DTDM

Bảo mật đám mây thể hiện một cơ hội khác để áp dụng các
nguyên tắc và kỹ thuật bảo mật âm thanh cho một miền cụ

thể và để giải quyết một loạt vấn đề nhất định. Chương này
được xây dựng dựa trên các cuộc thảo luận trước đây của
chúng tôi và trình bày nền tảng cho một khung đánh giá bảo
mật đám mây. Nó sẽ có lợi cho các hoạt động trước khi đánh
giá, chứng nhận hoặc công nhận một đám mây.
Chúng tôi bắt đầu bằng cách xem xét công việc hiện có trong
lĩnh vực này và sau đó chúng tôi đưa ra một bộ danh sách
kiểm tra các tiêu chí đánh giá bao trùm phạm vi hoạt động
cùng hỗ trợ bảo mật thông tin cho điện toán đám mây. Mục
tiêu của chương này là cung cấp cho người đọc điện tử một
bộ công cụ có tổ chức có thể được sử dụng để đánh giá tính
bảo mật của đám mây riêng, cộng đồng, công cộng hoặc đám
mây lai. Đánh giá tính bảo mật của đám mây lai có thể được
thực hiện tốt nhất bằng cách quản lý việc đánh giá hai hoặc
nhiều phiên bản đám mây bằng cách sử dụng một bộ danh
sách kiểm tra cho mỗi phiên bản. Ví dụ: nếu kết hợp bao gồm
đám mây riêng và đám mây công cộng, chỉ cần đánh giá các
thành phần riêng bằng cách sử dụng một bộ danh sách kiểm
tra và đánh giá các thành phần công khai vào các lĩnh vực
riêng biệt của chúng. Trong mann nàyer, bạn có thể dễ dàng
so sánh các lựa chọn thay thế đám mây công cộng.
ĐÁNH GIÁ AN NINH ĐÁM MÂY

Hầu hết người dùng của một đám mây, cho dù là đám mây
riêng hay đám mây công cộng, đều có những kỳ vọng nhất
định về bảo mật dữ liệu của họ. Tương tự, chủ sở hữu và nhà
điều hành của một đám mây chia sẻ tính hợp lý để đảm bảo
rằng các biện pháp bảo mật được áp dụng và rằng
101
các tiêu chuẩn và thủ tục được tuân theo. Chúng tôi có thể nắm bắt những kỳ vọng
và trách nhiệm của mình đối với bảo mật bằng cách nêu chính thức chúng trong các
yêu cầu được ghi lại. Ví dụ, bảo mật NIST 800-53 kiểm soát chi tiết các yêu cầu cụ
thể cho các hệ thống chính phủ liên bang. Các hệ thống được cung cấp bởi các cơ
quan chính phủ thường phải tuân thủ các yêu cầu này và các yêu cầu NIST liên
quan. Ma trận điều khiển liên minh bảo mật đám mây áp dụng cách tiếp cận simila r
trong việc chi tiết hóa các yêu cầu bảo mật cho việc triển khai đám mây và có xu
hướng ngày càng tăng bởi người dùng thương mại chấp nhận các yêu cầu thường
được chấp nhận như vậy. Một điểm khởi đầu tốt khi bạn cần đo lường sự hiện diện
và hiệu quả của độ chính xác của đám mây bao gồm có một danh sách các điều
khiển bảo mật được yêu cầu hoặc được đề xuất.
Để bắt đầu, có hai khía cạnh đối với kiểm soát bảo mật trong triển khai đám
mây. Việc đầu tiên phải làm với sự hiện diện của điều khiển. Khía cạnh thứ hai là
hiệu ứng ss hoặc sự mạnh mẽ của điều khiển. Nói cách khác, việc kiểm soát an ninh
là không đủ; sự kiểm soát đó cũng cần phải có hiệu quả. Đi xa hơn, người ta có thể
mô tả điều này như mức độ tin cậy (hoặc đảm bảo) có thể được mong đợi từ những
điều này . Chẳng hạn, một đám mây có thể thực hiện giao tiếp được mã hóa giữa
đám mây và người dùng bên ngoài, nhưng nếu chúng ta đang đánh giá hiệu quả của
truyền thông được mã hóa, chúng ta cũng cần xác minh rằng điều khiển được thiết
kế, thực hiện và xác minh đúng.
Đo lường sự hiện diện và / hoặc hiệu quả của kiểm soát bảo mật (đối với các yêu
cầu bảo mật) phần lớn là những gì đánh giá bảo mật dự định làm. Đánh giá bảo mật
có giá trị rộng như hướng dẫn lập kế hoạch hoặc phát triển bảo mật và để xác minh
rằng các điều khiển cần thiết được thực hiện đúng. Nhưng các đánh giá cũng có tiện
ích cho việc mua sắm dịch vụ đám mây; chẳng hạn, nhà cung cấp đám mây có thể
chọn công bố kết quả cấp cao của bản trích dẫn bảo mật của bên thứ ba . Ngoài ra,
nếu chúng ta so sánh tính bảo mật của hai hoặc nhiều đám mây, điều đó sẽ đòi hỏi
phải có một bộ tiêu chí chung để đánh giá.
Trên cơ sở độ nhạy cảm của dữ liệu hoặc rủi ro dự kiến của một hệ thống, chúng ta
nên trải qua giai đoạn yêu cầu ban đầu trong đó xác định các kiểm soát bảo mật thích
hợp. Nếu sau đó chúng tôi thực hiện đánh giá kỹ lưỡng về quy trình quyết định dẫn
đến xác định các kiểm soát đó và kết hợp đánh giá đó với đánh giá bảo mật về hiệu
quả của các kiểm soát được thực hiện, chúng tôi sẽ hiểu rõ hơn về việc liệu dịch vụ
đám mây tổng thể có một tư thế an ninh âm thanh so với rủi ro mà nó là chủ đề.
Hình 6.1 mô tả mối quan hệ giữa các yêu cầu, ion đánh giá bảo mật của đám mây,
việc triển khai đám mây, khắc phục lỗ hổng và tiếp tục kiểm soát quản lý cấu hình.
Đánh giá bảo mật đám mây
HÌNH 6.1
Từ Yêu cầu và Đánh giá đến Khắc phục An ninh đang diễn ra
Công việc hiện tại về Hướng dẫn hoặc Khung bảo

mật trên đám mây
Trong vài năm kể từ khi điện toán đám mây trở thành một mô hình
mới cho CNTT, một số nỗ lực đã được thực hiện để đưa ra hướng
dẫn về bảo mật đám mây. Những nỗ lực này bao gồm:
n đám mây Liên minh An ninh (C SA). CSA đã rất tích cực trong các
nỗ lực khác nhau, bao gồm: n Ma trận điều khiển đám mây
(CCM). Nỗ lực này được thiết kế để cung cấp các nguyên tắc bảo
mật cơ bản để hướng dẫn các nhà cung cấp đám mây và hỗ trợ
khách hàng đám mây tiềm năng trong việc đánh giá rủi ro bảo mật
chung của nhà cung cấp đám mây. Cloud Điều khiển Matrix cung
cấp một khung điều khiển cung cấp cho sự hiểu biết chi tiết về
khái niệm an ninh và nguyên tắc được liên kết với sự hướng dẫn
của Cloud An ninh Liên minh trong 13 lĩnh vực.” 1
n Đánh giá đồng thuận s Câu hỏi sáng kiến. Nỗ lực này là “tập trung vào việc
cung cấp cách ngành công nghiệp chấp nhận để tài liệu gì kiểm soát bảo mật tồn
tại trong IaaS, PaaS, SaaS và dịch vụ, cung cấp minh bạch kiểm soát an
ninh.” 2
n Hướng dẫn bảo mật cho các lĩnh vực quan trọng cần tập trung trong điện
toán đám mây. V2.1, được xuất bản vào tháng 12 năm 2009, đã trình bày hướng
dẫn bảo mật cho một số lĩnh vực trong điện toán đám mây; những lĩnh vực này
bao gồm kiến trúc, quản trị, bảo mật truyền thống và ảo hóa . n Tên miền 12:
Hướng dẫn quản lý danh tính và truy cập . V2.1, được xuất bản vào tháng 4
năm 2010, thảo luận về các chức năng quản lý danh tính chính khi chúng liên
quan đến điện toán đám mây. Công việc này tạo thành nền tảng của Sáng kiến
Đám mây đáng tin cậy của CSA .
n CloudAudi t. Tìm cách cung cấp cho người chấp nhận đám mây và nhà khai thác
đám mây các công cụ để đo lường và so sánh tính bảo mật của dịch vụ đám
mây. Nó thực hiện điều này bằng cách xác định một giao diện và không gian
tên chung cho phép các nhà cung cấp điện toán đám mây tự động hóa các môi
trường Kiểm toán, Xác nhận, Đánh giá và Bảo đảm (A6) của cơ sở hạ tầng
(IaaS), nền tảng (PaaS) và ứng dụng (SaaS). ” 3
n Cơ quan An ninh mạng và thông tin châu Âu (ENISA). Dẫn đầu các nỗ lực hướng
dẫn bảo mật ở châu Âu, ENISA đã tạo ra một số chính phủ hướng dẫn để áp dụng
an toàn điện toán đám mây. Bao gồm các:
n Cloud Computing: Thông tin đảm bảo khung. Được xuất bản vào tháng 11 năm
2009. Trình bày một bộ tiêu chí đảm bảo giải quyết rủi ro khi áp dụng điện
toán đám mây.
n Cloud Computing: Bến efits, rủi ro và khuyến nghị cho bảo mật thông tin. Xuất
bản vào tháng 11 năm 2009.
n Đánh giá và ủy quyền bảo mật đề xuất của Hội đồng CIO Liên bang cho Điện
toán đám mây của Chính phủ Hoa Kỳ . 4 Tầm quan trọng cốt lõi của tài liệu này
là nó áp dụng các điều khiển bảo mật NIST 800-53R3 cho điện toán đám mây
trong các hệ thống rủi ro thấp và trung bình.
n Nhóm máy tính đáng tin cậy (TCG). Vào tháng 9 năm 2010, TCG đã thành
lập Nhóm Công việc Cơ sở hạ tầng Nhiều Người thuê đáng tin cậy , nhằm phát
triển một hệ thống bảo mật cho điện toán đám mây. Nhóm làm việc cơ sở hạ tầng
đáng tin cậy sẽ sử dụng các tiêu chuẩn hiện có để xác định bảo mật đầu cuối cho
điện toán đám mây trong một khung có thể đóng vai trò là cơ sở cho việc tuân thủ
và kiểm toán.
Tất cả những nỗ lực này là tương đối mới và vẫn chưa được chấp nhận rộng rãi. Hơn
nữa, chúng là các hoạt động ban đầu được dự định là điểm khởi đầu cho công việc
chính thức hơn hoặc là sản phẩm của các nỗ lực cộng đồng hướng tới một khuôn
khổ chung cho bảo mật đám mây. Trong các wo rds khác, có rất nhiều sự không
chắc chắn trong lĩnh vực này. Điều đó gây khó khăn cho những người áp dụng đám
mây, những người cần đánh giá tính bảo mật của đám mây riêng hoặc cộng đồng
của họ và cho những người dùng cần phương tiện để đánh giá tính bảo mật của dịch
vụ đám mây.
Checkli sts để đánh giá bảo mật đám mây
Ngày nay, người dùng chưa có một phương tiện phổ biến và tiêu
chuẩn để đánh giá bảo mật đám mây. Trên thực tế, phần lớn thế
giới điện toán đám mây tiền hôn nhân đã không áp dụng các khung
đánh giá bảo mật bên ngoài các lĩnh vực mà quy định yêu cầu một
chuẩn mực bảo mật hoặc khi bắt buộc phải đánh giá. Nhưng bảo
mật đám mây là một lĩnh vực chuyển động nhanh và tất cả những
nỗ lực chúng tôi đã trích dẫn diễn ra từ năm 2009 đến cuối năm
2010. Việc áp dụng những nỗ lực này đang tăng tốc theo nhiều
cách, đặc biệt là trong không gian của chính phủ với
FedRAMP. B y bản chất của nó, thông qua các đám mây công
cộng là một tác nhân thay đổi về bảo mật. Có một xu hướng định
hình nhanh ở đây, và chúng ta có thể mong đợi sẽ thấy tiến bộ thực
sự trong thời gian tới. Đây là một ví dụ về cách điện toán đám mây
đang kích thích bảo mật tốt hơn trong kinh doanh nếu không có
mối quan tâm lớn về bảo mật nhưng ít cải thiện cho đến khi đám
mây công cộng nổi lên.
CÔNG CỤ
Nhiều công cụ được sử dụng để kiểm tra bảo mật. Chúng bao gồm các loại sau:
n Cảng quét cho mở và đáp ứng dịch vụ n S imple
Network Management Protocol (SNMP)
quét
n liệt kê hoặc lập danh mục thiết
bị n Quét lỗ hổng máy chủ n Phân tích
thiết bị mạng n Kiểm tra và bẻ khóa mật
khẩu
Có một số công cụ cơ bản đã đứng trước thử thách của thời

gian. Chúng tôi bao gồm Network Mapper (NMAP) để quét cổng
và Nessus để quét lỗ hổng máy chủ. Ngoài ra, gần đây đã có một
loạt các công cụ mạnh mẽ cho phép thử nghiệm quốc phòng rộng
rãi để xác định chất lượng, khả năng phục hồi và khả năng bảo
mật liên quan . Các công cụ này cung cấp các bộ thử nghiệm cho
một loạt các nhu cầu bảo mật mạng đám mây.
KIỂM TRA ĐỂ ĐÁNH GIÁ AN NINH ĐÁM MÂY

Mục đích của việc phát triển một danh sách kiểm tra đánh giá bảo
mật đám mây là có một phương tiện thống nhất để xác minh tính
bảo mật của ac và để có được sự đảm bảo từ CSP về bảo mật của
họ. Tuy nhiên, như đã nêu trong phần giới thiệu của chương này,
các danh sách kiểm tra như vậy cũng có thể được sử dụng bởi các
khách hàng hoặc người dùng tiềm năng để so sánh các tùy chọn
bảo mật đám mây được cung cấp bởi các nhà cung cấp khác nhau.
Tái mainder điều này phần quà danh sách kiểm tra hình thành
trung tâm của một khuôn khổ cho việc đánh giá an ninh điện toán
đám mây. Các câu hỏi trong các danh sách kiểm tra này được lấy
từ một số nguồn, bao gồm Ma trận điều khiển đám mây
CSA, 5 Khung bảo đảm thông tin điện toán đám mây ENISA , 6 và
800-53R3 của NIST. 7
CẢNH BÁO
Kiểm tra bảo mật,

đặc biệt là kiểm tra thâm nhập và kiểm tra lỗ hổng, có thể dễ dàng tạo ra cảm giác
an toàn sai lầm. Vấn đề có hai mặt: n Đầu tiên, các thử nghiệm như vậy dựa trên
kiến thức hiện tại về khả năng gây ra v và không thể giải thích cho các khai thác
0 ngày phát sinh định kỳ. Lỗ hổng mới được phát hiện trên cơ sở hàng ngày. Thỉnh
thoảng, các lỗ hổng thậm chí còn được phơi bày cho các hệ thống rất trưởng
thành. Một lần nữa, nhiều lớp phòng thủ của bộ phận phòng thủ trong chiều sâu,
là một chiến lược tốt nhất để chống lại việc khai thác 0 ngày. n Thứ hai, một dự
luật âm thanh của sức khỏe trong các thủ tục thử nghiệm, bao gồm cả sự xâm nhập
hoặc dễ bị tổn thương và phạm vi rộng của các điều khiển hoạt động mà bất kỳ
chương trình bảo mật thông tin phụ thuộc s-không thể được thực hiện như là một
biện pháp an ninh tổng thể.
Nói cách khác, kiểm tra bảo mật, và đặc biệt là kiểm tra thâm nhập, chỉ kiểm tra
hệ thống đích tại một thời điểm và chỉ ở một mức độ hạn chế. Các hệ thống và
cấu hình có xu hướng thay đổi theo thời gian và các lỗ hổng nw có thể bị lộ hàng
năm sau khi một hệ thống được đưa vào sử dụng, thử nghiệm và phê duyệt. Điểm
mấu chốt là các loại thử nghiệm này nên được xem là rất hời hợt và không nên
dựa vào bảo mật để xác định. Điều này đặt ra câu hỏi: Shoul d chúng có được thực
hiện không? Các kỹ sư bảo mật thường đồng ý rằng các thử nghiệm như vậy có
giá trị. Nhưng hãy nhớ điều này: Đối thủ của bạn có thể có nhiều thời gian và
hứng thú hơn với thử nghiệm trên hệ thống của bạn so với hệ thống của bạn so
với bạn, vì vậy hãy nghiêm túc kiểm tra, nhưng đừng dựa vào nó.
Một ứng dụng cho danh sách kiểm tra là chủ sở hữu đám mây có thể sử dụng nó để
hướng dẫn đánh giá bảo mật cho đám mây của nó. Nếu các nhà cung cấp đám mây
sử dụng danh sách kiểm tra như một khung để báo cáo về bảo mật của đám mây của
họ, thì người thuê và người dùng tiềm năng có thể so sánh bảo mật của nhiều đám
mây. Danh sách kiểm tra cũng có thể được sử dụng bởi một khách hàng đám mây
công cộng để hỏi một loạt các câu hỏi có liên quan đến nhu cầu kinh doanh của
khách hàng. Không phải tất cả các câu hỏi này sẽ có liên quan cho tất cả các sử dụng
hoặc mối quan hệ kinh doanh.
Mỗi phần sau đây được tổ chức xung quanh một tập hợp các điều khiển hoặc yêu
cầu liên quan chặt chẽ. Hình 6.2 trình bày tổng quan về các phần trong danh sách
kiểm tra đánh giá và liệt kê các nhóm điều khiển hoặc yêu cầu cho từng phần.
ITY NỀN TẢNG

Một chính sách an ninh xác định yêu cầu hoặc quy tắc của tổ chức để bảo mật. Chính
sách bảo mật mô tả các ràng buộc và yêu cầu mà các cá nhân và nhóm phải hoạt
động theo, và nó đóng vai trò như một tuyên bố về ý định quản lý để đảm bảo an
toàn . Các hành động được thực hiện liên quan đến bảo mật phải được truy nguyên
rõ ràng theo chính sách bảo mật. Một số loại chính sách có thể tồn tại, bao gồm
chính sách bảo mật tổng thể cũng như các chính sách bổ sung nhằm giải quyết vấn
đề Bảo mật cơ sở hạn chế hơn
HÌNH 6.2
Tổng quan về Danh sách kiểm tra đánh giá
các lĩnh vực (như chính sách sử dụng được chấp nhận ). Chính sách
bảo mật tập trung vào việc đạt được kết quả mong muốn, chứ không
phải vào việc triển khai cụ thể.
Tăng cường các chính sách như vậy là các tuyên bố khác về các
yêu cầu cho các lĩnh vực cụ thể. Chúng thường được định nghĩa
là các tiêu chuẩn và bao gồm các lĩnh vực cụ thể như kiểm soát
kỹ thuật hoặc các yêu cầu cứng cụ thể. Tiêu chuẩn nhà nước hành
động bắt buộc hỗ trợ chính sách. Nguyên tắc là một lớp tài liệu thứ
ba ít chính thức hơn và có định hướng hơn đối với các thực tiễn
tốt nhất về thủ tục. Đây là các khuyến nghị hoặc mô tả về các thực
tiễn hỗ trợ các mục tiêu của chính sách bảo mật bằng cách mô tả
một khung để thực hiện các thủ tục. Nói cách khác: Một chính
sách nêu rõ lý do tại sao , một tiêu chuẩn nêu rõ điều gì và một
hướng dẫn nêu rõ cách thức . Danh sách kiểm tra 6.1 bao gồm các
yếu tố bảo mật cơ sở liên quan đến chính sách, tiêu chuẩn và
hướng dẫn. Danh sách kiểm tra 6.2 bao gồm các tiêu chí đánh giá
tha t được tập trung vào tính minh bạch của CSP.
DANH SÁCH SÀNG 6.1: CHÍNH SÁCH, TIÊU CHUẨN VÀ

HƯỚNG DẪN 8-10
n Chính sách bảo mật đã được ghi chép rõ ràng, phê duyệt và đại diện
cho tất cả các bên liên quan như thể hiện ý định của ban quản lý
chưa?
n Chính sách bảo mật có hợp pháp, quyền riêng tư và
đánh giá quản trị khác không? n Chính sách bảo mật đã
được tăng cường bởi các tiêu chuẩn và / hoặc hướng dẫn
bảo mật chưa? n Chính sách đã được tăng cường bởi
chính sách quyền riêng tư
chưa?
n Các chính sách bảo mật và quyền riêng tư, như w ell là tiêu chuẩn và
hướng dẫn, có phù hợp với tiêu chuẩn ngành (như 27001, CoBIT,
v.v.) không?
n Các nhà cung cấp bên thứ ba có tuân theo các chính sách và tiêu chuẩn giống
nhau không?
KIỂM TRA 6.2: DỊCH VỤ 11 1113

n CSP có cung cấp cho khách hàng một bản sao của các chính sách, tiêu chuẩn và
hướng dẫn chi phối không?
n Khách hàng có được thông báo về những thay đổi đối với chính sách, tiêu
chuẩn và hướng dẫn chi phối không? n CSP có cung cấp cho khách hàng khả
năng hiển thị trong kiểm toán tuân thủ của bên thứ ba không?
n CSP có cung cấp khả năng hiển thị cho các thử nghiệm thâm nhập
không? n CSP có cung cấp cho khách hàng khả năng hiển thị trong kiểm toán nội
bộ và bên ngoài không? n CSP có cung cấp cho khách hàng khả năng quản lý tài
sản CSP và tái sử dụng thiết bị không?
Bảo mật nhân sự cho một đám mây là một nền tảng mà bảo mật hoạt động cư
trú. Mục đích của bảo mật nhân sự là để tránh một số loại rủi ro bảo mật và tạo ra
một môi trường củng cố các mục tiêu được nêu trong an ninh poli cy. Danh sách
kiểm tra 6.3 liệt kê các tiêu chí đánh giá liên quan đến an ninh nhân sự.
KIỂM TRA 6.3: BẢO MẬT CÁ NHÂN 14 Dây16

n Có chính sách và thủ tục cho:
n Thuê nhân viên, những người sẽ có quyền truy cập hoặc kiểm soát các thành
phần đám mây?
n trước khi tuyển dụng che cks cho nhân viên có quyền truy cập đặc quyền?
n Chính sách bảo mật nhân sự có nhất quán giữa các địa điểm không? n Chúng có
áp dụng cho các hệ thống và dữ liệu đám mây trực tuyến cũng như cho các hệ
thống ngoại tuyến lưu trữ dữ liệu hoặc cho các hệ thống ngoại tuyến sẽ được cung
cấp để sử dụng trực tuyến không? n Có chương trình giáo dục an ninh không, và
nếu vậy, nó rộng đến mức nào? n Bảo mật nhân sự có thường xuyên được xem xét
để xác định xem nhân viên có quyền truy cập có nên tiếp tục truy cập
không?
n Nhân viên có cần phải có và duy trì các chứng chỉ bảo mật
không? n Có quyền truy cập vật lý vào cơ sở của CSP yêu cầu kiểm
tra lý lịch không?
Việc sử dụng các nhà thầu phụ hoặc nhà cung cấp bên thứ ba có thể tạo ra rủi ro
không đáng có cho khách hàng trừ khi các nhà cung cấp đó tuân theo và hoạt động
theo các điều khoản của CSP pol . Danh sách kiểm tra 6.4 tiêu chí chi tiết cho các
nhà cung cấp bên thứ ba.
KIỂM TRA 6.4: CUNG CẤP BÊN THỨ BA 17 L1919

n Có bất kỳ dịch vụ hoặc chức năng nào được cung cấp bởi bên thứ ba
không? n Nếu bất kỳ phần nào của đám mây được ký hợp đồng phụ hoặc thuê
ngoài, bên cung cấp có tuân thủ chính sách và tiêu chuẩn tương tự mà CSP thi
hành không? n Nếu được sử dụng, các nhà cung cấp bên thứ ba có được kiểm
tra về việc tuân thủ các chính sách và tiêu chuẩn của CSP
không?
n Chính sách bảo mật CSP (hoặc tương đương) và quản trị có mở rộng cho tất cả các
nhà cung cấp bên thứ ba không?
Cân nhắc kinh doanh
TƯ VẤN KINH DOANH

Các cân nhắc kinh doanh khác nhau mang theo sự cần thiết phải
xem xét bảo mật. Cân nhắc kinh doanh bao gồm các vấn đề pháp
lý, liên tục kinh doanh và cung cấp tài nguyên. Tiêu chí đánh giá
cho những cân nhắc này được liệt kê trong Danh sách kiểm tra 6.5
(vấn đề pháp lý), 6.6 (liên tục kinh doanh) và 6.7 (cung cấp tài
nguyên).
KIỂM TRA 6.5: PHÁP LÝ 20 Từ22
n Trường hợp ở đâu trong phạm vi quyền
hạn mà dữ liệu sẽ được lưu trữ? n ở đâu-
trong đó thẩm quyền-là CSP kết
hợp?
n CSP có sử dụng các nhà cung cấp bên thứ ba không nằm trong cùng khu vực
không?
n CSP có ký hợp đồng phụ bất kỳ dịch vụ hay nhân sự nào
không? n CSP có sử dụng dữ liệu của khách hàng theo bất
kỳ cách nào không phải là một phần của dịch vụ
không?
n CSP có quy trình được lập thành văn bản để đáp ứng các yêu cầu
pháp lý (như trát đòi hầu tòa) cho dữ liệu khách hàng không?
n Trong trường hợp trát đòi hầu tòa, CSP sản xuất d ata cho một
khách hàng như thế nào mà không cung cấp dữ liệu
nonsubpoena?
n CSP có được bảo hiểm chống lại tổn thất, bao gồm cả tiền thù lao
cho tổn thất của khách hàng do mất CSP hoặc tiếp xúc với dữ liệu
không?
Tính liên tục trong kinh doanh có thể rất quan trọng đối với những khách
hàng sử dụng dịch vụ dựa trên đám mây theo cách thức quan trọng. Các
tiêu chí liên quan đến tính liên tục trong kinh doanh được liệt kê trong
Danh sách kiểm tra 6.6.
KIỂM TRA 6.6: TIẾP TỤC KINH DOANH 23 Vang25

n CSP có một quy trình chính thức hoặc kế hoạch dự phòng mà các tài liệu
và hướng dẫn liên tục kinh doanh không?
n Mục tiêu điểm khôi phục dịch vụ (RPO) và mục tiêu thời
gian phục hồi (RTO) là gì? n Bảo mật thông tin không thể
thiếu để phục hồi và phục hồi? n Làm thế nào để CSP truyền
đạt sự gián đoạn dịch vụ cho khách hàng? n Có một trang
web thứ cấp để khắc phục thảm
họa?
Tính liên tục trong kinh doanh là một chủ đề phức tạp đảm bảo
mức độ bao phủ lớn hơn nhiều so với có thể có trong một cuốn
sách bảo mật đám mây. Người đọc quan tâm được khuyến khích
nghiên cứu một số lĩnh vực chủ đề liên quan, bao gồm lập kế hoạch
liên tục kinh doanh cùng với kế hoạch dự phòng và khắc phục
thảm họa. Có nhiều nguồn trong các lĩnh vực này, bao gồm:
n ANSI / ASIS SPC.1-2009 Resilienc tổ chức e: Bảo mật, chuẩn bị và
hệ thống quản lý liên tục Yêu cầu đối với các hướng dẫn đối
với
Sử dụng Tiêu chuẩn Quốc gia Hoa Kỳ n Đặc biệt Viện
Khoa học và Công nghệ Quốc gia (NIST)
Ấn phẩm 800-34, Hướng dẫn lập kế hoạch dự phòng cho các hệ
thống công nghệ thông tin
n Hướng dẫn thực hành tốt, có thể được tải về từ www. thebcicert
ve.org/bci_gpg.html
n Viện liên tục kinh doanh, đặt trực tuyến tại www.thebci.org
Sử thi thất bại

Theo báo cáo trực tuyến của Đức Zeit Online 26 vào ngày 18 tháng 2 năm 2011, một
lỗi trong hệ thống thanh toán của nhà cung cấp đám mây đã làm tê liệt quyền truy
cập của công ty Đức vào email và tài liệu trực tuyến trên đám mây SaaS. Mặc dù
thực tế trong trường hợp này không hoàn toàn rõ ràng tại thời điểm chương này
được viết, nhưng nó sẽ đóng vai trò cảnh báo: Bất kỳ hệ thống quản lý khách hàng
hoặc kế toán của nhà cung cấp đám mây nào cũng có thể bị lỗi và trong trường hợp
cực đoan, điều này có thể dẫn đến một doanh nghiệp tình trạng từ chối dịch vụ.
Một lỗi kế toán như vậy chắc chắn không phải là duy nhất trong vấn đề thanh toán
và thu nợ, nhưng trong một hệ thống truyền thông, như Internet, hoặc trong một tình
huống dịch vụ đám mây, lỗi có thể xảy ra và hậu quả sẽ được cảm nhận rất nhanh ,
không có nạn nhân có bất kỳ cảnh báo thanh toán trước. Th e mô hình dịch vụ đám
mây mang lại một yếu tố phức tạp thứ hai: Nhiều dịch vụ điện toán đám mây chủ
yếu dựa vào các giao diện tự phục vụ, với rất ít tin tưởng từ đại diện dịch vụ khách
hàng nhân truyền thống.
Trong trường hợp radio.de, có vẻ như CSP đột ngột không truy cập được vào
radio. phần mềm văn phòng de và các tài liệu liên quan. Radio.de dường như không
thể đến văn phòng khu vực của CSP ở Dublin và các email đến CSP đã không giải
quyết được vấn đề trong vài ngày. Các sự kiện trong trường hợp cụ thể này hoàn
toàn không phải là clea r, vì vậy CSP sẽ không được xác định ở đây. Tuy nhiên, nếu
bạn thuê ngoài các chức năng kinh doanh quan trọng của mình, hãy đảm bảo rằng
mọi tình huống tương tự có thể được giải quyết nhanh hơn với CSP. Điều đó sẽ đòi
hỏi phải làm bài tập về nhà của bạn trước khi bạn hình thành một tàu quan hệ kinh
doanh với CSP và nó sẽ đòi hỏi phải duy trì liên lạc với nhà cung cấp để bạn luôn
biết về bất kỳ thay đổi nào trong phương thức liên hệ hoặc chi tiết. Cuối cùng, hãy
xem xét điều này: Nếu kế hoạch khắc phục thảm họa của bạn được lưu trữ trên các
hệ thống của CSP, bạn thực sự không có kế hoạch khắc phục thảm họa CSP nào cả.
Việc cung cấp tài nguyên phải được thực hiện với việc đảm bảo rằng dịch vụ đám
mây sẽ được cung cấp đủ nguồn khi nhu cầu của khách hàng tăng lên. Để làm điều
này, một CSP sẽ cần phải thực hiện một số biện pháp nhất định để phân phối thành
công trên SL As của mình. Ví dụ, CSP có thể có các quy trình tại chỗ để thêm máy
chủ hoặc lưu trữ khi nhu cầu tăng. Danh sách kiểm tra 6.7 liệt kê các tiêu chí đánh
giá để cung cấp tài nguyên.
KIỂM TRA 6.7: CUNG CẤP NGUỒN 27

n Những kiểm soát và thủ tục nào trong pl ace để quản lý cạn kiệt tài nguyên, bao gồm
xử lý quá mức, hết bộ nhớ hoặc lưu trữ và tắc nghẽn mạng?
n CSP có giới hạn đăng ký dịch vụ để bảo vệ SLA không? n CSP có cung cấp
cho khách hàng thông tin về kế hoạch sử dụng và năng lực
không?
Phòng thủ ở độ sâu
ĐỊNH NGH INA Ở SỞ

Tính toàn vẹn và bảo mật của một đám mây hoạt động phụ thuộc
vào tính toàn vẹn của các thành phần cấu thành nó. Phần mềm là
một vector chính cho các lỗ hổng và khai thác. Để bắt đầu,
Chec klist 6.8 liệt kê các tiêu chí đánh giá để đảm bảo phần mềm.
DANH SÁCH SÀNG 6.8: PHẦN MỀM BẢO ĐẢM 30-32

n Có những kiểm soát nào để duy trì tính toàn vẹn của hệ điều hành, ứng
dụng, cập nhật chương trình cơ sở, tệp cấu hình và phần mềm
khác?
n Những tiêu chuẩn, hướng dẫn hoặc thực hành tốt nhất của ngành được tuân
theo?
n Điều khiển hoặc hướng dẫn nào được sử dụng để lấy hoặc tải
xuống tệp phần mềm và cấu hình? n Hướng dẫn hoặc quy trình
nào được sử dụng để duy trì tính toàn vẹn của phần
mềm? n Kiểm tra thâm nhập hoặc lỗ hổng được sử dụng trên
mỗi bản phát hành? n Làm thế nào để xác định các lỗ hổng
được khắc phục?
Một kỹ thuật rất mạnh để cải thiện bảo mật phần mềm là trao
quyền cho các nhà phát triển trong quá trình phát triển bằng cách
cung cấp cho họ acce ss cho các công cụ kiểm tra bảo mật. Các
công cụ như vậy bao gồm từ phân tích mã tĩnh thông qua kiểm tra
bảo mật Web. Một thực tiễn tốt nhất là có môi trường phát triển
phản ánh chặt chẽ các môi trường thử nghiệm, dàn dựng và sản
xuất cuối cùng. Với sự phát triển, điều này không phải lúc nào
cũng dễ dàng, nhưng càng có nhiều đồng bằng giữa các môi
trường, quá trình chuyển đổi càng tốt và càng ít bất ngờ về bảo
mật mà các nhà phát triển của bạn sẽ gặp phải. (Khi kiểm tra, dàn
dựng và môi trường sản xuất rất khác nhau, lỗi và chi phí cũng sẽ
tăng lên đáng kể .)
TIỀN BOA
Một kỹ thuật kiểm thử phần mềm được gọi là fuzzing . Kỹ thuật
này liên quan đến việc tiêm dữ liệu không hợp lệ và bất ngờ vào
đầu vào của chương trình hoặc hệ thống. Sử dụng kỹ thuật này,
thậm chí dữ liệu ngẫu nhiên có thể dẫn đến sự cố chương trình
hoặc vào trạng thái theo đó kiểm soát bảo mật có thể được thực
hiện để thất bại. Hai lĩnh vực đặc biệt hiệu quả cho thử nghiệm
này: Một là định dạng tệp và hai là giao thức mạng. Dữ liệu Fuzz
có thể được gửi dưới dạng sự kiện, đầu vào dòng lệnh hoặc gói
bị đột biến. Một trong những điểm mạnh của chúng tôi trong
việc làm mờ là nó có thể chiếu sáng các lỗi nghiêm trọng và có
thể khai thác.
Khía cạnh quan trọng nhất của bảo mật của đám mây cũng có thể
là việc triển khai mạng. Các lựa chọn kiến trúc và cách ly được
thực hiện ở đây sẽ có lợi ích sâu rộng hoặc hậu quả là các ca. Các
lựa chọn mạng bắt đầu với chức năng của thiết bị và mạng vật lý
và mở rộng sang giám sát và ảo hóa mạng. Mức độ cô lập giữa các
loại lưu lượng khác nhau (truy cập của khách hàng, khách hàng
với khách hàng, hoạt động và quản lý, truy cập bên ngoài, v.v.) sẽ
thúc đẩy các yêu cầu bảo mật khác ở cấp độ hệ thống và VM. Danh
sách kiểm tra 6,9 liệt kê các tiêu chí cho an ninh mạng.
KIỂM TRA 6,9: BẢO MẬT MẠNG 33 Gian35

n Những biện pháp kiểm soát nào được áp dụng để quản lý các cuộc tấn công có nguồn
gốc bên ngoài và có nguồn gốc bên trong, bao gồm từ chối dịch vụ phân tán
(DDoS)?
n Đối với khách hàng, cách ly được quản lý giữa các máy ảo (VM)? n Đối với
khách hàng, olation được quản lý giữa các VM bằng phần cứng và định tuyến
mạng như thế nào? n Những tiêu chuẩn hoặc thực tiễn tốt nhất được sử dụng để
thực hiện cơ sở hạ tầng mạng ảo?
n Làm thế nào để giả mạo Điều khiển truy cập phương tiện (MAC), ngộ độc Giao
thức phân giải địa chỉ (ARP), v.v. n Cách ly được quản lý giữa các hệ thống truy
cập / định tuyến của khách hàng và hệ thống quản lý đám mây và cơ sở hạ tầng? n
Việc xử lý khách hàng trên đám mây có phụ thuộc vào các thành phần của người
thuê ngoài đám mây như Giao thức truy cập thư mục nhẹ (LDAP)
không?
n CSP có thực hiện kiểm tra thâm nhập định kỳ đối với đám mây không? n Nếu
vậy, kiểm tra thâm nhập có được thực hiện cả bên ngoài đám mây và từ bên trong
đám mây và cơ sở hạ tầng đám mây không? n CSP có thực hiện kiểm tra lỗ hổng
của cơ sở hạ tầng, quản lý đám mây và các thành phần khách hàng có thể truy cập
không?
n Làm thế nào để xác định lỗ hổng được theo dõi và giải quyết? n Thông tin về
lỗ hổng có sẵn cho khách hàng không? n CSP có cho phép khách hàng thực hiện
các lỗ hổng bảo mật đối với máy ảo của chính khách hàng hoặc các container
khác không?
Các loại và mức độ kiểm soát bảo mật được yêu cầu để bảo vệ máy chủ và máy ảo
ở mức độ lớn được điều khiển bởi kiến trúc mạng. Một mặt có sự đánh đổi giữa sự
cô lập và kiểm soát cực kỳ netwo rk và mặt khác với mong muốn linh hoạt tối đa
trong hoạt động. Độ linh hoạt càng cao, càng cần nhiều điều khiển bù ở cấp máy
chủ và VM. Danh sách kiểm tra 6.10 liệt kê các tiêu chí đánh giá cho bảo mật máy
chủ và VM .
KIỂM TRA 6.10: BẢO MẬT HOST VÀ VM 36 Dây38

n Máy ảo của khách hàng có được mã hóa và / hoặc bảo vệ khác khi được
lưu trữ không?
n Hình ảnh VM có được vá trước khi chúng được cung cấp
không? n Làm thế nào và tần suất các hình ảnh VM được vá sau khi
được cung cấp?
n Các tiêu chuẩn hoặc hướng dẫn nào là hình ảnh VM được làm cứng trước
khi được cung cấp? n Các thủ tục để bảo vệ hình ảnh VM cứng và vá là
gì? n Khách hàng có thể cung cấp hình ảnh VM của riêng mình
không? n CSP có bao gồm bất kỳ thông tin xác thực nào không và nếu có thì
chúng được sử dụng để làm gì?
n Các hình ảnh VM được làm cứng và vá có bao gồm các trường hợp tường lửa hoạt
động theo mặc định không? (Và nếu vậy, các dịch vụ / cổng được phép là
gì?)
n Các hình ảnh VM được làm cứng và vá có bao gồm các hệ thống phát hiện xâm nhập
(I DS) hoặc các hệ thống ngăn chặn xâm nhập (IPS) không?
n Nếu vậy, CSP có quyền truy cập vào các hoạt động này không (và nếu có thì
bằng cách nào)? n Các hình ảnh VM được làm cứng và vá có bao gồm bất kỳ
hình thức mạng, hiệu suất hoặc thiết bị bảo mật nào mà CSP hoặc người thuê nhà
đã chấp nhận không?
n Cách ly được đảm bảo giữa các máy ảo được tạo bởi máy chủ cho các
khách hàng khác nhau?
Phòng thủ ở độ sâu
n Giao tiếp được thực hiện giữa các VM cho cùng một khách
hàng như thế nào? n Làm thế nào bảo mật được đảm bảo cho dữ
liệu người dùng trong các hệ thống lưu trữ? n Làm thế nào bảo
mật ity được đảm bảo cho dữ liệu người dùng chuyển động giữa
các hệ thống lưu trữ và VM khách
hàng?
n Làm thế nào bảo mật được đảm bảo cho dữ liệu người dùng và tương
tác người dùng giữa VM và hệ thống người dùng không mở?
n CSP có cung cấp thông tin cho khách hàng để hướng dẫn bảo mật
khách hàng sao cho phù hợp với môi trường ảo hóa không?
CSP thường chịu trách nhiệm cho ngăn xếp phần mềm nền tảng,
bao gồm bảo mật. Mặc dù CSP có thể miễn cưỡng cung cấp thông
tin chi tiết về bảo mật của ngăn xếp PaaS, CSP cần minh bạch về
thực tiễn bảo mật của nó và phạm vi kiểm soát bảo mật. Danh sách
kiểm tra 6.11 liệt kê các tiêu chí đánh giá về bảo mật PaaS và
SaaS.
DANH MỤC 6.11: PaaS và SaaS AN NINH 39-41

n CSP cách ly các ứng dụng đa nhiệm như thế nào? n Làm thế
nào để CSP cô lập dữ liệu của người dùng hoặc người thuê
nhà? n Làm thế nào để CSP xác định các lỗ hổng bảo mật mới
trong các ứng dụng và trong cơ sở hạ tầng đám
mây?
n CSP có cung cấp bảo mật như một tính năng dịch vụ cho PaaS (chẳng
hạn như xác thực, đăng nhập một lần, ủy quyền và bảo mật vận
chuyển) không?
n CSP cung cấp các kiểm soát quản trị nào cho người thuê / người dùng
và các điều khiển này có hỗ trợ xác định / thực thi các kiểm soát truy
cập của những người khác không?
n CSP có cung cấp môi trường thử nghiệm và sản xuất riêng cho khách hàng
không?
Nhận dạng và quản lý truy cập là các yếu tố quan trọng của bảo
mật cho một đám mây. Danh sách kiểm tra 6.12 liệt kê các tiêu chí
đánh giá để nhận dạng và quản lý truy cập, cùng với xác thực.
KIỂM TRA 6.12: QUẢN LÝ TIẾP CẬN VÀ TIẾP CẬN 42

n Có bất kỳ tài khoản bị chặn CSP nào có đặc quyền trên toàn
bộ đám mây (và nếu vậy, hoạt động nào) không? n Làm thế nào
để CSP quản lý tài khoản với quản trị viên hoặc đặc quyền cao
hơn? n CSP có sử dụng điều khiển truy cập hai người không, và
nếu vậy, cho hoạt động nào? n CSP có thực thi tách biệt riêng tư
(ví dụ: Kiểm soát truy cập dựa trên vai trò hoặc RBAC) không
và nếu có, vai trò nào được sử dụng để hạn chế các đặc quyền
nào (bảo mật, quản trị viên hệ điều hành, nhận dạng,
v.v.)?
n CSP có thực hiện truy cập kính vỡ không, và nếu vậy, trong trường
hợp nào và trong quá trình xử lý sau khi dọn dẹp?
n CSP có cấp quyền cho người thuê hoặc đặc quyền quản trị viên người
dùng không, và nếu vậy, các giới hạn đối với các đặc quyền này là
gì?
n CSP có xác minh danh tính người dùng khi đăng ký không, và
nếu vậy, có các mức kiểm tra khác nhau, d dành cho các tài
nguyên mà quyền truy cập được cấp? n Thông tin đăng nhập và
tài khoản bị từ chối như thế nào?
n Việc từ chối các thông tin và tài khoản được thực hiện theo cách thức hoạt động
nguyên tử trên toàn bộ đám mây? n Truy cập từ xa được quản lý và thực hiện như
thế nào?
Đối với hệ thống quản lý truy cập và nhận dạng khách hàng do CSP cung cấp:
n Điều này có hỗ trợ quản lý danh tính liên hiệp không? n Hệ thống của
CSP có thể tương thích với các hệ thống nhà cung cấp nhận dạng của bên
thứ ba không?
n Khách hàng có thể kết hợp đăng nhập một lần không? n Liệu hệ thống
này hỗ trợ tách vai trò và đặc quyền tối thiểu chính
(LPP)?
Làm thế nào để CSP xác minh danh tính của mình cho khách hàng theo các tình
huống sau đây?
n Khi CSP giao tiếp ngoài băng cho khách hàng hoặc người
dùng n Khi khách hàng tương tác với CSP qua API n Khi khách
hàng sử dụng giao diện quản lý đám mây Xác
thực:
n Xác thực được triển khai như thế nào đối với các hoạt động CSP có
độ đảm bảo cao? n Xác thực đa hệ số có được sử dụng
không?
n Có quyền truy cập vào các hoạt động ance bảo đảm cao chỉ giới hạn ở các
hoạt động mạng đám mây và chỉ từ các địa chỉ IP được liệt kê trong danh sách
trắng? n Phát hiện xâm nhập / phát hiện bất thường có phát hiện nhiều lần đăng
nhập thất bại hoặc các hoạt động xác thực hoặc xác thực đáng ngờ tương tự
không? n Wha thủ tục t được gọi nếu thông tin khách hàng hoặc tài khoản đang
bị tổn hại?
Quản lý khóa và mật mã phải được xử lý theo những cách chính xác và chính
xác; mặt khác, bảo mật mật mã nhanh chóng bị phá hoại. Danh sách kiểm tra 6.13
liệt kê các tiêu chí bảo mật cho các khu vực này.
DANH MỤC 6.13: QUẢN LÝ VÀ KEY Cryptography 45-47

Quản lý khóa cho các khóa mà CSP kiểm soát:
n CSP bảo vệ các khóa như thế nào và các biện pháp kiểm soát bảo mật nào
được áp dụng để ảnh hưởng đến điều đó? n Các mô-đun bảo mật phần cứng
được sử dụng để bảo vệ các khóa như vậy?
n Ai có quyền truy cập vào các khóa như vậy? n Các khóa đó
được bảo vệ như thế nào đối với các hoạt động ký và mã
hóa?
n Những thủ tục nào được đưa ra để quản lý và phục hồi từ sự thỏa hiệp của
các khóa? n Revocatio n được thực hiện trong một hoạt động nguyên tử trên
toàn bộ đám mây?
Mật mã:
n Đối với những hoạt động (và ở đâu) mã hóa được sử dụng? n Có phải tất
cả các cơ chế mã hóa dựa trên các sản phẩm được kiểm tra và đánh giá của
bên thứ ba? n Chính sách bảo mật có xác định rõ ràng những gì phải được
mã hóa không?
Đến thời điểm này trong danh sách kiểm tra, chúng tôi đã đề cập đến các tiêu chí
đánh giá về an ninh cơ sở, cân nhắc kinh doanh và bảo vệ theo chiều sâu. Nhóm
cuối cùng của danh sách kiểm tra giải quyết các vấn đề bảo mật hoạt động.
An ninh hoạt động
AN NINH HOẠT ĐỘNG

Nhiều mối lo ngại xung quanh các đám mây công cộng liên quan
đến thực tế là bảo mật vật lý của CNTT nằm trong sự kiểm soát
của bên thứ ba. Với đám mây công khai, vi phạm vật lý sẽ ảnh
hưởng đến nhiều khách hàng. Danh sách kiểm tra 6.14 liệt kê các
tiêu chí đánh giá về bảo mật vật lý và sức mạnh trung tâm dữ liệu
và mạng của trung tâm dữ liệu.
KIỂM TRA 6.14: AN NINH VẬT LÝ, SỨC MẠNH VÀ MẠNG 48

Bảo mật vật lý trung tâm dữ liệu:
n Các yêu cầu để được cấp quyền truy cập vật lý vào cơ sở của
CSP là gì? n Không phải nhân viên yêu cầu hộ tống trong cơ
sở? n Có phải vào cơ sở bị hạn chế bởi chức năng và vị trí
nhập? (Ví dụ: vận chuyển và nhận hàng, dọn phòng)
n Cơ sở có được chia thành các khu vực sao cho mỗi khu vực
yêu cầu quyền truy cập không? n Có cần xác thực mạnh (ví dụ:
thẻ đa yếu tố và mã PIN hoặc thẻ và sinh trắc học) để truy cập
vật lý không?
n Tất cả các truy cập được theo dõi và tài
liệu? n Có phải tất cả các địa điểm nhập cảnh
báo động và theo dõi? n Giám sát video đã
hoàn tất cho tất cả các khu vực chung của cơ sở
chưa?
n Video được giữ lại trong bao lâu? n Làm thế nào thường
xuyên được đánh giá rủi ro cho an ninh vật lý? n CSP có yêu
cầu tất cả việc giao hàng hoặc xóa eq uipment được thực hiện
bởi CSP trong cơ sở không (nghĩa là có một cơ sở vận chuyển
riêng bên ngoài vành đai vật lý của chính cơ sở đám mây)
không? Trung tâm dữ liệu và kết nối
mạng:
n Nguồn điện và mạng có được bảo mật trong cơ sở
không? n Các hệ thống môi trường (chiếu sáng, điều hòa không
khí, phát hiện cháy) có được thực hiện theo tiêu chuẩn công
nghiệp không?
n Điều hòa có kích thước để chịu được thời gian dài của điều
kiện khắc nghiệt? n Khả năng của fa có phải chịu rủi ro trung
bình hoặc cao hơn về thiệt hại môi trường hoặc thời tiết
không? n Cơ sở có nhận được điện từ nhiều nguồn
không? n Cơ sở có cung cấp nguồn điện dự phòng trong một
khoảng thời gian hoặc thời gian đủ để phục hồi sau khi
mất nguồn điện chính
không?
n Cơ sở có cung cấp điện liên tục (UPS) đầy đủ cho các lần
mất điện tạm thời hoặc tạm thời không? n Cơ sở có nhiều kết
nối Internet không và đây có phải là của các nhà cung cấp cấp
1 khác nhau không?
Một CSP phải duy trì một danh sách đầy đủ và đầy đủ tất cả các
tài nguyên thông tin được sử dụng để triển khai và vận hành đám
mây. Thực tiễn (ITIL) là sử dụng cơ sở dữ liệu quản lý cấu hình
(CMDB) để duy trì thông tin đó. Trạng thái của nghệ thuật là
để quá trình đó được tự động hóa bằng cách sử dụng CMDB làm
kho lưu trữ tập trung mà tất cả các chức năng quản lý đám mây
khác tương tác với nhau. Danh sách kiểm tra 6.15 liệt kê các tiêu
chí để quản lý tài sản trung tâm dữ liệu.
KIỂM TRA 6.15: QUẢN LÝ TÀI SẢN CỦA DATACENTER 51

n CS P có duy trì một kho lưu trữ hiện tại và đầy đủ của tất cả các phần cứng, mạng,
phần mềm và các thành phần ảo bao gồm đám mây không?
n CSP có tự động hóa việc theo dõi và quản lý hàng tồn kho như vậy
không?
n CSP có duy trì hồ sơ về tất cả các tài sản mà khách hàng đã sử dụng hoặc khách
hàng đã lưu trữ dữ liệu không? n CSP có hỗ trợ các loại tài sản ở các mức độ nhạy
cảm khác nhau không và nếu có, chúng được cách ly hoặc tách biệt với nhau như
thế nào? n Có CSP duy trì sự phân chia hoặc tách vật lý của tài sản ở mức độ nhạy
cảm khác nhau?
Bảo mật hiệu quả là một quá trình liên tục đòi hỏi các thủ tục và vai trò được xác
định rõ ràng cho tất cả các nhân viên. Để có hiệu quả, các thủ tục như vậy phải dự
đoán các loại sự kiện. Các thủ tục nên cung cấp đủ hướng dẫn để cho phép nhân
viên điều hướng một loạt các lỗi trong hệ thống, quy trình và các trường hợp
khác. Các sự kiện và phản hồi như vậy phải được nắm bắt, với các bài học kinh
nghiệm được tích hợp vào các thủ tục cập nhật. Chương 7 cung cấp một cách xử lý
sâu hơn về chủ đề này, nhưng ở đây chúng tôi phác thảo các loại điều khiển hướng
dẫn thực hành hoạt động và bảo mật. Danh sách kiểm tra 6.16 liệt kê các tiêu chí
đánh giá cho thực hành hoạt động.
KIỂM TRA 6.16: THỰC HÀNH HOẠT ĐỘNG 54
n Có quy trình kiểm soát thay đổi chính thức không và các quy trình có
được ghi chép rõ ràng không?
n Kiểm soát thay đổi có bao gồm một phương tiện để hướng dẫn các quyết định về
những thay đổi nào cần đánh giá lại rủi ro không?
n Các quy trình vận hành có được ghi chép rõ ràng và tuân theo không? n Có môi
trường riêng biệt để phát triển, thử nghiệm, dàn dựng và sản xuất không? n Điều
khiển bảo mật hệ thống và mạng nào được sử dụng để bảo mật thông tin và ứng
dụng của người dùng cuối hoặc người thuê?
n Điều khiển bảo mật nào được sử dụng để giảm thiểu mã độc?
n Các thủ tục sao lưu là gì (ai thực hiện việc này, những gì được sao lưu, làm thế
nào để thực hiện, thực hiện theo hình thức nào và sao lưu được kiểm tra định kỳ)? n
Các bản sao lưu được lưu trữ ở đâu và chúng được giữ trong bao lâu? n CSP có xóa
an toàn tất cả các bản sao dữ liệu khách hàng sau khi chấm dứt hợp đồng của khách
hàng không? n Theo những gì các tài nguyên khách hàng được vệ sinh bằng cách
sử dụng các thực tiễn tốt nhất trong ngành (ví dụ, khử từ)?
n CSP có tài liệu cơ sở bảo mật cho mọi thành phần bao gồm cơ sở hạ tầng đám mây
không?
Số liệu cho Danh sách kiểm tra
Mục tiêu của quản lý sự cố và ứng phó là để giảm thiểu hoặc chứa
tác động của các sự kiện. Quản lý sự cố cần được xác định rõ để
hỗ trợ và hướng dẫn các CSP và khả năng của khách hàng nhằm
giảm hậu quả của các sự kiện hoặc dự đoán không lường trước
được . Danh sách kiểm tra 6.17 liệt kê các tiêu chí đánh giá cho
lĩnh vực quản lý sự cố.
KIỂM TRA 6.17: QUẢN LÝ SỰ CỐ 57

n Thông tin nào được ghi lại trong nhật ký kiểm toán, hệ thống
và mạng? n Thông tin được lưu giữ trong bao lâu và ai có tài
liệu về nó? n Những biện pháp kiểm soát nào được sử dụng để
bảo vệ các bản ghi này khỏi sự truy cập trái phép và để bảo vệ
chuỗi hành trình của các tài liệu đó?
n Làm thế nào và tần suất các bản ghi được xem xét? n Làm thế
nào và tần suất các bản ghi được kiểm tra tính toàn vẹn và đầy
đủ? n Có phải tất cả các hệ thống và thành phần mạng được
đồng bộ hóa với một nguồn thời gian duy nhất (Giao thức thời
gian mạng hoặc NTP) không?
n CSP có quy trình chính thức để phát hiện, xác định và ứng
phó với các sự cố không? n Các quy trình này có được kiểm
tra định kỳ để xác minh rằng chúng có hiệu quả và phù hợp
không?
n Nhật ký và dữ liệu bảo mật khác có được duy trì để tuân thủ
các yêu cầu pháp lý đối với kiểm soát theo chuỗi không, và dữ
liệu và kiểm soát có tuân thủ dữ liệu pháp y của admissib le
không? n Quá trình leo thang để ứng phó sự cố là gì? n CSP có
sử dụng phát hiện xâm nhập, giám sát an ninh hoặc Quản lý sự
cố và sự kiện bảo mật (SEIM) để phát hiện sự cố
không? n CSP có chấp nhận các sự kiện và thông tin sự cố của
khách hàng vào quy trình giám sát an ninh và quản lý sự cố của
họ không? n CSP có cung cấp sự minh bạch trong các sự kiện
sự cố không và nếu có, loại thông tin nào được chia sẻ với
khách hàng và người dùng? n Làm thế nào là các sự kiện bảo
mật và nhật ký bảo mật prote cted và duy
trì?
n Nhật ký bảo mật được giữ lại trong bao lâu? n Ai có
quyền truy cập vào nhật ký như vậy? n CSP có cho phép
khách hàng triển khai IDS dựa trên máy chủ trong máy ảo
không? n Nếu vậy, khách hàng có thể gửi dữ liệu VM IDS
đó đến CSP để xử lý và lưu trữ không? n Sự cố được ghi
nhận như thế nào khi chúng diễn ra? n Sự cố được phân
tích như thế nào sau khi sự cố kết thúc? n CSP có thể cung
cấp hình ảnh pháp y về máy ảo của khách hàng
không? n CSP có báo cáo thống kê về các sự cố cho khách
hàng
không?
PHƯƠNG PHÁP CHO CÁC KIỂM TRA

Các danh sách kiểm tra chỉ có tiện ích để đánh giá tính bảo mật của đám
mây, nhưng những gì khách hàng và chủ sở hữu đám mây công cộng
tiềm năng muốn biết là:
n Làm thế nào an toàn là thực hiện? n Cuộc họp CSP có thực
hành tốt nhất cho an ninh không? n như thế nào cũng không
CSP đáp ứng kiểm soát an ninh rời rạc và yêu cầu? n Làm thế
nào để dịch vụ này so sánh với các dịch vụ tương tự
khác?
Nhìn vào Danh sách kiểm tra 6.1 đến 6.17, có rất nhiều biến thể trong cách thực hiện
các điều khiển và cách chúng có thể được bảo đảm. Điều này làm cho rất khó xác
định số liệu cho mỗi câu hỏi. Các cách tiếp cận hiện tại để đo lường bảo mật đáp
ứng thách thức này bằng cách chi tiết hóa các kiểm soát bảo mật chi tiết cho các lĩnh
vực cụ thể (như NIST 800-53R3) và chỉ định các điều khiển nào áp dụng cho các hệ
thống hoạt động ở các mức độ đảm bảo hoặc độ nhạy khác nhau. Nhưng ngay cả
khi đó, việc đánh giá thực tế về bảo mật của việc triển khai là tốn thời gian và tốn
kém và đòi hỏi phải có chuyên môn.
Chứng nhận kết quả và xác định lại acc (C & A) của một hệ thống là một ảnh chụp
nhanh theo thời gian và phải được lặp lại khi hệ thống phát triển và trải qua thay
đổi. Thông thường, những đánh giá này là các bài tập trên giấy liên quan đến rất
nhiều nỗ lực. Điều cần thiết là một sự tiến hóa cho chính quá trình này và điện toán
đám mây sẽ đòi hỏi tự động hóa lớn hơn, đơn giản là do bản chất của hợp đồng giữa
CNTT và người tiêu dùng đám mây.
Điều này sẽ trông như thế nào? Để bắt đầu, thông tin và các tạo phẩm bằng
chứng được thu thập về bảo mật, hệ thống, một quy trình thứ hai phải được tổ chức
trong kho lưu trữ C & A giống như một cơ sở dữ liệu hơn là một tài liệu chính thức
truyền thống. Tầm quan trọng của việc thu thập và tổ chức thông tin này là nó hỗ
trợ các tuyên bố và khiếu nại về cách đáp ứng các kiểm soát bảo mật riêng biệt .
Có thông tin như vậy ở dạng cơ sở dữ liệu làm cho nó hữu ích cho nhiều thực
thể. Trong triển khai đám mây, nhiều bên sử dụng cùng một cơ sở hạ tầng và điều
khiển. Một đánh giá bảo mật sẽ cho phép tái sử dụng thông tin về các điều khiển đó
cũng như thông tin về hiệu quả của chúng. Điện toán đám mây thực sự thay đổi trò
chơi để bảo mật và đã trở nên rõ ràng rằng việc áp dụng đám mây sẽ thúc đẩy sự
phát triển không chỉ bảo mật tốt hơn để đáp ứng các yêu cầu của dịch vụ tự phục vụ
và tự phục vụ theo yêu cầu mà còn cho phép đo lường và đánh giá an ninh.
TÓM LƯỢC
Sự gia tăng các tiện ích điện toán công cộng đã mang lại nhu cầu bảo mật tốt hơn. Về
bản chất, các dịch vụ đám mây công cộng cạnh tranh phải đối mặt với nhu cầu cung
cấp các bộ dịch vụ và tính năng hiệu quả về chi phí cho phép dễ dàng áp
dụng. Nhưng điều quan trọng không kém là nhu cầu về một dịch vụ đám mây công
cộng được coi là một giải pháp phù hợp và an toàn để đáp ứng các yêu cầu về
CNTT. Và trong đó, CSP có một vài thay đổi bản địa khác ngoài việc đánh giá sản
phẩm của họ bằng các tiêu chí thường được chấp nhận. Tương tự như vậy, với các
đám mây riêng, ngay cả khi các yêu cầu bảo mật được bao gồm từ các giai đoạn
thiết kế sớm nhất và ngay cả khi các nguyên tắc âm thanh được tuân thủ trong việc
xây dựng một đám mây riêng, bằng chứng tục ngữ vẫn nằm trong mánh khóe đánh
giá .
Tóm lược
Các danh sách kiểm tra bảo mật trong chương này nhằm hướng
dẫn người đọc phát triển danh sách của riêng họ để xác minh tính
bảo mật của CSP hoặc đám mây riêng. Vào thời điểm cuốn sách
này được viết, có một số hoạt động đang diễn ra xung quanh việc
phát triển các hướng dẫn của ngành hoặc chính phủ xung quanh
nhu cầu này. Độc giả được khuyến khích nghiên cứu tình trạng
của công việc đó bằng cách theo dõi các nhóm hàng đầu khác nhau
có liên quan đến các hoạt động này. Vẫn chưa rõ mức độ thành
công của bất kỳ nhóm nào trong số này, và ngày nay có rất nhiều
sự hợp tác giữa các nhóm như CSA và CloudAudit / A6. Một điều
chắc chắn rằng đây là một lĩnh vực phát triển nhanh chóng,
một điều rất có thể là các đặc điểm độc đáo của mô hình điện toán
đám mây sẽ thúc đẩy tự động hóa lớn hơn nhiều trong việc xác
minh liên tục các tiêu chí đánh giá đó.
GHI CHÚ
Độc giả quan tâm đến đánh giá bảo mật đám mây nên tham gia các nhóm sau:
n Cloud Liên minh An ninh:
n www.cloudsecurityalliance.org n www.
linkedin.com/groups? mostP phổ biến =
& gid = 1864210 n http://groups.google.
com/group/cloudsecurityalliance
n Mây Kiểm
toán: n www.cloudau
dit.org
n http://groups.google.com/group/cloudaudit
n Nhóm tính toán đáng tin cậy:
n www.trustcomputinggroup.org/solutions/c
loud_security n www.linkedin.com/groups?
MaximumP Phổ = & gid = 3,254114
n CloudSecurity.org ( http://cloudsecurity.org/forum/index.php )
không hoạt động nhiều nhưng có tiềm năng như một diễn đàn độc
lập để hợp tác trong việc kiểm tra bảo mật đám mây.
Dường như cứ sau vài tuần, LinkedIn và Google Groups lại thêm
các nhóm đám mây mới và hơn một vài trong số các nhóm này tập
trung vào bảo mật. Với tất cả các nhóm bảo mật đám mây này,
một trong những cách tốt nhất để được thông tin là tham gia các
nhóm lợi ích đám mây cấp cao chính và theo xu hướng chung
trong lĩnh vực này. Nghiên cứu định kỳ thông qua tìm kiếm trên
Web nên xác định các nhóm lợi ích cụ thể khác khi chúng phát
sinh.
Chú thích
1. CSA-GRC-Stack-v1.0-
README.pdf; www.cloudsecurityalliance.org .
2. Ibid.
3. Ibid.
4. Đề xuất đánh giá và ủy quyền bảo mật cho điện toán đám mây của
chính phủ Hoa Kỳ, Dự thảo phiên bản 0.96, Hội đồng CIO, Chính
phủ liên bang Hoa Kỳ; 2010.
5. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
6. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây , Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009 [truy cập 24.03.11].
7. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp kiểm
soát an ninh được khuyến nghị cho các hệ thống và tổ chức thông
tin liên bang I ; 2009.
v1.0; 2010.
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
10. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Kiểm soát an ninh
được khuyến nghị cho các tổ chức và hệ thống thông tin liên
bang; 2009.
v1.0; 2010.
12. Catteddu D., Hogbe n G. Khung bảo đảm thông tin điện toán đám
13. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Giới thiệu bảo mật
bang; 2009.
v1.0; 2010.
16. Ấn bản đặc biệt NIST 800-53 Phiên bản 3, Kiểm soát an ninh
bang; 2009.
v1.0; 2010.
18. Catteddu D, Hogben G. Khung bảo đảm thông tin điện toán đám
19. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Khuyến nghị các
biện pháp kiểm soát an ninh cho các tổ chức và hệ thống thông tin
liên bang; 2009.
v1.0; 2010.
( ENISA). www.enisa.europa.eu ; 2009.
22. Ấn bản đặc biệt NIST 800-53 Phiên bản 3, Kiểm soát an ninh
bang; 2009.
23. Ma trận điều khiển (CM), Bảo mật đám mây Allianc e
V1.0; 2010.
25. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
26. Asendorpf D. Bên Ab trong die Wolken Hồi, Zeit Online,
2011; www.zeit.de/2011/08/ Điện toán đám mây; 2011 [truy cập
24.03.11].
v1.0; 2010.
v1.0; 2010.
31. Catteddu D., Hogb en G. Khung bảo đảm thông tin điện toán đám
32. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Sự tương phản an
ninh được khuyến nghị đối với các tổ chức và hệ thống thông tin
liên bang; 2009.
Tóm lược
v1.0; 2010.
v1.0; 2010.
38. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, được khen thưởng
Kiểm soát an ninh cho các tổ chức và hệ thống thông tin liên
bang; 2009.
v1.0; 2010.
mây, Cơ quan bảo mật thông tin và mạng châu
Âu (ENISA). www.enisa.europa.eu ; 2009.
v1.0; 2010.
(ENISA). www.enisa.europa.eu ; 2 009.
v1.0; 2010.
46. Catteddu D, Hogben G. Đảm bảo thông tin điện toán đám mây
Fr amework, Cơ quan an ninh thông tin và mạng châu Âu
kiểm soát an ninh được khuyến nghị cho các hệ thống thông tin
liên bang và các tổ chức; 2009.
v1.0; 2010.
v1.0; 2010.
52. Catteddu D., Hogben G. Cloud Computing I nifying Khung bảo
đảm, Cơ quan an ninh mạng và thông tin châu Âu
kiểm soát an ninh được khuyến nghị cho các hệ thống và tổ chức
của Informa tion; 2009.
v1.0; 2010.
v1.0; 2010.
58. Catteddu D., Hogben G. C Khung bảo đảm thông tin điện toán
lớn, Cơ quan an ninh thông tin và mạng châu Âu

DTDM

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

DTDM

Uploaded by

Copyright:

Available Formats

Bảo mật đám mây thể hiện một cơ hội khác để áp dụng các

nguyên tắc và kỹ thuật bảo mật âm thanh cho một miền cụ

ĐÁNH GIÁ AN NINH ĐÁM MÂY

Công việc hiện tại về Hướng dẫn hoặc Khung bảo

Có một số công cụ cơ bản đã đứng trước thử thách của thời

KIỂM TRA ĐỂ ĐÁNH GIÁ AN NINH ĐÁM MÂY

Kiểm tra bảo mật,

ITY NỀN TẢNG

DANH SÁCH SÀNG 6.1: CHÍNH SÁCH, TIÊU CHUẨN VÀ

KIỂM TRA 6.2: DỊCH VỤ 11 1113

KIỂM TRA 6.3: BẢO MẬT CÁ NHÂN 14 Dây16

KIỂM TRA 6.4: CUNG CẤP BÊN THỨ BA 17 L1919

TƯ VẤN KINH DOANH

KIỂM TRA 6.6: TIẾP TỤC KINH DOANH 23 Vang25

Sử thi thất bại

KIỂM TRA 6.7: CUNG CẤP NGUỒN 27

ĐỊNH NGH INA Ở SỞ

DANH SÁCH SÀNG 6.8: PHẦN MỀM BẢO ĐẢM 30-32

KIỂM TRA 6,9: BẢO MẬT MẠNG 33 Gian35

KIỂM TRA 6.10: BẢO MẬT HOST VÀ VM 36 Dây38

DANH MỤC 6.11: PaaS và SaaS AN NINH 39-41

KIỂM TRA 6.12: QUẢN LÝ TIẾP CẬN VÀ TIẾP CẬN 42

DANH MỤC 6.13: QUẢN LÝ VÀ KEY Cryptography 45-47

AN NINH HOẠT ĐỘNG

KIỂM TRA 6.14: AN NINH VẬT LÝ, SỨC MẠNH VÀ MẠNG 48

KIỂM TRA 6.15: QUẢN LÝ TÀI SẢN CỦA DATACENTER 51

KIỂM TRA 6.17: QUẢN LÝ SỰ CỐ 57

PHƯƠNG PHÁP CHO CÁC KIỂM TRA

You might also like