(chǎn)的服務(wù)器、應(yīng)用、數(shù)據(jù)庫和存儲空間等各個涉密過程與環(huán)節(jié)，采取SOC-2級的強密碼策略。

2.根 據(jù)“Deny-all”的策略，默認關(guān)閉服務(wù)器、應(yīng)用、和數(shù)據(jù)庫鏡像的所有服務(wù)和端口（知名服務(wù)與端口除外）。根據(jù)租戶協(xié)議的實際需求，逐一開啟并予以備案。

3.根據(jù)OWASP Top 10（如A5-安全配置的缺失），持續(xù)定制、維護并更新待交付的鏡像基線。

4.定期對云服務(wù)平臺本身的基礎(chǔ)設(shè)施，特別是Hypervisor層采取漏洞掃描、滲透測試、并實施安全加固等深度防御策略，以防御來自縱向外部的威脅、和橫向租戶之間的攻擊。

5.經(jīng)由模擬生產(chǎn)環(huán)境測試之后，方可將系統(tǒng)與應(yīng)用的升級補丁、以及加固的策略部署、并實施到平臺和租戶的真實生產(chǎn)環(huán)境之中。

狀態(tài)監(jiān)控與抗攻擊性

1.應(yīng)具有對抗APT的能力，對由網(wǎng)絡(luò)邊界所產(chǎn)生的、且夾雜在正常流量中的數(shù)據(jù)予以識別。

2.通過提供ADS服務(wù)，對可能產(chǎn)生的DDoS予以流量清洗和CC攻擊的防御。

3.具有全網(wǎng)視圖的分析工具，根據(jù)預(yù)先定義的條件和閾值，實時針對諸如內(nèi)部租戶的使用占比、違規(guī)情況、以及對外部惡意入侵等行為提供監(jiān)控與分析。

風(fēng)險與威脅管理

根據(jù) SOC-2 Type II，制定風(fēng)險評估與管理的流程。要點示例如下：

（1）評估實施方：自行+第三方。

（2）評估頻率：定期（如每年）+按需（如發(fā)生重大事故或變更后）。

（3）評估方式：自動化掃描+手動專項測試。

（4）威脅源獲取方式：軟硬件廠商公告+威脅情報服務(wù)（如CVE+CNVD）。

業(yè)務(wù)連續(xù)與災(zāi)難恢復(fù)

以DRaaS的交付方式、保障租戶協(xié)議中所承諾的MTTF，并提供接近零恢復(fù)點目標(biāo)（RPO）的業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)（BC/DR）服務(wù)。

根據(jù)租戶協(xié)議的實際需求，提供可視化的恢復(fù)過程監(jiān)控，和BC/DR的定期演練結(jié)果報告。

事件受理與事故響應(yīng)

1.云服務(wù)平臺方和各租戶雙方，在實施任何配置變更與測試之前，都應(yīng)提前相互通知與備案。

2.云服務(wù)平臺方根據(jù)ITIL的服務(wù)標(biāo)準(zhǔn)與分類，向各租戶提供統(tǒng)一的需求受理與響應(yīng)平臺。

3.根據(jù)租戶協(xié)議的實際需求，云服務(wù)平臺可提供相關(guān)API、數(shù)據(jù)格式、標(biāo)準(zhǔn)化工具和支持文檔，以協(xié)助租戶管理和調(diào)用平臺資源、實現(xiàn)服務(wù)的部署與編排、數(shù)據(jù)的導(dǎo)出與導(dǎo)入、以及系統(tǒng)遷移等操作。

4.具有完備的事件處理流程，包括：識別→分類→調(diào)查→取證→抑制→根除→恢復(fù)→整改，并通過更新與演練保持的可行性。

資質(zhì)與等保

1.應(yīng)通過并實施ISO/IEC 27018標(biāo)準(zhǔn)，對租戶數(shù)據(jù)的隱私提供保護。

2.根據(jù)網(wǎng)絡(luò)安全法要求，在避免泄漏的前提下，具有完備的數(shù)據(jù)脫敏與銷毀的流程與規(guī)范。

3.應(yīng)向云平臺管理人員例行傳授安全意識與操作技能培訓(xùn)。

4.定期審查各種賬戶權(quán)限、數(shù)據(jù)操作、介質(zhì)處置和事故處理的相關(guān)報告。

5.嚴格遵守網(wǎng)絡(luò)安全等保要求，保障站點的物理安全。

結(jié)語

根據(jù)上述所列的云服務(wù)平臺遴選要求，我們謹慎客觀地選出了適合與本企業(yè)實際業(yè)務(wù)需求的平臺服務(wù)提供方。

如今，我們的在線項目管理與協(xié)助系統(tǒng)已經(jīng)完成了部署并運行了一段時間，我們與云平臺方也保持著良好的互動與合作。可見，雖然云服務(wù)能給我們帶來更多的靈活與便利，并降低了擴容與試錯的成本，但是正所謂“磨刀不誤砍柴工”，任何云項目的成功都將受益于前期基礎(chǔ)平臺的嚴選。