專家解讀|從云評估看云平臺供應(yīng)鏈安全
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時間:2022-9-1
云計算服務(wù)安全評估工作已經(jīng)開展了一段時間,這期間全球云計算技術(shù)和產(chǎn)業(yè)都發(fā)生了很多變化,除了技術(shù)的進步、商業(yè)模式的演進外,開源軟件供應(yīng)鏈安全和地緣政治的變化,將會成為影響全球云計算服務(wù)產(chǎn)業(yè)發(fā)展的重要因素,同樣作為全球云計算產(chǎn)業(yè)重要組成部分的中國也不可能置身事外。云評估作為確保中國政府和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域云平臺安全的重要措施,云平臺的供應(yīng)鏈安全也將會成為云評估關(guān)注的重點之一。本文將針對黨政和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域(以下簡稱“關(guān)基領(lǐng)域”)云服務(wù)產(chǎn)業(yè)的特點,從平臺建設(shè)模式、云服務(wù)供應(yīng)鏈構(gòu)成、供應(yīng)鏈風險、應(yīng)對措施、云評估建議等5個方面描述相關(guān)內(nèi)容。
1.云平臺建設(shè)模式
從近些年通過云評估的云平臺來看,關(guān)基領(lǐng)域的云服務(wù)部署模式主要以社區(qū)云和私有云為主,服務(wù)模式則以IaaS為主流,近年來提供PaaS、SaaS服務(wù)的平臺數(shù)量逐漸增加。針對上述部署和服務(wù)模式,關(guān)基領(lǐng)域的建設(shè)模式基本可以分為如下幾類:
1)全自建模式:關(guān)基領(lǐng)域的客戶,根據(jù)自身的需求,獨資設(shè)立專門的云服務(wù)運營機構(gòu)——云服務(wù)商,云服務(wù)商再委托系統(tǒng)集成商完成云平臺相關(guān)軟硬件集成工作,自建運維隊伍,為關(guān)基客戶開展服務(wù)。典型的:如國家各部委使用的私有云服務(wù)平臺、大行業(yè)的社區(qū)云平臺。
2)采購模式:關(guān)基領(lǐng)域的客戶,根據(jù)自身的需求,與公有云服務(wù)商合作,由云服務(wù)商投資建設(shè)專門的云平臺,關(guān)基客戶通過采購服務(wù)的模式采購該云平臺的服務(wù)。典型的:公有云服務(wù)商為地方政府建設(shè)的私有云服務(wù)平臺或社區(qū)云服務(wù)平臺。
3)合作建設(shè)模式:非常類似全自建模式,但云服務(wù)商(云平臺)的投資不是來自關(guān)基領(lǐng)域客戶的獨資,而是和合作伙伴一起投資。具體的投資方式有很多種(比如:PPP等模式)。
不同的建設(shè)模式,會對云平臺的建設(shè)、運行和管理的細節(jié)造成不同程度的影響,從而形成了關(guān)基領(lǐng)域云計算服務(wù)供應(yīng)鏈管理的獨特之處,后面章節(jié)會對此進行描述。
2.云服務(wù)供應(yīng)鏈構(gòu)成
云服務(wù)作為現(xiàn)代信息技術(shù)交付和商業(yè)模式的重大發(fā)展,是建立在現(xiàn)代軟硬件和網(wǎng)絡(luò)技術(shù)上的,而網(wǎng)絡(luò)技術(shù)本身也是依托專用的軟硬件技術(shù),因此針對具體的云平臺,其相應(yīng)的供應(yīng)鏈則基本可以分為軟件、硬件和服務(wù)三大類型,每一類供應(yīng)鏈則由供應(yīng)節(jié)點和這些節(jié)點之間的交付關(guān)系所組成。需要說明的是,供應(yīng)鏈的每一個節(jié)點需要向下游提供自己的“交付物”,同時需要上游“交付物”才能夠保證自己及時向下游進行交付,這些上游的節(jié)點及其與本節(jié)點的“交付關(guān)系”構(gòu)成該節(jié)點的“直接供應(yīng)鏈”,也稱“一級供應(yīng)鏈”;各個上游節(jié)點都會有自己的“直接供應(yīng)鏈”,這些上游“直接供應(yīng)鏈”節(jié)點的“直接供應(yīng)鏈”構(gòu)成了“二級供應(yīng)鏈”;以此類推,還會有“三級供應(yīng)鏈”……。本文重點討論云服務(wù)商的一級和二級供應(yīng)鏈。
云服務(wù)商的一級供應(yīng)鏈典型構(gòu)成如下圖所示:
云服務(wù)商通過建設(shè)、維護和運營云平臺,來為關(guān)基客戶提供服務(wù),云服務(wù)商的交付物為“云服務(wù)”(即:IaaS、PaaS、SaaS),關(guān)基客戶通過網(wǎng)絡(luò)訪問云平臺的服務(wù)。云服務(wù)商的一級供應(yīng)鏈節(jié)點一般由軟件供應(yīng)商、硬件供應(yīng)商和服務(wù)供應(yīng)商三類組成。
軟件供應(yīng)商主要為云服務(wù)商提供云平臺建設(shè)所需的管理、運維、服務(wù)、安全等軟件產(chǎn)品,以及與所提供軟件產(chǎn)品緊密相關(guān)的支持服務(wù)。軟件供應(yīng)商一般提供的主要有:計算、網(wǎng)絡(luò)、存儲資源虛擬化軟件,云平臺管理軟件,PaaS、SaaS服務(wù)軟件,設(shè)施與系統(tǒng)運維管理軟件,信息安全軟件,業(yè)務(wù)運營軟件,客戶支持軟件等。
硬件供應(yīng)商則主要提供相關(guān)的計算、存儲、網(wǎng)絡(luò)等硬件產(chǎn)品,常見硬件產(chǎn)品有:服務(wù)器、網(wǎng)絡(luò)組網(wǎng)設(shè)備、通信設(shè)備、存儲設(shè)備、信息安全設(shè)備等。很多硬件設(shè)備都不是純粹的硬件產(chǎn)品,而是軟硬一體化產(chǎn)品。
服務(wù)供應(yīng)商提供的主要有:互聯(lián)網(wǎng)接入服務(wù)、人力外包服務(wù)、集成服務(wù)和其他服務(wù)。服務(wù)商提供的服務(wù)內(nèi)容非常龐雜,尤其是其他服務(wù)類別,包括了:機房租賃、測試測評服務(wù)、咨詢服務(wù)等很多方面的服務(wù)。另外,在存在集成服務(wù)供應(yīng)商的情況下,很多軟件產(chǎn)品和硬件產(chǎn)品的支持服務(wù)部分(或全部)會由集成服務(wù)供應(yīng)商完成。
上面描述的一級供應(yīng)鏈結(jié)構(gòu)適用于全自建模式和合作建設(shè)模式。在采購模式中,公有云服務(wù)商除了作為云服務(wù)商建設(shè)運營關(guān)基領(lǐng)域的云平臺外,這些企業(yè)往往也是獨立的云平臺建設(shè)所需軟硬件產(chǎn)品的供應(yīng)商,因此在這種模式中,云服務(wù)商的一級軟件、硬件和服務(wù)供應(yīng)商有可能就是自己。
云服務(wù)商的二級供應(yīng)鏈由上述一級供應(yīng)商的外部供應(yīng)商所組成。典型的一級供應(yīng)商的外部供應(yīng)商構(gòu)成如下圖所示:
組件/部件供應(yīng)商的交付物將會進入到一級供應(yīng)商的交付物中,成為一級供應(yīng)商向云服務(wù)商交付物的重要組成部分。
工具/設(shè)備供應(yīng)商的交付物將用于構(gòu)建一級供應(yīng)商自身的研發(fā)、生產(chǎn)、服務(wù)能力,是一級供應(yīng)商持續(xù)提供交付物不可或缺的基礎(chǔ)條件。工具/設(shè)備供應(yīng)商的交付物一般不會出現(xiàn)在一級供應(yīng)商的交付物中,但這些工具/設(shè)備會嚴重影響一級供應(yīng)商交付物的質(zhì)量、規(guī)模、效率和安全性。
服務(wù)供應(yīng)商則是一級供應(yīng)商持續(xù)提供交付物不可或缺的外部服務(wù),例如:硬件的物流服務(wù)、軟件的分發(fā)服務(wù)、人力外包服務(wù)等。
3.云服務(wù)供應(yīng)鏈風險
云服務(wù)商要正常持續(xù)開展服務(wù),依賴外部一級供應(yīng)商的持續(xù)供貨和服務(wù),要防止供應(yīng)鏈環(huán)節(jié)存在的問題,造成云服務(wù)的中斷(持續(xù)可用性)、品質(zhì)下降、客戶數(shù)據(jù)的丟失和泄露,因此供應(yīng)鏈安全的目標主要有如下幾個方面:
1)確保交付物的完整性,即:云服務(wù)商通過供應(yīng)鏈獲得的軟件、硬件和服務(wù),不會在供應(yīng)商的整個生產(chǎn)、交付過程中被破壞,導致不可用,或可用度下降;
2)確保交付物的安全性,即:云服務(wù)商通過供應(yīng)鏈獲得的軟件、硬件和服務(wù),不會在整個研發(fā)、生產(chǎn)、交付過程中被植入后門或缺陷,或者無法對所發(fā)現(xiàn)漏洞、問題進行處置和修復;
3)確保交付物的質(zhì)量,即:供應(yīng)商所提供的交付物不應(yīng)存在質(zhì)量問題,無法達到云服務(wù)商的質(zhì)量要求,如:功能缺失、性能下降等;
4)確保交付的可持續(xù)性,即:不會因為各種原因(如:自然災害、地緣政治等)等,導致交付的數(shù)量、規(guī)模、周期等發(fā)生變化。
供應(yīng)鏈安全面臨的威脅發(fā)生在幾個方面:
1)一級供應(yīng)商和云服務(wù)商之間的交付途徑上。常見的此途徑上發(fā)生的威脅:硬件交付過程中的損壞、突然停止供應(yīng)產(chǎn)品、供貨延期、軟件交付中插入惡意代碼等。關(guān)基領(lǐng)域的云服務(wù)商要特別關(guān)注此途徑上可能對產(chǎn)品和服務(wù)完整性、安全性的破壞;對于一級供應(yīng)商交付途徑源頭在海外的,還要關(guān)注交付途徑的可持續(xù)性,防止被突然切斷;
2)發(fā)生在一級供應(yīng)商自身的威脅。常見的威脅有:產(chǎn)品和服務(wù)的架構(gòu)能力、安全保障能力、質(zhì)量保障能力不足導致的產(chǎn)品質(zhì)量、性能、安全性缺陷,生產(chǎn)能力和服務(wù)能力的不足導致供貨和服務(wù)缺失,對外部網(wǎng)絡(luò)攻擊防范能力的不足導致的產(chǎn)品生產(chǎn)、服務(wù)交付的中斷、被植入后門,企業(yè)經(jīng)營不善導致的供貨中斷等。關(guān)基領(lǐng)域的云平臺以社區(qū)云和私有云為主,單個云平臺的規(guī)模有限,但數(shù)量很大,導致一級供應(yīng)商的數(shù)量、種類很多,相關(guān)企業(yè)的技術(shù)能力、管理水平、企業(yè)規(guī)模等差異很大,各個企業(yè)自身存在程度不同的對供應(yīng)鏈的威脅;
3)發(fā)生在二級供應(yīng)商和供應(yīng)途徑上的威脅。這是供應(yīng)鏈安全威脅最復雜的地方,常見的如:部件、組件的斷供;開發(fā)和生產(chǎn)工具的斷供和斷服;在部件、組件、開發(fā)工具中植入惡意代碼等。對國內(nèi)關(guān)基領(lǐng)域的云服務(wù)商,大量的二級軟件供應(yīng)商為全球各類開源軟件。開源軟件社區(qū)由于資源缺乏等導致的自身安全性問題、交付途徑安全威脅會嚴重影響到云服務(wù)商的供應(yīng)鏈安全。更為嚴重的是,國內(nèi)大量的一級供應(yīng)商并不具備對所使用的全部開源軟件全面和長期服務(wù)能力,會嚴重依賴全球開源社區(qū)的長期技術(shù)支持服務(wù)。此外對一些中小型的一級軟件供應(yīng)商,還會使用到全球化的開源軟件開發(fā)設(shè)施,從而對自身的持續(xù)供貨和服務(wù)造成威脅。再有一個威脅是知識產(chǎn)權(quán)風險,由于開源軟件的知識產(chǎn)權(quán)授權(quán)復雜,且會變化,從而影響一級供應(yīng)商的持續(xù)供貨和持續(xù)服務(wù)。
4.應(yīng)對措施
要應(yīng)對關(guān)基領(lǐng)域云服務(wù)商供應(yīng)鏈安全威脅,需要按照“開放環(huán)境下解決安全問題”的思路,從多個方面采取措施,緩解和消除供應(yīng)鏈安全風險。
首先政策層面,應(yīng)根據(jù)云服務(wù)平臺的服務(wù)對象的范圍、數(shù)量、服務(wù)內(nèi)容的重要性,對云平臺進行適當?shù)姆诸悾源_定相對應(yīng)的供應(yīng)鏈安全保障要求。供應(yīng)鏈安全保障也是一個相對安全的概念,與云服務(wù)商和各級供應(yīng)商的投入密切相關(guān)。如果不區(qū)分場景、追求絕對的供應(yīng)鏈安全,不僅沒有必要,而且還會全面增加云平臺的建設(shè)和運營費用,導致云平臺的綜合效益降低。政策層面還需要解決關(guān)基領(lǐng)域云平臺布局的問題,過多、過散的云平臺,不僅不利于云平臺規(guī)模效益的實現(xiàn),也會因相關(guān)供應(yīng)商過多,大大增加供應(yīng)鏈安全問題的解決難度。
其次,在產(chǎn)業(yè)布局和產(chǎn)業(yè)監(jiān)管層面,要處理好二級和二級以上上游供應(yīng)鏈與全球供應(yīng)鏈的安全問題。中國的云產(chǎn)業(yè)實際是依托全球供應(yīng)鏈發(fā)展起來的,尤其在上游軟件、上游核心和關(guān)鍵硬件組件、高端開發(fā)和測試工具等方面,短期內(nèi)國內(nèi)產(chǎn)業(yè)鏈是無法提供可替代的產(chǎn)品,因為這些產(chǎn)品本身的供應(yīng)鏈形成是一個全球相關(guān)領(lǐng)域技術(shù)、工程、資金、機制、人力資源匹配發(fā)展的結(jié)果(開源社區(qū)就是這樣的一個典型例子,開源社區(qū)本質(zhì)是一個基于網(wǎng)絡(luò)的、基于全球人力資源的軟件工程協(xié)作體系,該體系具有成本低、效率低和人力資源規(guī)模巨大的特點)。我們必須基于開放的思路,通過全球協(xié)作的方式解決關(guān)基領(lǐng)域云服務(wù)供應(yīng)鏈安全保障的問題。
第三,在工程實踐和標準化方面,應(yīng)加強研究、試點示范工作,摸索供應(yīng)鏈安全保障的實踐經(jīng)驗,并將相關(guān)實踐經(jīng)驗進行總結(jié),形成實施指南,指導云服務(wù)商和各級供應(yīng)商開展供應(yīng)鏈安全保障工作。同時,要出臺供應(yīng)鏈安全評估和評價的規(guī)則標準,為相關(guān)工作的效果提供可比較、可評估的依據(jù)。
第四,在供應(yīng)鏈基礎(chǔ)設(shè)施方面,應(yīng)基于前面三項的工作成果,確定國家、云服務(wù)商和供應(yīng)商的供應(yīng)鏈基礎(chǔ)設(shè)施的建設(shè)內(nèi)容,并予以實施,其中國家級的供應(yīng)鏈安全基礎(chǔ)設(shè)施非常重要,這會是整個云服務(wù)商和各級供應(yīng)商在中國確保供應(yīng)鏈安全必須依托的基礎(chǔ)設(shè)施。
第五,在法律法規(guī)方面,應(yīng)加強國家立法的研究,尤其需要針對潛在的地緣政治風險,針對供應(yīng)鏈安全出臺相關(guān)的法律。同時,還要加強國際合作,積極影響和參與國際相關(guān)規(guī)則的制定,通過國際法律、規(guī)則確保全球供應(yīng)鏈的安全。
5.云計算服務(wù)安全評估工作的完善建議
1)補充完善相關(guān)標準內(nèi)容
云評估脫胎于云審查,是保障關(guān)基領(lǐng)域用戶采購云計算服務(wù)的安全可控水平而建立的一整套工作機制。云評估主要依據(jù)GB/T 31167《信息安全技術(shù) 云計算服務(wù)安全指南》和GB/T 31168《信息安全技術(shù) 云計算服務(wù)安全能力要求》兩個標準開展工作。上述兩個標準制定時提到了供應(yīng)鏈安全措施,但這些措施的實施是以正常的商務(wù)和市場環(huán)境為前提的,且只考慮了部分一級供應(yīng)商供應(yīng)鏈安全措施要求,并未全面考慮所有的一級供應(yīng)商,并且對相關(guān)要求如何延伸到二級以及更上游的供應(yīng)商描述不足。同時上述兩個標準并未考慮全球化的供應(yīng)鏈受地緣政治影響的因素,對地緣政治導致的斷服、停供等場景考慮不足。
2)加強對云服務(wù)全球供應(yīng)鏈的跟蹤和安全性分析
前面提到云服務(wù)供應(yīng)鏈是一個全球化的技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈,中國也是一樣的,因此云評估需要一個具備全球供應(yīng)鏈跟蹤和安全性分析的基礎(chǔ)設(shè)施,以支撐第三方機構(gòu)完成供應(yīng)鏈安全的評估,同時支撐云服務(wù)商、政策監(jiān)管部門、行業(yè)管理部門完成相關(guān)的供應(yīng)鏈安全工作。(中國電子科技集團 首席專家 張建軍)