审计人员与信息安全人员对“云审计”的看法各有不同,审计人员将云审计理解为借助云计算、大数据等技术提高审计取证的效率与质量,信息安全人员则认为云审计是指对“云”中利益相关者交互关系的审计。从技术上看,将“审计技术”搭载在云端的模式早已能够实现,但困扰云审计发展的还是安全问题。云审计不仅仅是利用“云”进行审计工作,更需要将“审计思维”——监督机制,运用在云计算安全问题上,实现对云数据存储、隐私安全、操作过程及基础设施合规性的审计验证。 云存储作为云计算不可或缺的一部分,以多租户的服务模式为个人和组织提供大规模、分布式的存储服务。公有云存储凭借规模效应、弹性可扩展、经济高效的优势吸引着云用户将数据外包给云供应商管理。但当我们只关注数据安全性时不难发现,数据外包虽然减轻了数据所有者(云用户)本地存储和维护的负担,但同时也弱化了云用户对数据的物理控制。由于数据异地存储的特性,云服务器上的数据时刻面临着内部和外部的攻击,数据的完整性、机密性、可用性可能遭受严重的损害,传统的本地数据安全保护措施已不可直接使用。 云安全审计模式分为私有审计和第三方审计。两种审计模式的区别在于,私有审计是云用户自己检验数据的完整性,只涉及云服务用户和云服务供应商两类实体。第三方审计主要涉及云用户、云服务供应商以及可信的第三方审计机构(TPA)三类实体。由于私有审计对用户端计算能力要求极高且通信开销十分巨大,现实可行性较低;第三方审计则凭借独立客观、高效专业、经济便捷的优势广受青睐。TPA是受云用户和云供应商信任的第三方机构,面对海量数据拥有用户所不具备的计算能力,云用户将数据完整性审计需求委托给TPA,TPA接受审计委托后,代表云用户对云数据、云供应商进行审计验证。第三方审计过程可以大致描述为,云用户预处理数据并生成数据标签后上传数据到云端服务器中,TPA获取用户授权后从云服务器获取待测数据并对该数据进行完整性检验,最后将检验结果发送给云用户。 国内外学者就如何审计云存储安全问题进行了大量的研究。本文将从数据、云用户、云供应商三方面对现有云安全审计方案进行归纳分析,并以审计对事件的干预进程为视角,对云安全审计的未来研究进行展望。 二、云安全风险及审计需求分析 (一)云安全事故。Cybersecurity Insiders发布的全球《2020年云安全报告》称,随着公有云业务的不断扩大,云服务的安全性是企业或个人采用云存储的首要考虑因素,然而由于相关安全措施的滞后,导致云安全事故频发,大多数(69%)组织和用户对云安全状况完全没有信心或仅有中度信心。表1为2020年云安全联盟CSA发布的《云计算的11类顶级威胁》(中文版)提出的11类云安全主要威胁。表2列举了近年云供应商安全事故。
(二)云安全风险及审计需求分析。云安全主要是指数据存储、加密、传输、访问安全,即保证数据的完整性、机密性、可用性。第三方审计机构开展云安全审计时,必须依据风险导向审计的原理,从这三个方面认真分析云安全风险,明确审计需求并制定相应的审计方案。 首先,对云数据的安全审计需重点关注完整性与机密性。云存储服务中数据所有权和管理权分离,使得云端数据安全面临极大的威胁。一方面,软件硬件故障、外来黑客侵入、内部人员篡改、删除数据等破坏行为会严重损害数据的完整性;另一方面,用户加密意识薄弱,云供应商可能为求牟利出卖用户隐私信息,严重损害云用户信息的机密性。 其次,对云用户的安全审计需重点关注机密性。云存储采用多租户技术(多个租户共用同一块存储介质),尽管云供应商会提供一些数据隔离技术(如身份授权访问控制)来防止不同用户间非授权交互访问,但非授权的访问仍可能利用系统漏洞实现。因此,为保证机密性还需对用户实施身份访问控制、日志审计和身份追溯性审计。 再次,对云供应商的审计主要目标需重点关注可用性、机密性和隐私性。由于云用户和云供应商之间存在信任博弈,审计人员需对云供应商进行安全评估及合规性审计,评价云供应商的服务是否达到安全标准,能够保证信息资产的持续可用性,以证实云供应商声称的安全措施是否可靠。另外,需关注客户机密信息(含个人信息)的收集、使用、保留、披露和销毁是否受到所承诺或预设的系统保护,并符合隐私声明中的承诺以及相关行业组织(如AICPA/CICA)发布的通用隐私原则中规定的标准。 三、云安全审计研究现状 根据风险导向审计的原则,第三方审计机构需针对云的关键风险领域开展云安全审计。完整性审计主要以数据为研究对象,机密性审计需兼顾数据安全和用户身份隔离,因此以数据和用户为研究对象;可用性审计则以供应商为主要研究对象。因此本文选取数据、云用户、云供应商作为研究对象,对现有云安全审计研究进行述评。 (一)数据安全审计。云审计最早的研究是对云数据的完整性进行远程检验,审计人员或用户通过某种协议或算法验证服务器中的数据完整性,即数据是否被篡改、删除或丢失。特别地,由于网络传输的成本十分昂贵,将云中所有数据下载并审计验证并不是经济可行的审计方案。理想的第三方审计方案应具有以下功能特性: