ODCA Usage: Data Security Framework

SM 开放数据中心联盟数据安全框架 1.0 版使用模式 :

目录法律声明... 3 要点概述... 4 数据即资产介绍... 5 目标... 6 范围之外... 7 数据安全面临的挑战... 7 访问控制... 8 访问控制等级... 8 信息分类... 10 保密性完整性与可用性 (CIA)... 10 数据加密和数字证书... 12 加密概述... 12 密匙管理... 13 证书管理... 13 将保密性完整性和可用性应用于数据加密... 13 数据屏蔽技术... 15 数据匿名化和标记化方法... 16 安全信息和事件管理... 17 使用 SIEM 监控多重要求... 17 备份存档与删除... 18 备份和存档... 18 安全删除... 18 RFP 要求... 19 云用户要求... 19 云提供商要求... 19 所需行业行动概要... 20 整个行业的行动... 20 云提供商行动... 20 云用户行动... 20 撰稿人 Albert Caballero, Trapezoid Avi Shvartz, Bank Leumi Ben Li, Deutsche Bank Christophe Gevaudan, UBS Ian Lamont, BMW Jose Souza, UBS Manjunath Mahabhaleshwar, Intel Matt Lowth, National Australia Bank Robert Rounsavall, Trapezoid Tino Hirschmann, T-Systems, Deutsche Telekom Group 2 2013 开放数据中心联盟版权所有

法律声明 2013 开放数据中心联盟版权所有本文档数据安全框架 1.0 版归开放数据中心联盟 ( 简称联盟 ) 和 / 或其继承人及受让人所有非开放数据中心联盟成员用户须知 : 非联盟成员对本文档仅拥有阅读参考和引用的权利对本文档的任何参考或引用均必须清晰注明出处来自联盟并承认本文档版权归联盟所有适当的版权声明如下所示 : 2013 开放数据中心联盟版权所有未经联盟明确的书面许可, 此类用户不得以任何方式修订改变修改滥用或以其它方式修正本文档开放数据中心联盟成员用户须知 : 本联盟的成员在使用本文档时, 应遵循本联盟的规章制度及其它政策与规程一般用户须知 : 本文档用户不得以任何方式引用本文档或该联盟发布的任何其它文档中所包含的任何初始或推荐方法指标要求或其它标准 ( 初始模型 ) 来表明或暗示该用户和 / 或其产品或服务符合或通过这些初始模型的测试或认证本文内容仅用于参考目的本文中包含的任何建议推荐或其他内容包括但不限于本文中披露的任意方法指标要求或其它标准的范围或内容 ( 统称为标准 ) 不应视为该标准已获得联盟的赞同或推荐, 也不得理解为联盟将在未来制定任何认证合规或测试计划, 以证实在未来实施或符合此等标准免责声明 : 本文及本文包含的所有信息均以概不保证方式提供在法律允许的最大限度内, 联盟 ( 及本文的撰稿方 ) 兹此声明不承担任何明示或暗示的法定或普通法层面的代表担保和 / 或契约责任, 包括但不限于对适销性适用于特定用途所有权有效性和 / 或非侵权性的担保本文包含的信息仅作参考之用, 联盟对使用和信赖本文所含信息所产生的结果, 或此类信息的准确性或可靠性不承担任何代表担保和 / 或契约责任除非此处另有明确规定, 否则本文包含的任意内容均不得视作明示或暗示地授予您任意类型的许可, 或归联盟所有或控制的知识产权 ( 包括但不限于联盟的任意商标 ) 商标 : 开放数据中心联盟 SM,ODCA SM, 和开放数据中心联盟标识是开放数据中心联盟公司拥有的商品名商标和 / 或服务标志 ( 统称为标志 ), 所有权保留未经授权, 不得使用本文档不授予本文档的用户任何使用 ODCA 标志的权利文中出现的其它服务商标商标和商标名称均属于各自公司所有者资产 2013 开放数据中心联盟版权所有 3

SM 开放数据中心联盟数据安全框架 1.0 版应用模式 : 要点概述目前许多企业都在大力推动将云计算引入至企业中他们希望云的多租户共享基础设施将支持更出色的计算效率灵活性和成本效率同时, 企业还需要保持计算平台安全并符合所有相关的准则规定和法律无论是通过私有云使用专门的服务还是通过公共云与其他用户共享服务, 均须满足这些要求除迄今已涉及的主题外, 开放数据中心联盟 SM (ODCA) 意识到, 企业对于云计算的优势的期望越高, 他们向环境之外传输的数据就会越多因此, 确保云环境中的数据安全性, 对于云服务的持续成功至关重要对一个企业来说, 将高度敏感数据或关键任务数据交给一家云服务提供商并非易事 ; 云用户首先要全面了解数据的生命周期和能够提供相应等级数据保护的控制方法同样, 云服务提供商也需要了解这些控制方法为了保护数据免遭篡改或盗窃, 因此多数敏感信息需要在传输过程中进行加密然而, 最近的数据盗窃事件 ( 如发生在 Sony 1 的一次事件 ) 发生在数据处于静态的情况, 这突显了部署基于云的数据安全性的必要在本框架中, 我们不仅对与云环境中与日俱增的数据安全性有关的要求进行了定义, 还针对以下数据安全控制进行了总结 : 访问控制对访问的人员或设备被访问的数据类型以及访问的时间和环境进行控制信息分类确定数据的敏感度以及未授权访问的影响, 同时发现企业在数据完整性和可用性方面的需求数据加密使用适当的加密技术进行数据加密数据屏蔽技术通过匿名化和标记化技术进一步提升云环境中数据的安全性安全信息和事件管理对数据安全触发因素进行跟踪和响应, 对未经授权的数据访问进行记录同时在必要时发出警告备份存档与删除识别备份需求以及这些需求与数据安全存储之间的关系, 当数据不再需要时对其进行安全删除本文档可供各类受众使用寻找与数据安全相关的特定信息的业务决策者, 以及从事规划和运营的企业 IT 人员都可从本文获得帮助解决方案提供商和技术厂商通过本文档内容将可以更好地了解客户需求, 从而定制自己的服务和产品标准组织将发现本文档信息有助于定义相关最终用户和开放标准 1 www.guardian.co.uk/technology/2011/apr/27/playstation-users-identity-theft-data-leak 4 2013 开放数据中心联盟版权所有

数据即资产介绍数据以及从这些数据中收集到信息是企业拥有的最重要资产之一实物资产的保护对企业来说至关重要 ; 而在云环境中, 云用户和云服务提供商同样知道确保数据安全的重要性, 为此他们需要了解与数据安全有关的各种风险以及如何在云堆栈的所有层面上 ( 即架构即服务 (IaaS) 平台即服务 (PaaS) 和软件即服务 (SaaS)) 防范这些风险表 1 中列出了本文中使用的一些术语的定义表 1. 术语和定义术语数据数据保护定义未经组织的事实和数字的表示法, 通常以电子表格或其他具体表格的形式呈现包括那些存储在硬盘上打印在纸张上或刻录到一张 CD 中的数据, 以及存储 / 存档的语音对话指的是云用户享有的一种权利, 即有权决定和控制谁 ( 无论出于何种原因以及在任何时候都 ) 能够访问数据, 以及在什么情况下数据可以披露给第三方供其使用传输中的数据正在通过网络 ( 包括无线传输 ) 以电子邮件或结构化的电子交换的形式传输的数据静态数据未处于运动中的数据, 诸如驻存在数据库文件系统闪存内存和任何其他结构化存储设备中的数据使用中的数据正在被创建检索更新或删除的数据信息可以被处理构建或解释的数据组合, 用以增加数据的价值数据 ) 中之后就能提供每个人的年龄 ( 信息 ) 2 例如, 一串数字 ( 数据 ) 在添加到一个人名列表 ( 同样为个人可识别信息 (PII) 可用于识别某个人的信息, 包括姓名地址或任何其他的独有信息尽管所有类型的数据都可以获得保护, 但是在个人可识别信息 (PII) 的环境下数据保护发挥的作用尤为明显, 这是因为几乎所有的地理区域对针对这种类型的数据制定了严格的规章制度如图 1 所示, 数据保护 ( 人们常把它视为信息资产管理 ) 跨越了整个的数据生命周期, 从数据的创建使用共享一直到最终的删除每个阶段都需要使用一些控制方法来保护数据, 以防止对数据进行未经授权的访问和使用图 1. 在整个数据生命周期内保护数据 2 www.uoc.edu/in3/dt/20388/20388.pdf 2013 开放数据中心联盟版权所有 5

Destroy Access control - rights management Secure deletion Create Access control - rights management Information classification Backups and Archives Access control - rights management Data encryption Share Access control logical controls and app security Data encryption Store Access control - rights management Data encryption Use Access control - rights management Access control - logical controls and app security Security information and event management (SIEM) Data Life Cycle 销毁访问控制权限管理安全删除创建访问控制权限管理信息分类备份与存档访问控制权限管理数据加密共享访问控制逻辑控制和应用安全数据加密存储访问控制权限管理数据加密使用访问控制权限管理访问控制逻辑控制和应用安全安全信息和事件管理 (SIEM) 数据生命周期目标本框架主要针对与云环境中的数据安全有关的核心要求进行讨论我们希望本文可以为涵盖数据安全特定要素的一系列重点应用模式提供基础服务本文将着重讨论以下几点核心要求 : 访问控制信息分类数据加密数据屏蔽技术安全信息和事件管理备份归档与删除对于那些正在考虑向云环境迁移的企业来说, 这些要求为他们提供了数据安全战略方面的基础而对于那些努力为云用户提供安全环境的云服务供应商来说, 这些要求亦可提供指导服务 6 2013 开放数据中心联盟版权所有

范围之外以下内容不在本白皮书的讨论之列 : 数据泄露防护 (DLP), 详情请见开放数据中心联盟应用模式 : 安全提供商保证 3 物理访问控制, 诸如建筑物安全性机柜安全性和物理主机安全性针对这些控制的具体实施的应用模式这些内容将在随后的文档中讨论数据安全面临的挑战在云环境中提供数据安全将面临诸多挑战其中普遍存在的两个最突出的挑战就是云提供商需遵守的法律要求, 以及在满足加密要求的同时达到满意的处理速度法律方面的注意事项在云环境中实现数据安全需要注意以下几方面的法律事项加密要求在多数情况下, 云服务提供商并不会严格地按照法律合同像云用户那样安全地处理数据 ; 因此云服务提供商通常被认为是处在用户的安全边界之内这就意味着要想确保安全, 数据在离开用户位置之后必须始终处于加密的状态被遗忘的权利在未来的几年中, 随着政府和监管机构进一步地理解云环境的内在风险, 负责对企业规范使用云计算进行监管的法律体系必定会相应地改变在此过程中, 主要的关注领域之一就是数据保密性 4 而数据保密性法规的关键要素之一就是被遗忘的权利当前针对该要素并没有一个明确的解释然而, 按照最严格的解释, 任何客户或员工在和云用户终止合作关系之后都希望该用户能彻底删除所有和他们有关的数据和信息 ( 包括所有备份和存档副本中的参考资料 ) 司法管辖权我们要求云用户遵守其业务所在的所有国家的法规因此, 假如一个云用户正在欧洲经营业务, 那么他必须遵守当地的 PII 法规然而, 当云提供商想在其他的一些国家开展业务时, 他们可能会发现这些国家针对信息披露的法规与另一个管辖范围的法规产生了直接的冲突加密密匙出口一些国家对加密密匙的出口进行了规定如果云用户坚持使用某个管辖范围内的密匙管理系统, 那么他可能会违反云服务提供商处理或存储数据所在的另一个国家的法规处理速度在满足加密要求的前提条件下, 企业很难同时满足实时交付结果的要求这是因为在大多数情况下, 数据的加密和解密会耗用更长的处理时间举例来说, 假如云用户正在使用一个基于云的存储位置以及一个现场处理系统, 那么在处理设备和存储位置间传输的数据就会跨过用户位置的边界, 此时就要求对这些数据进行加密和解密这种情况会导致所有解决方案的复杂性和成本出现大幅提高 3 4 www.opendatacenteralliance.org/library 欧盟 (EU) 是数据保密的行业领导者, 为了更好地管理数据保密, 该机构已经建立了严格的规章制度 2013 开放数据中心联盟版权所有 7

访问控制当数据离开一个企业内部环境的边界时, 针对这些数据的未授权访问的风险随即增加由于对企业数据的合法访问是云服务能否持续运行的关键, 因此提供强有力的数据访问控制就显得尤为重要了根据美国国家标准与技术研究院 (NIST) 的相关规定, 为了最大限度地降低数据被篡改或盗窃的风险, 数据访问控制应当体现最低权限的原则 5 鉴于即使是授权用户也可能会访问或修改他们本不应该修改的信息, 该原则规定用户仅限于访问他们所需的用于执行其任务的信息, 进而最大限度地降低了上述情况的风险发生. 而且, 一个正式的请求过程应该对诸如系统管理员或数据库管理员的特权访问进行限制和管理为了保护云用户的数据, 开放数据中心联盟 (ODCA) 针对云服务的身份管理和访问已经发布了大量的应用模式这些应用模式可以从 ODCA 内容库 6 中获取, 它们详细地描述了在一个云环境中如何提供和撤销对数据的访问身份管理互操作性指南基于云的身份治理和审计架构即服务 (IaaS) 特权用户访问基于云的身份供应单点登录身份认证访问控制等级本文着重讲述数据的访问控制对建筑物和数据中心的物理访问, 以及通过远程和本地连接对经营场所进行的逻辑访问不在本文的讨论之列图 2 中针对不同的用户人群列出了多种合法的数据访问方法, 包括访问云服务的客户管理账户的已认证员工以及管理服务的系统管理员此外, 它还列出了其他的访问方法, 包括在该平台上执行数据分析或其他形式的数据加工的应用服务器在每种情况下, 为避免非法使用数据而进行的访问控制随用户类型或访问类型的不同而不同表 2 中针对每种不同的访问类型和控制方式举例说明了一些常见的威胁, 以便提供一些保护或修正方法来阻止这 7 些威胁如欲获取更为完整的访问类型列表, 请参见 ODCA 的身份管理互操作性指南 5 6 7 hissa.ncsl.nist.gov/rbac/paper/node5.html www.opendatacenteralliance.org/library www.opendatacenteralliance.org/docs/identity_management_interoperability_guide_rev1.0_b.pdf 8 2013 开放数据中心联盟版权所有

表 2. 用户访问类型及威胁范例 8 用户访问类型客户 ( 云用户 ) 员工 ( 云用户 ) 常见威胁权限提升未授权访问 ( 证书盗窃 ) 数据泄露 ( 个人数据盗窃 ) 除客户之外 : 数据泄露 ( 公司数据盗窃 ) 控制推荐 ( 请参见开放数据中心联盟应用模式 : 安全提供商保证 8 获取完整的列表 ) 传输中的数据加密安全信息和事件管理 (SIEM) 安全软件开发标准服务的渗透测试和漏洞扫描除客户之外 : 多因素身份认证系统管理员除员工之外 : ( 云用户或云提供加密密匙盗窃商 ) 主机受到威胁除员工之外 : 静态数据强加密对关键的管理员变更采取双人原则 (Four-eye principle) 网络入侵防御系统应用访问未授权访问 ( 账户盗窃 ) 数据泄露 ( 公司数据盗窃 ) SIEM 静态数据加密安全软件开发标准服务漏洞扫描图 2. 数据访问类型范例 Web Portal (presentation) 门户网站 ( 展示 ) Data Source 数据源 APP Servers (Presentation) 应用服务器 ( 展示 ) Data feeds, SQL queries 数据供应, SQL 查询 APP Servers (Data manipulation enrichment, and 应用服务器 ( 数据操作加工等 ) so on) Web access Web 访问 Web access thick client (single sign-on) Web 访问胖客户端 ( 单点登录 ) Administrative access (RDP/SSH, etc.), SQL 管理访问 ( RDP/SSH, 等 ),SQL 查询, 数据挖掘 queries, Data mining Customers 客户 Authenticated Staff 通过身份认证的员工 System Administrators 系统管理员 8 www.opendatacenteralliance.org/library 2013 开放数据中心联盟版权所有 9

访问控制方式与数据的其他方面紧密相关举例来说, 诸如机密或严格保密 ( 在下面的信息分类一节中将详细讨论 ) 的数据分类就对云服务提供商必须支持的保证等级进行了限定, 以对其持有或处理的数据提供充分的保护此外, 针对数据集的访问控制方式必须包含适当的身份认证强度通常而言, 访问控制应当按照两种级别实施 : 系统级别和应用级别这种双管齐下的方法不仅针对来自管理员和用户的攻击提供了保护, 而且还有助于确定每个访问控制组件该由谁负责无论是哪种级别, 访问权限的许可都应遵循须知与须做 (need to know, need to do) 原则系统级别 ( 系统管理员 ) 在该级别情况下, 针对已分类数据的访问权限并不属于默认用户配置的一部分, 而应根据明确的请求予以提供提升的访问权限应该通过明确的命令激活, 并且应对其进行记录和定期检查 ( 例如每年一次 ) 如果数据拥有者不再确认这种提升的访问权限, 该权限将被撤销应用级别 ( 客户用户和分析人员 ) 在该级别情况下, 访问权限需要得到数据拥有者或专门托管人的批准使用加密和数据匿名化等技术, 通过应用逻辑实施最低限度的数据披露信息分类并非所有数据都是相同的某些数据在保密性或敏感度上相比其他数据提出了更高的要求同样, 对于某些数据 ( 诸如金融业务数据 ) 来说, 数据的完整性至关重要 ; 但对其他数据来说, 不太严格的完整性也是可以接受的此外, 在某些情况下, 数据必须要一直保证其可用性, 而在其他情况下, 数据出现一定程度的故障或不可用也可以接受为了满足云用户的数据保护需求, 一家云服务提供商必须要将这些保密性完整性和可用性 (CIA) 因素结合起来, 同时要符合业务需求及所有的法律契约或监管要求和约束条件, 才能制定出相应的措施保密性完整性与可用性 (CIA) 为了轻松地实现一致和有效的信息安全措施, 我们应该基于数据的保密性完整性和可用性对信息资产进行分类保密性为了避免非法的或意外的信息披露, 必须根据表 3 中列出的披露影响对信息进行分类 10 2013 开放数据中心联盟版权所有

表 3. 保密性等级保密性影响描述最低保护概要公开指的是那些视情况而定可以向公众披露或发布的信息, 同时这种披露或发布行为不会对公司公司的员工或业务伙伴造成影响公开信息不要求采取特定的保密性保护措施根据目标受众选择适当的时机进行对外发布内部 ( 默认 ) 示例 : 新闻稿, 一般的营销材料不适合公开披露的信息 ; 仅允许公司员工使用, 或者在适合的契约约束的前提下根据须知与须做原则允许外部人员使用示例 : 内部备忘录和其他内部文件, 内部产品和工艺说明书, 公司的组织机构资料政策和标准防止未经授权的外部访问信息转移传输或存储在公司外部时采用适当的保护 ( 诸如加密 ) 防止在存储和保存过程中出现未经授权的访问滥用或人为的破坏, 例如通过使用清屏选项应用适当的访问控制机制实现须知与须做原则使用适当的身份认证机制, 诸如美国国家标准技术局 (NIST) 2 级标准 9 仅在以下两种情况下处理数据 :(a) 使用经过公司批准授权的硬件软件和服务 ;(b) 使用为远程用户或便携设备用户授权的软件和服务保密严格保密仅在企业内部使用的信息, 或者经授权后可以披露给外部人员的信息未经授权便披露这种信息将会给企业企业的客户员工或业务伙伴带来不利影响这种信息仅供有限的人员使用, 要求采用增强的安全机制实施充分的保护在没有得到数据拥有者或指定托管人准许的情况下不准对外发布除内部保护之外 : 建立员工审查流程, 满足数据拥有者的要求 ; 允许数据拥有者对敏感数据的访问权限进行评估实施增强的访问控制安全措施, 包括受限制的和定期复查的访问权限使用增强的身份认证机制进行保护, 诸如 NIST 3 级示例 : 产品策略, 未公开的财务信息, 未公开标准的财务风险和运营风险信息, 未公开的组内交流, 敏感的内部交流限制物理访问 ; 将物理访问降至最低最敏感的商业信息, 仅在企业内部使用未经授权便披露这种信息将会给企业员工或业务伙伴带来极为不利的影响由于未经授权的信息披露或处理可能会造成非常严重的业务影响, 因此这类信息要求采用最高的信息安全标准示例 : 约束性权限中的客户识别数据, 董事会文件除保密性保护之外 : 采取适当的保护, 例如在数据未传送或在传送过程中进行加密屏蔽或匿名化处理使用极高的身份认证机制进行保护, 诸如 NIST 4 级标准限制物理访问 ; 将物理访问降至绝对最低水平 9 如欲了解更多有关美国国家标准技术局 (NIST) 电子身份认证指南的信息, 请访问 NIST 网站 www.nist.gov 2013 开放数据中心联盟版权所有 11

完整性为了达到相应等级的完整性, 我们必须对数据进行分类, 以反映出偶然的或未经授权的修改或破坏会带来的风险, 详情请见表 4. 表 4. 完整性等级完整性影响描述最低保护概要基本的 ( 默认 ) 非关键数据 : 数据即使被改变或破坏也不会造成重大影响采用 IT 本身固有的完整性和准确性保证机制应用适当的访问控制机制实现须知与须做原则可信的关键数据 : 为了实现可靠的业务合作, 必须确保数据的一致性准确性和完整性防止未经授权的变更除基本的保护之外 : 实施额外的或特定的可追踪完整性和准确性保证, 或验证功能针对授权的数据修改建立可追溯机制有保证的可用性关键数据 : 数据的一致性准确性和完整性或活动的不可否认性必须是可以证明的不可否认性反映了某个行为的可证实性需求 ; 也就是说, 该行为不准被拒绝使用增强的访问控制安全措施, 包括受限制的和定期复查的访问权限除受信任的保护之外 : 通过防篡改证据提供可追溯性可用性要求适用于三个运营领域 : 容量管理性能管理备份与恢复无论是哪个领域, 云服务提供商都应当根据开放数据中心联盟应用模式 : 架构即服务标准测量单位中描述的服务等级在信息和系统要求上与云用户达成一致, 10 同时对这些一致意见进行记录云服务提供商同时也应当针对自身在这些目标上的交付能力进行自我测试和复查数据加密和数字证书可以通过两种方法保护数据 ( 这种对数据的保护与数据去敏化不同, 后者将在数据屏蔽技术一节中讨论 ): 加密和数字证书在结合使用加密和数字证书之后, 云服务提供商便可通过身份认证完整性加密技术和令牌验证等方法保护数据加密概述数据加密指的是通过数学计算和算法将纯文本转化为密文的过程, 即转化成一种未授权人员无法读取的形式加密是实现数据安全性最有效的方法之一而算法和密匙则是数据加密的两个必要的组成部分算法通常是公开的, 而密匙则需要严格保密该密匙应该具备足够多的数字, 以避免被他人猜中, 同时具备他人无法搜索出的足够大的长度该密匙在向他人公布之后应该可以用于文件的解密加密算法通常分为两类其中, 对称算法指的是那些使用同一个密匙进行加密和解密的算法例如, 高级加密标准 (AES) 和三重数据加密算法 (TDEA) 采用的就是对称密匙算法而非对称算法则是指那些使 10 www.opendatacenteralliance.org/index2.php?option=com_productsearch&view=lightbox&proid=14 12 2013 开放数据中心联盟版权所有

用不同的密匙进行加密和解密的算法公开密匙加密方法必须采用非对称算法, 同时要求不能轻易地从加密密匙中推算出解密密匙由于私人密匙不被共享, 非对称加密因此被认为是比对称加密更安全的一种算法加密的强度按位数进行测量也就是说, 与密匙的长度相关同时, 加密的强度与随机位生成器 (RBG) 的强度和密匙本身的强度紧密相关对称加密算法通常使用 56 位 128 位 192 位和 256 位的密匙长度 NIST 建议至少使用 112 位的密匙长度如果是严格保密的数据, 密匙长度应该达到 192 位或 256 位就非对称加密算法而言, 基于对数的算法要求密匙长度为 2048 位或 3072 位 ; 而基于椭圆曲线密码体制的算法则要求使用 224 位 256 位或 384 位的密匙密匙管理密匙管理为加密密匙的安全生成存储分配使用和销毁提供了基础密匙管理不当很容易对强大的算法产生危害从根本上来说, 受密码保护的数据的安全性直接依赖于密匙的强度以及与密匙相关的机制和协议的有效性在密匙管理过程中需要着重注意以下几点 : 政策定义密匙管理是数据加密中最复杂的部分企业必须对它的密码安全性和密匙生命周期管理政策进行定义这些政策只应针对已授权用户提供密匙的访问权限, 同时当这些用户不再需要访问时应该撤销其访问权限服务模式密匙管理应当随服务模式的改变而改变例如, 软件即服务可以使用独立于云服务提供商之外的外部云密钥管理服务平台即服务和架构即服务可以使用企业密匙管理服务企业密匙管理服务为数据拥有者提供了更多的密匙控制权限密匙管理的位置原则上来说, 密匙管理不应由托管服务提供商负责这种方法将有助于防止数据外泄, 同时保护数据免遭来自云服务提供商本身的破坏如果密匙由一个外部云提供商保存, 那么该提供商应当保证密匙的安全 ; 密匙管理服务器不应在一个多租户环境中共享证书管理数字证书通过授权的方式为数据保护额外提供了一种方法数字证书指的是封存在文件中的信息或者是一种媒介流 ( 证实某个特定的人或设备已经创建了该媒介 ) 数字证书通常由一个受信任的第三方机构创建或验证, 该机构将确保包含在证书内的信息是有效的希望通过数字证书发送数据的云用户需要首先创建一个密匙对 ( 公开密匙和私人密匙 ), 然后向证书颁发机构 (CA) 申请一个数字证书 CA 然后将颁发一个包含申请人的公开密匙和各种其他识别信息的加密数字证书 CA 已经通过印制材料或互联网提供了自己的公开密匙数据发送者使用私人密匙对数据进行加密加密数据的接收者使用 CA 的公开密匙对附加在数据上的数字证书进行解密, 对该数字证书的权威性进行核实, 然后获取保存在该证书中的发送者的公开密匙和识别信息将保密性完整性和可用性应用于数据加密应按照与数据有关的 CIA 要求对加密进行定义, 有关这部分的要求在保密性完整性和可用性一节中已经进行过讨论在下一节中我们会提到三种技术 ( 传输中的数据静态数据和使用中的数据 ), 根据这三种技术衍生出的各种安全措施和风险实施相应的解决方案数据保密性和加密之间的关系如表 5 所示, 对加密的要求随保密性等级的不同而不同然而, 当企业将他们的基础架构数据和应用转移到云端时, 为那些正被传输使用甚至是静态的保密数据和严格保密数据提供保护就显得尤为重要了不当的数据披露将会对数据拥有者的声誉财务状况以及监管和法律要求的合规性带来负面影响 2013 开放数据中心联盟版权所有 13

下列技术可以对处于各种状态中的数据提供保护 : 传输中的数据诸如安全套接层 (SSL) 传输层安全 (TLS) 和互联网协议安全 (IPsec) 等强加密方法有助于为在两个节点两个存储设备或者存储与处理系统间传输的数据提供保护静态数据应在整个数据库存储或操作系统加密过程中提供保护使用中的数据这种数据由于只有处在原始的静止状态时才能被检索, 因此要求在每次使用时都必须重新授权此外, 云服务提供商应根据数据的保密性要求通过逻辑或物理划分服务进行数据处理表 5. 针对各种保密性等级的加密要求传输中的数据加密要求公开内部保密严格保密无有有有静态数据无无有有使用中的数据无无无有表 6 针对云环境中应实施哪种等级的加密进行了详细的描述表 6. 针对各种提供商保证等级的加密要求 11 提供商保证等级数据类型铜级银级黄金级白金级来自服务或发送至服务的自行决定是否加密自行决定是否加密要求进行加密要求进行加密传输中的通讯数据系统间存储光纤通讯自行决定是否加密自行决定是否加密要求进行加密要求进行加密静态数据应用数据自行决定是否加密自行决定是否加密要求进行加密要求进行加密虚拟机映像和配置文件自行决定是否加密自行决定是否加密要求进行加密要求进行加密使用中的数据网络和存储设备, 配置文件自行决定是否加密自行决定是否加密要求进行加密要求进行加密安全启动过程 ( 硬件级启动 ) 系统完整性检查 ( 虚拟机级别和管理程序级别 ) 自行决定是否加密自行决定是否加密建议进行加密建议进行加密自行决定是否加密自行决定是否加密建议进行加密建议进行加密全盘加密 ( 操作系统级别或硬件级自行决定是否加密自行决定是否加密要求进行加密要求进行加密别 ) 数据完整性和加密之间的关系数据完整性是选择加密等级时的关键考虑因素例如, 如果加密密匙由云服务提供商保存, 要想查明对存储在云端的数据的操作或访问就变得更加困难此时一个较好的解决办法就是结合使用不同的数据保护方法, 诸如系统完整性检查和数字证书, 以便验证出请求的真实性使用这种方法有助于确保数据的安全和真实性当完整性十分必要时, 必须采用防干扰式加密 11 已在开放数据中心联盟使用模式 : 提供商保证中进行了规定, 详情请见 : www.opendatacenteralliance.org/docs/security_provider_assurance_rev%201.1_b.pdf 14 2013 开放数据中心联盟版权所有

数据可用性和加密之间的关系加密在可用性上提出了 2 个挑战 : 数据可用性和密匙可用性数据可用性如果云服务提供商正在通过集群 ( 即将数据从一个数据中心拷贝到另一个数据中心 ) 的方式提供云服务, 很重要的一点就是确保数据无论何时拷贝都应得到保护即使是他们各自的密匙管理服务器也应当保证在次级数据中心的可用性密匙可用性在云加密服务不可用的情况下, 保存在云服务提供商处的密匙同样也不可用, 此时如果没有备用密匙将无法访问数据然而, 保证备用密匙的安全同样也非常关键, 因为丢失该密匙将意味着无法直接访问数据假如云用户自己保持这些密匙, 他们应当同时确保主密匙和备用密匙的安全, 同时拥有对这些密匙的完全控制权限数据屏蔽技术数据屏蔽技术是降低数据敏感性的最佳技术之一为了满足个人可识别信息 (PII) 的数据保密要求和其他法律要求, 我们通常使用数据屏蔽技术 ; 这种技术也可以用于其他类型的敏感数据, 诸如新产品信息或敏感的财务数据如果应用得当, 数据屏蔽方法使得在一个具备较低安全等级的云基础设施上处理敏感数据成为可能与那些能确保获得非常高的数据安全性的云设施相比, 这种方法有助于降低成本提高处理速度和提升应用的易用性数据屏蔽要求即使在同一个地区使用同一个管理框架 ( 例如, 欧盟数据保密指引 ) 的不同企业间也可能是不同的因此, 为了符合当地的要求, 在实施这些方法时要给予特别的注意数据屏蔽应该由云用户单独负责下面列出了一些数据屏蔽方法 ( 按安全等级降序排列 ): 合成数据来源的不确定性决定了数据的生成过程往往是一个综合的过程, 因此与现实没有直接的联系这种技术仅适用于测试数据匿名化个人数据可以通过这种方式进行修改 ( 例如加入不相称的时间成本和人工投资数据 ), 以便修改后的信息将不再反映原始的真实数据例如, 个人数据不再与一个明确的个体之间存在任何联系这种处理方式认为通过使用不相称的投资将有助于责任方更轻松地再次收集数据, 而不是对数据进行反匿名化处理屏蔽与标记化这类技术也称为伪匿名化, 其采用的方式是使用不同的特性令牌或字符串代替相关的识别特性 ( 诸如名称 ) 通常, 经过标记化处理的数据可以使用一种规则或表格将伪匿名化数据转化为原始数据因此, 伪匿名化数据不同于匿名化数据 ; 伪匿名化数据通常仍然处于数据保护法规或其他的监管要求 ( 诸如审计要求 ) 的范围之内然而, 由于伪匿名化或标记化数据仅受不太严格的安全要求和法规要求限制, 因此这类数据处理起来相对更容易一些每一种数据屏蔽方法都有其独特的优势和劣势为了正确地运用这些方法, 我们在使用它们时要给予特别的注意, 以便竞争对手无法使用诸如语境分析等方法还原原始数据 12 注意这一点对非常大的关联数据集尤为重要, 因为这种数据集可能包含匿名化或标记化的数据, 也可能包含来自其他来源的能移除这种保护的数据使用这些数据匿名化技术时应注意以下几方面事项 : 对合成的经过匿名化处理的或被屏蔽的数据要予以特别标注, 以便用户可以把这些数据与真实的数据快速区分开 12 正确运用匿名化和标识化方法并非意味着不会发生再识别, 尤其是当竞争对手已经掌握了和数据有关的其他信息的时候在这种情况下我们可以使用诸如 K- 匿名化和 L- 多样性等技术尽量降低再识别的发生概率 2013 开放数据中心联盟版权所有 15

进行匿名化和标记化处理时必须采用安全可靠的方法, 同时这些方法必须经过严格备案, 以便在必要时公布给其他人或第三方机构供其验证就使用标记化而言, 使用的时间保证至少在向云端传送数据之前的基础上, 越早越好匿名化和标记化方法可以在数据传送至云服务提供商 ( 通常为 IaaS 和 PaaS) 的云基础设施之前应用于数据上这些方法在使用时也可以结合使用一种代理式系统 ( 尤其适合 SaaS 的情况 ) 这种代理系统必须是应用感知型系统, 以确保应用可以正常运行针对不同的应用我们已经提供了各种商业化工具即便某个云环境尚未达到原始数据要求的保密性保护等级, 我们只要正确运用这些方法, 就可以在该云环境中处理数据即便如此, 云用户和云服务提供商也应遵循当地的法规要求, 同时咨询有关当局以确保他们不会违反所有的数据安全要求数据匿名化和标记化方法以下列出的几种方法可用于实现匿名化或标识化 ( 可参见附录 A: 数据匿名化和标识化范例查找有关范例 ) 在选择某个特定的方法时, 我们应参考数据的实际内容做出选择, 以便运用最安全的方法确保我们的数据不会外泄给竞争对手聚合将个体抽象化为更大的群体, 该方法特别适合于 PII 匿名化运用聚合方法时应确保至少有 5 个个体概括为一个群体 13 鉴于竞争对手会尝试重新获取原始数据, 运用这种方法便可以提供额外的保护保密移除全部或部分数据例如, 街道地址和邮政编码可以从一个地址值中删除, 仅仅留下一个城市屏蔽或替代用一个不变的或变化的值字符或字符串代替原始数据值例如,"Max Mustermann" 可以用 "John Doe" 代替用于映射这种替代关系的表格决不能留下云用户的经营场所等信息混合也称为混编在特定的数据库列中的所有数据值被打乱或交换根据随机分配的原则进行混合, 将 ( 局部的 ) 数据从每个数据值归入到另一个数据值如果严格使用, 这种方法甚至可以将指向个体的指引移除混合方法仅在有 6 个或以上的数据值的情况下使用, 同时确保双重赋值已经被 14 取消变异使用数字或日期改动个人数据, 以便数字值在指定的变异间隔内随机增减加密方法提供强有力的保护, 这些方法尤其适合于大型的数据集, 此时应严格禁止未授权的重新赋值为了实现最佳的效果, 请使用最新的安全算法和密码正确实施加密方法是能否实现强大保护的关键, 诸如提供充分的随机性运用加密方法时应注意以下几点 : - 字符类型保留必须保留字段类型即字母数字的字符必须映射到字母数字的字符 - 长度保留必须保留字段长度即映射数据的长度和原始数据必须保持一致由于原始数据可能会被披露, 此处要给予特别的注意 ; 例如, 某些字长要确保足够的分散 - 避免冲突 2 个单独的数据值不准映射到同一个加密映射 ( 进行标识化处理时尤其要注意这一点 ) - 独特性一组原始数据必须始终映射到同一个令牌 / 映射项上 13 个体数量达到 5 个或以上时有助于针对解聚攻击提供基本的保护 14 6 个或以上的数据值有助于确保混合过程获得一个最小的平均信息量 16 2013 开放数据中心联盟版权所有

安全信息和事件管理在提供商保证 (PA) 应用模式下, 我们为安全信息和事件管理 (SIEM) 提供了 2 种不同的使用方法, 每种方法都具备不同的数据保护要求满足多重要求 SIEM 工具可能会成为审计和报告的焦点, 它可以帮助提供商证明他们是否可以满足与安全保证有关的不同的服务等级协议 (SLA) 与特定 SIEM 有关的要求可以使用一个 SIEM 工具满足与特定 SIEM 有关的 PA 模式要求使用 SIEM 监控多重要求表 7 中列出了一些可以通过 SIEM 工具验证的应用模式要求表 7. 可以使用安全信息和事件监控工具进行监控的提供商保证应用模式提供商保证应用模式要求杀毒和恶意软件保护 (24 小时内定义更新 ) 用于远程管理的安全协议 ( 如,SSL SSH RDP 等 ) 删除所有默认的密码和客户端访问网络入侵抵御 ; 在 48 小时内进行更新对所有管理级事件进行事件记录 ( 需要控制对日志的访问 ) 对关键的管理员变更采取双人原则 (Four-eye principle) 云提供商员工不进行管理性访问提供商保证等级铜级铜级铜级白银级白银级白银级白金级云提供商应该配有一个专用的 SIEM 系统, 用以接收来自云管理平台和后端系统的事件我们在构建 SIEM 系统时应该使用单独的物理设备和数据存储区, 而不是使用那些用以为用户交付 SIEM 服务的设备和存储区用户不应访问提供商 SIEM 系统使用的后端系统此外, 提供商应使用行业最佳的规范保护 SIEM 平台上的数据提供商可以通过多种方式将 SIEM 数据交付给用户用于审计 : 按照 PA 应用模式中规定的预定日程的方式通过电子邮件发送报告在一个安全监控应用模式规定的安全门户网站中访问数据使用安全监测应用模式规定的 API 访问数据在铜级白银级和黄金级保证等级的情况下, 提供商须对 SIEM 流程进行管理同时负责向云用户发送数据在白金级保证等级的情况下, 用户可以访问并管理他们的 SIEM 而对于其他的较低服务等级, 可能会在一个类似的安全管理平台上安装一个 SIEM 设备, 专门用于用户安全事件这有助于防止用户访问与提供商平台有关的后端安全数据 2013 开放数据中心联盟版权所有 17

备份存档与删除数据的备份存档和最终的删除是数据生命周期中几个关键的阶段如同存储和使用等其他阶段一样, 这些阶段也受数据安全要求的制约备份和存档数据的存档必须满足云用户基本的业务需求以及各自的法律要求如果云用户一直要求进行备份, 云服 15 务提供商应对这种备份要求进行核实, 使其满足所有在提供商保证应用模式的相关章节中定义的安全和隔离要求在合同通知过程中必须确定交付基于云的数据的备份的要求再次强调一点, 密匙管理非常重要如果没有密匙, 数据的存档或备份都将失去意义业务连续性管理业务连续性管理 (BCM) 是一种管理流程借助该流程, 我们可以对威胁企业的潜在风险进行识别并提供出一个框架, 通过该框架构建能够针对这些风险做出有效响应的灵活性和能力, 以保护重要股东的利益企业的声誉品牌和价值创造活动如果要求对数据或系统进行重新实例化, 就必须对必要的加密密匙进行备份以保证其可用性安全删除数据的存储方式决定了数据的删除方式如果备份的数据是以加密的形式保存, 对加密密匙的所有副本进行删除操作将导致存储的数据被完全删除 ( 这种情况也称为密码粉碎 ) 如果数据未以加密的形式保存, 那么数据的所有备份副本都必须妥善保存, 同时必须按照合同中规定的数据删除要求执行删除如果数据存储在一个多租户环境中, 数据的备份必须满足以下条件 : 对个人用户数据的删除可以采取定时的方式 ( 例如在 6 个月之后 ), 也可以在用户要求之后再执行删除 15 www.opendatacenteralliance.org/docs/odca_providerassurance_rev.%201.1_final.pdf 18 2013 开放数据中心联盟版权所有

RFP 要求 ODCA 认为以下要求应包含在递交给云服务提供商的信息邀请书 (RFP) 之中云用户要求分类了解信息分类的重要性, 同时将本框架中规定的实施标准分类所需的所有要求包含进来数据安全生命周期了解现有的数据安全生命周期对传送至云端的数据有哪些影响, 以及哪些政策变更是必须的权限分配了解如何管理用户的权限, 对给各种用户类型分配的权限进行记录, 同时对集成要求进行规定合规性选定需遵守的合规性类型, 查明是否存在开放数据中心联盟应用模式 : 监管框架 16 中描述的数据主权问题云提供商要求 ODCA 原则要求解决方案应当是开放的, 工作于多个虚拟和非虚拟基础设施平台之上, 并且符合标准要求对解决方案如何满足本要求及该解决方案本身具有的任何局限性做出说明 ODCA 安全提供商保证应用模式 1.1 解决方案必须允许在 SIEM 系统中体现和跟踪保证等级备份与存档说明所提供的服务如何针对包含备份和存档在内的所有等级运用被遗忘的权利合规性证明所提供的服务如何协助云用户满足他们的法律要求同时也证明这些服务如何满足该国家或业务运营所在国家的数据加密法规数据保护将当前的数据保护政策与数据传送至云端的风险进行比较针对特定的使用情况运用其他必要的数据加密或保护方法 - - 云提供商与云用户之间的加密通信 : 按照本文前面规定的方式实施, 诸如使用数据传输要求通常针对独立于服务层之外的外部私有云实施必须对所有传输中的数据和静态数据进行强有力的加密 : 对于 VM 和永久性数据, 加密应由云用户负责关于云管理 API, 请参见本文前面规定的安全协议, 详情请见数据保密性和加密之间的关系一节数据屏蔽明确地说明了哪些地方需要数据屏蔽以及云提供商如何管理数据屏蔽安全存档和删除通过提供安全存档和删除审核报告的方式提供了透明度同时针对在云用户处所进行存档的情况确保了安全的数据传输数据可用性制定一个明确的服务等级协议, 定期地发布指标以确保始终能满足数据的可用性要求数据完整性要求防止恶意软件或任何其他进程修改数据运用各种方法应对数据完整性问题硬件的物理分割与其他所有硬件系统保持隔离, 如服务器存储和网络, 详情请见开放数据中心联盟应用模式 : 安全提供商保证 17 16 www.opendatacenteralliance.org/library 17 www.opendatacenteralliance.org/library 2013 开放数据中心联盟版权所有 19

所需行业行动概要为了使本数据安全框架易于理解实施以及在云环境中使用,ODCA 已经对那些具有开放规范和正式标准的具体领域进行了确定 ODCA 将与业界合作, 对本文档的未来版本中包含的规范进行评估和推荐为了进一步改善本框架使之成为正式的应用模式, 我们需要采取如下的行业行动其中的一些行动将会对云提供商和云用户同时产生影响而其他的行动则针对其中的一方或另一方整个行业的行动数据安全必须符合国家特有的法律要求云服务提供商和云用户都要充分理解这些要求和它们的涵义透明度非常重要云提供商应以更轻松和方便的方式提供事件报告和指标发布等服务这种指标的发布应当能够说明对云用户数据的保护, 以及在云环境中如何避免数据外泄云提供商行动云提供商及其他利益相关方根据各种保证等级 ( 铜银黄金白金 ) 的建议数据安全标准, 申请提交输入内容云提供商需要明确地说明他们的产品是否满足本数据安全框架的要求云提供商申请提交本框架的早期实施情况, 以供考虑和评估云用户行动云用户应对自己的企业进行审查, 并确保已经充分了解数据安全的生命周期 ; 然后比对问验证他们的调查结果 RFP 的提云用户应进一步发展云环境下数据匿名化和数据屏蔽技术的使用模式 20 2013 开放数据中心联盟版权所有

附录 A: 数据匿名化和标识化范例保密原始数据集经过保密处理的数据集 John Mustermann ***** HippelstraBe 9a 81827 Munchen Munchen 089/2342 4223 089 屏蔽 / 替代原始数据集经过屏蔽 / 替代处理的数据集 John Mustermann Max Doe HippelstraBe 9a 81827 Munchen 1 Main Street, 12345 Mustertown 089/2342 4223 0123/4567 8901 混合原始数据集经过混合处理的数据集名姓年龄体重名姓年龄体重 John Mueller 23 55 Sepp Maierxx 81 65 Lana Maier 42 66 Lily Muellerxx 30 70 Sepp Schulze 81 70 John Schmittxx 23 66 Lily Schmitt 30 65 Lana Schulzexx 62 55 变异原始数据集经过变异处理的数据集 Date of birth:july 21, 1969 Date of birth:oct. 6, 1970 Salary:EUR 23,000 Salary:EUR 24,123 Weight:80kg Weight:70kg 2013 开放数据中心联盟版权所有 21

其他例子属性方法旧值新值数字 1234567890 1234561111 对后 4 位字符重新赋值 212345678 212341234 用随机数字替代客户数字由于这可能会生成 1234567890 47110815nn 18 新的有效的客户数字, 必须为数字附加上标记 212345678 24711815nn 18 姓名使用变异处理, 例如 ± <10% EUR 23,000 EUR 25,100 EUR 24,000 EUR 23,900 EUR 25,000 EUR 26,800 删除 / 保密 EUR 25,000 (ZERO) 使用映射表重新赋值 Mueller Lang_Muster Lang Sousa_Muster 使用固定姓名替代 Mueller Mustermann Lang Mustermann Mueller Mustermann_01 用序号替代固定姓名 Lang Mustermann_02 邮政编码使用实现表对最后 2 位数字重新赋值 01129 01111 01129 01199 用固定值替代最后 2 位数字 39114 39199 出生日期将日和月设置成固定值 21.06.1969 01.01.1984 将出生日期设置成固定虚拟值 21.06.1969 01.01.1111 电子邮件地址删除 / 保密 john@example.org (ZERO) 用固定虚拟值替代 john@example.org max@muster.de 宗教用固定虚拟值替代天主教虚拟宗教 18 nn 代表随机的数字 22 2013 开放数据中心联盟版权所有