云计算 信息安全的收益、风险与建议 ------精简版 ENISA 欧洲网络与信息安全 局 1 执行摘要 安全评估基于三种场景：1）中小企业向云环境的迁移，2）云计算对服务弹性的影响，3） 电子政务中的云计算（如电子卫生保健）。 新的经济模式也推动了技术变革： 规模：商品化和实现经济效率的努力导致提供服务所需的硬件资源大量集中。这鼓励规模 经济 - 提供计算服务所需的所有资源。 架构：最佳资源使用需要从底层硬件抽象出来的计算资源。共享硬件和软件资源的无关客 户依靠逻辑隔离机制来保护他们的数据。 计算，内容存储和处理都是大规模分布式的。 最佳建议 保证客户的安全 云消费者需要确保提供者在减轻客户和提供者面临的风险（例如 DDoS 攻击）时遵循可靠的 安全措施和实践。 我们已经将报告的许多建议归纳为获得云提供者安全保障保证的标准问题单：  评估采用云服务的风险;  比较不同的云提供者产品;  从选定的云提供者处获得保证;  减少云提供者的保证负担。 安全检查清单涵盖安全要求的所有方面，包括法律问题，人身安全，政策问题和技术问题。 法律建议 云计算涉及的大多数法律问题目前都将在合同评估期间（即，在不同提供者之间进行比较 时）或谈判中得到解决。 云计算中更常见的情况是在市场上提供的不同合同（合同评估）之间 进行选择，而不是合同谈判。 但是，云服务的潜在客户可能会选择合同可协商的提供者。 与传统的互联网服务不同，云计算的特性使标准合同条款可能需要额外的审查。合同当事 方应特别关注其与安全违规通知，数据传输，衍生作品创建，控制权变更以及执法机构获取数 据相关的权利和义务。 由于云可以用来外包关键的内部基础设施，并且该基础设施的中断可能 会产生广泛的影响，所以各方应仔细考虑标准责任限制是否足以代表责任分配，因为各方使用 云，或者基础设施的责任。 研究建议 为了提高云计算技术的安全性，我们建议优先研究几个领域。以下是我们已经考虑过的类 别，并列举了完整清单中的几个特定例子： 2 在云中建立信任  不同形式的违规报告对安全性的影响  云端和端点之间端到端的数据机密性  高保证级别的云，虚拟私有云等 大规模跨组织系统中的数据保护  取证和取证机制。  事件处理 - 监控和可追溯性 相关法规的国际差异包括数据保护和隐私 大型计算机系统工程  资源隔离机制 - 数据，处理，内存，日志等  云提供者之间的互操作性  云计算的弹性。 云如何提高弹性？ 最大安全收益 安全和规模效益： 规模越大，实施安全措施的成本越低。 相同数量的安全投资能获得更好的安全收益。 这包括各种防御措施，如过滤、补丁管理、 虚拟机实例和虚拟化管理程序的加固等。规 模化的其他好处包括：多个位置、边缘网络 相同数量的安全投资能获得更好的安全 收益。 这包括各种防御措施，例如过滤，补 丁管理，虚拟机实例和虚拟化管理程序加固 等。规模化的其他好处包括：多个位置，边 缘网络（交付或处理更接近其目的地的内 容），事件响应的及时性，威胁管理。 （交付或处理更接近目的地的内容）、事件 响应的及时性、威胁管理等。 安全导致市场差异化： 安全性是许多云消费者的首要考虑事项; 消费者将根据提供者的保密性，完整性和弹 性以及声誉作为选择提供者的依据。 资源集中的好处：虽然资源的集中无疑 对安全会产生不利影响[见风险]，但它具有更 便宜的物理边界限制和物理访问控制（每单 位资源）以及许多安全相关过程的更容易和 更便宜的应用。 标准化的安全管理接口: 安全服务：大型云提供者可为托管安全服务商提供标准化，开放的接口。这为安全服务创 造了更开放和更容易获得的市场。 快速智能的资源伸缩：云提供者动态资源分配使安全防御措施（例如针对 DDoS 攻击）具 有明显的弹性优势。 审计和取证：通过虚拟机的专用付费取证镜像，减少取证分析的停机时间。它还可以为日 志提供更具成本效益的存储。 更及时的发布更新与有效的默认安全配置：对虚拟机镜像和软件模块预先加固，包括更新 最新的补丁以及进行安全设置;同时定期对虚拟基础设施进行快照，并与基线进行比较。 与传 3 统的基于客户端的系统相比，跨平台的平台可以更快速地发布更新，而传统的基于客户端的系 统依赖于修补模型。 资源集中的优势：资源的集中会带来安全问题，但也具有明显的优势，即更便宜的物理边 界限制和物理访问控制（每单位资源）以及许多安全相关过程的更容易和更便宜的应用。 最高安全风险 本文中确定的最重要的云风险类别为： 治理缺失：部分控制权转移给云提供者。 他们的 SLA 可能也不会提供相关的承诺，从而在 安全防范方面留下空白。 厂商琐定：云提供者支持的接口太少，不能保证数据、应用程序和服务的可移植性。这阻 碍了客户向其云提供者的迁移。 隔离失败：不同租户之间的存储、内存、 路由甚至信誉分离机制的失败（例如所谓的 虚机跳跃攻击） 。但是针对资源隔离机制（例 如，针对虚拟化管理程序）的攻击仍然较少， 隔离失败：不同租户之间的存储、内存、 路由甚至信誉分离机制的失败（例如所谓的 虚机跳跃攻击）。 但是针对资源隔离机制 （例如，针对虚拟化管理程序）的攻击仍然 较少，攻击者难以付诸实施。 因为很难实施攻击。 合规风险：迁移到云可能会给云消费者获得合规或监管认证带来风险：  云提供者可能不能提供相关的合规证据  云提供者可能不允许云消费者（CC）审计。 公有云基础设施可能无法实现某些类型的合规性（例如，PCI DSS（4） ） 。 管理平面缺陷：公有云提供者的客户管理平面可通过互联网访问，并具有对大量资源访问 权限，因此会增加风险。 数据保护：云消费者（作为数据控制者）可能难以有效检查云提供者的数据处理实践，从 而确保数据以合法的方式处理。 不安全或不完整的数据删除：删除云资源的操作可能不会导致真正的数据删除。在多租户 和硬件资源重用的情况下，对客户来说具有比专用硬件更高的风险。 恶意的内部人员：恶意内部人员可能会造成非常大的损害。云架构需要特别注意云提供者 系统管理员等高风险角色。 注意：你可以外包职责（谁来做） ，但你不能外包责任（问责） 4 目录 执行摘要...................................................................................................................................... 2 最佳建议.................................................................................................................................. 2 最大安全收益.......................................................................................................................... 3 最高安全风险.......................................................................................................................... 4 目标受众.......................................................................................................................................... 8 云计算 - 工作定义......................................................................................................................... 8 1.云计算的安全收益..................................................................................................................... 10 安全和规模效益.................................................................................................................... 10 安全导致市场差异化............................................................................................................ 10 标准化的安全管理接口........................................................................................................ 10 快速智能的资源伸缩............................................................................................................ 10 审计和取证............................................................................................................................ 10 更及时发布更新和有效的默认安全配置............................................................................ 10 审计和 SLAS 促使更好的风险管理.......................................................................................11 资源集中的好处.................................................................................................................