1.背景
云计算目前大家都很熟悉了,为了降低系统的成本或者打通数据的融合,许多企业事业单位的系统都选择部署在云上。云计算技术由于使用虚拟化等技术,其网络等边界相对而言是很模糊的,而部署在云平台上的系统,其安全风险也随之增加。实际测评中,我们经常会碰到云平台和云租户业务应用系统密码应用(以下称为“云上应用”)的密评。
2.云平台测评的责任和范围
我们可以依据《商用密码应用安全性评估FAQ》第19条的内容,当我们对运行在云平台上的云上应用进行测评时原则上要完成两部分测评工作:
(1) 当我们对云平台自身进行密评的时候,该部分测评的责任主体是云平台的运营者。
(2)当我们对云上应用进行密评的时候,该部分测评的责任主体为云上应用的运营者。
同时,原则上:
(1)云上应用系统所处的云平台通过密评后(即获得“符合”或“基本符合”的结论),云上应用系统才能通过密评;
(2)云上应用系统所处的云平台的安全级别应不低于云上应用系统。
通俗点说云平台好比“篮子”,云上应用好比“鸡蛋”,为什么我们对云上应用做密评的时候,要求云平台先通过密评?我想的是篮子都不安全了,放在里面的鸡蛋还会安全吗?为什么要求云平台的安全级别要比云上应用高?我想的是篮子总不能比鸡蛋还容易碎吧。总而言之云平台和云上应用都应当根据自己的责任主体划分,去做密评。
3.云平台和云上应用的测评方式
《商用密码应用安全性评估FAQ》第20条的内容讲得很详细,我这里简单概括一下。
3.1云平台的测评方式
首先是云平台的密评,由于云平台要向租户提供密码服务,因此我们测评的时候不但要对云平台自身进行密码测评,还要关注云平台提供给租户的密码服务有哪些,对这些密码服务进行评估形成“云平台密码支撑能力说明”。而FAQ中也提出了密码支撑能力的概念:
(1)被完全评估的支撑能力:指的是云平台中的某些测评对象,这些测评对象同时用于支撑云平台和云上应用,将同时作为云平台和云上应用的测评对象。FAQ中还举了个物理机房的例子,我个人的理解:被完全评估的支撑能力就是我无论是从云平台的角度去测,还是从云上应用的角度测评,得到的测评结果都应该是一致的。
比如你云平台提供的云机房、运维信道、云密码机等设备,在我对云平台测评的时候他如果用于云平台,同时也用于支撑云上应用,此时可作为“被完全评估的支撑能力”,在你云平台测完后,云上应用测评时可以直接复用云平台的测评结论,因为无论从哪个角度测得到的结果都是一样的。
(2)被部分评估的支撑能力:指的是云平台提供的某些支撑服务,这些支撑服务仅用于云上应用而不用于云平台,或者将服务于云平台和云上应用的不同测评对象。分享一下我个人的理解吧:当当你的“被部分评估的支撑能力”被测评的时候,分别从云平台和云上应用的角度测评,得到的测评结论是不一样的,或者不能被“DAK”(D:密码使用有效性、A:密码算法/技术合规性、K:密钥管理安全)完全评估。
比如在云平台测评的时候,梳理出云平台可以提供电子签章的密码服务,你云平台本身不用这个服务,但你要提供给云上应用使用,此时这个电子签章服务就是“被部分评估的支撑能力”;而你云平台的云密码机又提供了一个加解密服务,此时这个加解密用于加密云平台和云上应用的不同数据,在你云平台测评的时候使用了SM4算法加密数据,但在云上应用测评的时候他可能调用了AES算法进行数据加密,此时测评结果不一致了。
所以“被部分评估的支撑能力”我们只能对其“A”和“K”进行评估,列出你这个加解密服务能提供的所有密码算法以及查看密钥管理是否安全,而密码使用的有效性我们还是得结合实际情况进行测评的。因此在云平台测完后,“被部分评估的支撑能力”的测评结论是不可以完全复用于云上应用的。
3.2云上应用的测评方式
云上应用进行测评的时候,和一般的信息是略有不同的。其部分测评结论需要依赖云平台的结果。测评的过程中,需要根据云平台测评结论中的“云平台支撑能力说明”给定相应的测评结果。因此会存在以下三种情况:
(1)云上应用被完全评估的支撑能力所支撑:此时我们云上应用的测评对象对应着云平台的“被完全评估的支撑能力”,如果云平台已经通过密评,而且云平台的安全等级不低于云上应用,则云上应用的这个测评对象的测评结论可以为“不适用”。
(2)云上应用被部分评估的支撑能力所支撑:此时云上应用测评对象的测评结论需要结合“云平台支撑能力说明”进行测评,上面已经讲到部分评估的支撑能力在云平台那只给出了“A”和“K”的测评,云上应用实际用了云平台提供的哪种算法,哪种密钥管理方式,密码使用有没有效,还是得结合实际情况测评的。
(3)云上应用调用了非云平台提供的支撑能力,这个时候对其测评对象的测评就和一般的信息系统一样了,但是要重点关注该支撑能力和云平台、云上应用整合时是否安全,避免可能存在的安全风险。
需要注意:
(1)云平台通过密评,但其安全等级低于云上应用的时候,在云上应用进行密评时云平台的“云平台支撑能力”不再有效,仍需要对云平台的密码应用进行重新测评。比如被完全评估的支撑能力,在云上应用那就不可以作为不适用了。
(2)云平台没有通过密评或者没开展密评,这个时候对云上应用进行密评时仍需要对云平台进行相关的密码应用测评。
版权归原作者 xjnu阿源 所有, 如有侵权,请联系我们删除。