文 | 深圳市信息安全管理中心 穆端端

與傳統(tǒng) IT 環(huán)境相比，云計算環(huán)境中的資產(chǎn)通常規(guī)模更龐大且具有更高的動態(tài)性，配置管理能力的自動化程度不足可能導(dǎo)致工作量大和復(fù)雜性上升，從而增加了人為操作失誤的風(fēng)險。近年來發(fā)生的多起云計算安全事件顯示，云計算環(huán)境中的配置錯誤以及缺乏安全基線管理是造成云上安全事件的重要原因之一。因此，提升云計算環(huán)境配置管理能力成為提高云計算環(huán)境安全性和可靠性的關(guān)鍵。

一、云上安全配置管理概述

2024 年 5 月，中央網(wǎng)信辦等四部門發(fā)布了《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》，其中第二十四條指出，黨政機(jī)關(guān)建設(shè)互聯(lián)網(wǎng)政務(wù)應(yīng)用采購云計算服務(wù)，應(yīng)當(dāng)選取通過國家云計算服務(wù)安全評估的云平臺，并加強(qiáng)對所采購云計算服務(wù)的使用管理。云上安全配置管理作為云安全評估的重點內(nèi)容，以及云上租戶的重點安全責(zé)任再次成為關(guān)注的焦點。

Fortinet 于 2023 年發(fā)布的云安全報告顯示，59% 的網(wǎng)絡(luò)安全專業(yè)人員認(rèn)為，配置錯誤仍是首要的云安全風(fēng)險。綠盟科技統(tǒng)計的 2023 年重大云安全事件中，約四成是因為人為錯誤配置導(dǎo)致的云存儲桶數(shù)據(jù)泄露，這些事件暴露了用戶在使用存儲桶服務(wù)時存在訪問控制配置不當(dāng)和缺乏加密保護(hù)等安全問題。

2024 年，由于云存儲服務(wù)器配置錯誤，某公司大量敏感信息遭到未授權(quán)訪問和泄露。事件源于開發(fā)環(huán)境中的微軟 Azure 托管存儲服務(wù)器被錯誤配置為公共訪問，導(dǎo)致私鑰和內(nèi)部數(shù)據(jù)暴露。盡管云計算技術(shù)提供了強(qiáng)大的功能和靈活性，但錯誤配置使得這些優(yōu)勢成為潛在的安全隱患。

針對信息系統(tǒng)和云上資產(chǎn)的安全配置管理，我國現(xiàn)行的國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T 31168-2014）和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019），為保障信息系統(tǒng)安全運行提供了實施指引。兩個標(biāo)準(zhǔn)均針對網(wǎng)絡(luò)服務(wù)和信息處理的提供者，要求為信息系統(tǒng)服務(wù)的網(wǎng)絡(luò)安全負(fù)責(zé)，以推動《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定的落地實施，其中也包括了針對安全配置管理的要求。

（一）安全配置管理定義與目的

以美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）給出的定義為例，安全配置管理（SCM）是指以實現(xiàn)安全和管理風(fēng)險為目標(biāo)，為系統(tǒng)設(shè)置一套標(biāo)準(zhǔn)安全配置要求并持續(xù)監(jiān)控各個指標(biāo)，以此組織可以迅速識別違規(guī)行為，減少系統(tǒng)攻擊面。

信息系統(tǒng)隨著業(yè)務(wù)需求的變化不斷調(diào)整，系統(tǒng)變更伴隨著必要的配置調(diào)整。為確保系統(tǒng)配置所需的調(diào)整不會對系統(tǒng)安全產(chǎn)生不利影響，系統(tǒng)管理員需要建立一個明確定義的配置管理流程，并在其中融入安全控制措施。

（二）云環(huán)境下配置管理的獨特性

相較于傳統(tǒng)的 IT 環(huán)境，云計算環(huán)境呈現(xiàn)出資產(chǎn)類型多樣化、資產(chǎn)的動態(tài)性和更大的資產(chǎn)規(guī)模等特點，導(dǎo)致云計算環(huán)境下的配置管理更為復(fù)雜。其配置管理需具備適應(yīng)性強(qiáng)和自動化的特點，以應(yīng)對不斷變化的資源狀態(tài)，以及確保配置的可靠性和安全性。

資產(chǎn)類型的多樣化。云計算被劃分為包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）以及軟件即服務(wù)（SaaS）等多種服務(wù)模型。每種服務(wù)模型都包含不同類型的資產(chǎn)，如虛擬機(jī)、容器、存儲、網(wǎng)絡(luò)配置及應(yīng)用程序接口等。云上安全配置管理不僅需要維護(hù)物理資產(chǎn)，還需對虛擬資源進(jìn)行配置管理。

資產(chǎn)的動態(tài)性。與傳統(tǒng) IT 環(huán)境相比，云環(huán)境中的資產(chǎn)呈現(xiàn)出更高的動態(tài)性。資源的擴(kuò)展或縮減可以迅速進(jìn)行，配置的更改及資源的重新分配能夠即刻實現(xiàn)。這種資產(chǎn)的高度動態(tài)性要求配置管理系統(tǒng)必須具備實時更新和管理資產(chǎn)信息的能力。

更大的資產(chǎn)規(guī)模。云計算環(huán)境支持大規(guī)模的資產(chǎn)部署，這不僅增加了配置管理的復(fù)雜度，也使得配置管理過程更依賴于自動化工具和解決方案，以便快速進(jìn)行部署、監(jiān)控以及進(jìn)行常規(guī)變更。

二、國外推動安全配置管理的舉措

國際上對安全配置管理的關(guān)注較早，研究較為深入，涵蓋了合規(guī)性標(biāo)準(zhǔn)的應(yīng)用、自動化工具的開發(fā)、持續(xù)監(jiān)控和新技術(shù)的引入等多個方面，為企業(yè)以及信息系統(tǒng)提供了有效的工具和方法，以應(yīng)對復(fù)雜多變的網(wǎng)絡(luò)安全態(tài)勢。其主要舉措包括以下四方面內(nèi)容。

（一）以法律法規(guī)和政策要求強(qiáng)調(diào)安全配置工作的重要性

從國際實踐來看，從法律法規(guī)和政策要求方面強(qiáng)調(diào)信息系統(tǒng)應(yīng)進(jìn)行安全配置是一種通行做法。例如，美國聯(lián)邦信息安全管理法案（FISMA）要求聯(lián)邦機(jī)構(gòu)實施信息安全計劃以保護(hù)信息系統(tǒng)，其中包括安全配置管理的要求。歐盟方面，《通用數(shù)據(jù)保護(hù)條例》（GDPR）在關(guān)注數(shù)據(jù)隱私保護(hù)的同時，也強(qiáng)調(diào)了底層信息系統(tǒng)的安全配置管理，以確保數(shù)據(jù)的安全性。英國國家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了《云安全原則》和其他參考指南，幫助組織實施和管理云環(huán)境中的安全配置。由此可見，制定和實施安全配置管理的法規(guī)和政策是保障信息系統(tǒng)安全和數(shù)據(jù)隱私的重要手段，通過強(qiáng)調(diào)法律法規(guī)和政策的要求，可以促使信息系統(tǒng)運營者切實履行實施安全配置的義務(wù)，以更好地保護(hù)系統(tǒng)和數(shù)據(jù)的安全。

（二）設(shè)立標(biāo)準(zhǔn)和框架，指導(dǎo)安全配置落地實施

無論是國際標(biāo)準(zhǔn)還是國外發(fā)達(dá)國家出臺的相關(guān)標(biāo)準(zhǔn)，均從標(biāo)準(zhǔn)層面為信息系統(tǒng)的安全配置提供了指導(dǎo)。ISO/IEC 27000 系列是目前國際上被廣泛接受和應(yīng)用的信息安全管理體系認(rèn)證標(biāo)準(zhǔn)集，其中 ISO/IEC 27002 和 ISO/IEC 27017 是國際公認(rèn)的信息安全控制措施實施指南和云安全管理標(biāo)準(zhǔn)，為云環(huán)境的配置管理實踐提供了具體指導(dǎo)。ISO/IEC 27002 提供了詳細(xì)的信息安全控制措施和最佳實踐，包括安全配置的建立、記錄、實施、監(jiān)控和審查。ISO/IEC 27017 在信息安全控制措施實施的基礎(chǔ)上，給出了基于云服務(wù)特點的特定信息安全控制指南，包括虛擬網(wǎng)絡(luò)配置要求通過系統(tǒng)化的要求和最佳實踐來指導(dǎo)安全配置管理。以上標(biāo)準(zhǔn)通過明確的控制措施和最佳實踐，推動了云環(huán)境中的安全配置管理工作。此外，云安全聯(lián)盟（CSA）推出的云控制矩陣 v4（CCM v4）包括 17 個控制域中的 197 個控制目標(biāo)，全方位涵蓋了云計算技術(shù)的安全領(lǐng)域，并為變更控制和配置管理提供更好的實施和評估指導(dǎo)。

美國開展聯(lián)邦云計算風(fēng)險與授權(quán)管理項目（FedRAMP），旨在對云服務(wù)商進(jìn)行評估以確保其符合聯(lián)邦信息安全標(biāo)準(zhǔn)，所使用的標(biāo)準(zhǔn)包括 NIST 發(fā)布的一系列標(biāo)準(zhǔn)和指南，如《NIST SP 800-53 信息系統(tǒng)和組織的安全和隱私控制 第 5 版》和《NIST SP 800-128 信息系統(tǒng)安全配置管理指南》等，為云服務(wù)商提供安全配置管理的具體指導(dǎo)。此外，位于美國的社區(qū)驅(qū)動非營利組織互聯(lián)網(wǎng)安全中心（CIS）發(fā)布的 CIS 控制（CIS Controls）和 CIS 基準(zhǔn)（Benchmarks），提供了包括虛擬化軟件與容器編排平臺等具體資產(chǎn)的安全配置建議和基準(zhǔn)檢查表，得到了廣泛應(yīng)用。

新加坡多層云安全（MTCS）標(biāo)準(zhǔn)是區(qū)分不同安全級別的云安全標(biāo)準(zhǔn)，其中覆蓋了包括安全配置、變更管理、安全測試和檢測在內(nèi)的多個關(guān)鍵安全領(lǐng)域。德國聯(lián)邦信息安全辦公室（BSI）制定了云計算合規(guī)標(biāo)準(zhǔn)目錄（Cloud Computing Compliance Criteria Catalogue，C5），用于評估云服務(wù)提供商的合規(guī)性。其中在資產(chǎn)管理方面要求落實可接受使用和安全處理資產(chǎn)政策，強(qiáng)化資產(chǎn)的錯誤處理、日志記錄、加密、認(rèn)證和授權(quán)機(jī)制等多方面安全配置工作。

（三）推動自動化工具的使用，提高配置管理效率

NIST 開發(fā)的安全內(nèi)容自動化協(xié)議（SCAP），是一組用于自動化管理系統(tǒng)的安全配置、漏洞管理和合規(guī)性評估的開放標(biāo)準(zhǔn)。SCAP 由包括 XCCDF、OVAL、DataStream、ARF、CPE、CVE、CWE 等多組標(biāo)準(zhǔn)化的描述格式、聲明性語言與協(xié)議組成，用于描述、交換和報告計算機(jī)系統(tǒng)的安全配置和漏洞信息，幫助實現(xiàn)安全配置管理的自動化。

除了制定和發(fā)布 SCAP 相關(guān)的標(biāo)準(zhǔn)和指南，NIST 還開發(fā)并提供了一系列工具和資源，幫助組織理解和實施 SCAP。通過組織各種培訓(xùn)課程、研討會和網(wǎng)絡(luò)研討會，NIST 向 IT 從業(yè)人員和網(wǎng)絡(luò)安全人員傳授如何使用和實施 SCAP 的經(jīng)驗，這些措施有效推動了對 SCAP 的理解和應(yīng)用。

（四）推動供應(yīng)商建立統(tǒng)一安全基線，實現(xiàn)統(tǒng)一安全水位

美國政府配置基線（USGCB）計劃是一項聯(lián)邦倡議，通過為部署在聯(lián)邦信息系統(tǒng)中的各種 IT 產(chǎn)品提供一致、安全的配置設(shè)置，確保所有聯(lián)邦機(jī)構(gòu)實現(xiàn)統(tǒng)一的安全態(tài)勢，降低政府網(wǎng)絡(luò)遭受網(wǎng)絡(luò)威脅的風(fēng)險。雖然標(biāo)準(zhǔn)化安全設(shè)置的原則最初側(cè)重于桌面和服務(wù)器配置，但同樣適用于基于云的相關(guān)資產(chǎn)。英國政府于 2022 年發(fā)布的《政府網(wǎng)絡(luò)安全戰(zhàn)略 2022-2030》規(guī)定了政府在面對不斷變化的網(wǎng)絡(luò)風(fēng)險時的防范措施，其中安全配置的管理便是關(guān)鍵措施之一?！稇?zhàn)略》提到，英國政府將與它的主要供應(yīng)商合作，進(jìn)一步開發(fā)基線安全配置，供政府機(jī)構(gòu)遵循和調(diào)整，確保所有政府組織了解如何配置其生產(chǎn)力套件，以提供基線水平的網(wǎng)絡(luò)安全，從而大幅降低因配置錯誤而導(dǎo)致的常見風(fēng)險。

三、云計算環(huán)境安全配置能力提升思路

目前，我國已建立基本的云計算平臺配置管理的總體指導(dǎo)文件，但在提供配置管理工作落實指引、推動廠商加強(qiáng)配置自動化、集中化管理方面仍存在差距。以下是我國加強(qiáng)云計算環(huán)境配置管理能力、改善現(xiàn)狀的五點思路。

（一）進(jìn)一步完善安全配置管理標(biāo)準(zhǔn)規(guī)范，為安全配置工作提供工作依據(jù)

現(xiàn)有云計算安全相關(guān)標(biāo)準(zhǔn)中，僅對安全配置相關(guān)內(nèi)容提出少量要求條款，尚無法指導(dǎo)云服務(wù)商開展具體實踐。比如，《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T31168-2014）和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）等標(biāo)準(zhǔn)，尚缺乏指導(dǎo)安全配置管理實施的細(xì)則。2024 年，全國網(wǎng)安標(biāo)委標(biāo)準(zhǔn)立項計劃中提出了政務(wù)云安全配置基線要求相關(guān)的標(biāo)準(zhǔn)制定任務(wù)，標(biāo)準(zhǔn)的制定將為云計算環(huán)境下的安全配置工作提供重要工作依據(jù)。

（二）鼓勵行業(yè)關(guān)注安全配置自動化管理工具，提升專業(yè)工具供給能力

現(xiàn)階段，我國在自動化配置管理工具的研發(fā)和推廣方面仍顯不足，手工配置管理現(xiàn)象普遍，導(dǎo)致管理效率低下和配置錯誤風(fēng)險增加。為提高安全配置管理的效率和準(zhǔn)確性，應(yīng)大力推廣和應(yīng)用自動化工具。首先，應(yīng)支持推廣基礎(chǔ)架構(gòu)即代碼（IaC）方法，使用編程語言或配置語言來編寫配置文件，實現(xiàn)工具自動化執(zhí)行配置文件中的指令，從而減少了人為錯誤和手動操作的復(fù)雜性。同時支持本土網(wǎng)絡(luò)安全相關(guān)企業(yè)研發(fā)符合國內(nèi)需求的安全配置管理工具，在確保開源工具安全的前提下，也可以嘗試應(yīng)用如 Ansible、Puppet、Chef等國際成熟的開源工具，并結(jié)合本地實際進(jìn)行定制化開發(fā)與適配，增強(qiáng)技術(shù)支持力度。通過自動化工具的應(yīng)用和迭代，不僅可以提升安全配置管理的整體效率，還能實現(xiàn)對安全配置的持續(xù)監(jiān)控和優(yōu)化，形成動態(tài)安全控制體系。

（三）督促云服務(wù)商制定完善配置基線、配置變更等工作手冊，規(guī)范云計算環(huán)境配置管理實施過程

云服務(wù)商在實際運營中，應(yīng)根據(jù)云計算環(huán)境的特性和用戶需求，制定詳細(xì)的配置基線和配置變更管理規(guī)程。這些安全要求應(yīng)包含配置項的詳細(xì)說明、標(biāo)準(zhǔn)化操作流程、常見問題解決方案以及安全配置的最佳實踐，確保配置管理的各個環(huán)節(jié)都有據(jù)可依，有章可循。參考國內(nèi)外標(biāo)準(zhǔn)，制定配置管理計劃應(yīng)綜合考慮配置管理策略、最小特權(quán)原則、最小功能原則、審計功能配置、惡意代碼防范和數(shù)據(jù)安全保護(hù)等六個方面，以便更好地識別資產(chǎn)的配置項和理解配置管理的實際應(yīng)用，從而提升云計算環(huán)境的安全性和穩(wěn)定性。其中，配置變更的規(guī)范性更是重中之重。變更流程混亂可能導(dǎo)致配置不當(dāng)，直接影響系統(tǒng)的整體安全性，未經(jīng)批準(zhǔn)或誤操作引起的配置變更將導(dǎo)致實際配置與既定的安全策略和要求不符，使得系統(tǒng)的安全性下降。通過規(guī)范和控制配置變更的各個環(huán)節(jié)，確保系統(tǒng)在不斷演進(jìn)中的穩(wěn)定性、安全性和合規(guī)性，減少因配置變更引發(fā)的安全風(fēng)險和系統(tǒng)故障。建議在開展云計算服務(wù)安全評估和云等保測評工作中，對云服務(wù)商進(jìn)行云安全配置管理能力的核驗，以檢查評估手段督促云服務(wù)商和云租戶重視安全配置管理工作。

（四）加強(qiáng)云平臺運維人員技能培訓(xùn)，強(qiáng)化供應(yīng)商及人員篩選和監(jiān)督機(jī)制

為保持云平臺的持續(xù)安全運營和運維能力，人員是最為關(guān)鍵的要素，只有掌握實際技能的人員才能確保在項目建設(shè)、交付和運營期間持續(xù)更新和提升安全能力。首先，應(yīng)加強(qiáng)云平臺運維人員的技能培訓(xùn)，確保他們能夠熟練掌握最新的安全配置管理標(biāo)準(zhǔn)和工具技術(shù)。通過定期的培訓(xùn)課程、研討會和實操演練，提升運維人員的安全意識和技術(shù)水平，使其能夠及時應(yīng)對和解決各種安全問題。其次，需完善供應(yīng)商篩選和監(jiān)督機(jī)制。選擇具備良好安全背景和高水平技術(shù)支持能力的供應(yīng)商，并對供應(yīng)商人員的日常操作進(jìn)行考核和監(jiān)督，以確保其在實際操作中有效執(zhí)行安全配置管理標(biāo)準(zhǔn)。

（五）行業(yè)組織推進(jìn)社區(qū)合作，促進(jìn)安全配置管理理念發(fā)展、經(jīng)驗及情報分享

鼓勵國內(nèi)安全從業(yè)人員和專家建立安全配置管理社區(qū)，通過線上線下的交流活動，分享經(jīng)驗和最佳實踐，推動安全配置管理技術(shù)的進(jìn)步和應(yīng)用。同時，通過對安全配置的最新案例、事件等情報進(jìn)行復(fù)盤分析等深入交流討論，加強(qiáng)云平臺管理人員的安全責(zé)任意識，提升云平臺運維人員的安全配置和安全事件處置水平，形成行業(yè)共同關(guān)注、樂于分享、互助提升的良好氛圍。

四、結(jié) 語

隨著云計算技術(shù)的不斷發(fā)展和應(yīng)用范圍的不斷擴(kuò)大，配置管理將面臨更多新的需求和挑戰(zhàn)。云計算環(huán)境的配置管理不僅涉及技術(shù)實施，更是一項涉及策略制定、流程優(yōu)化和團(tuán)隊協(xié)作的綜合工程。要構(gòu)建安全可靠的云計算服務(wù)，必須從多個方面入手，包括遵循國家標(biāo)準(zhǔn)和行業(yè)最佳實踐、采用自動化工具和統(tǒng)一管理平臺、實施配置審計和配置變更管理。每一步都是保障云計算環(huán)境安全性和可靠性的關(guān)鍵。目前，人工智能技術(shù)得到了快速發(fā)展，通過人工智能輔助開展網(wǎng)絡(luò)安全工作也成為重要的關(guān)注方向，其中配置管理也是一個重要的結(jié)合點?？傊?，配置管理是動態(tài)的能力，也是衡量云服務(wù)商水平的一塊“試金石”，需引起云服務(wù)商高度重視，才能切實有效地保障云計算基礎(chǔ)設(shè)施的算力安全，為數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展和數(shù)據(jù)要素的發(fā)揮奠定安全基礎(chǔ)。

（本文刊登于《中國信息安全》雜志2024年第9期）