從云評估看云平臺供應鏈安全

文 | 中國電子科技集團 首席專家 張建軍、

云計算服務安全評估工作已經開展了一段時間，這期間全球云計算技術和產業都發生了很多變化，除了技術的進步、商業模式的演進外，開源軟件供應鏈安全和地緣政治的變化，將會成為影響全球云計算服務產業發展的重要因素，同樣作為全球云計算產業重要組成部分的中國也不可能置身事外。云評估作為確保中國政府和關鍵基礎設施領域云平臺安全的重要措施，云平臺的供應鏈安全也將會成為云評估關注的重點之一。本文將針對黨政和關鍵基礎設施領域（以下簡稱“關基領域”）云服務產業的特點，從平臺建設模式、云服務供應鏈構成、供應鏈風險、應對措施、云評估建議等5個方面描述相關內容。

1.云平臺建設模式

從近些年通過云評估的云平臺來看，關基領域的云服務部署模式主要以社區云和私有云為主，服務模式則以IaaS為主流，近年來提供PaaS、SaaS服務的平臺數量逐漸增加。針對上述部署和服務模式，關基領域的建設模式基本可以分為如下幾類：

1）全自建模式：關基領域的客戶，根據自身的需求，獨資設立專門的云服務運營機構——云服務商，云服務商再委托系統集成商完成云平臺相關軟硬件集成工作，自建運維隊伍，為關基客戶開展服務。典型的：如國家各部委使用的私有云服務平臺、大行業的社區云平臺。

2）采購模式：關基領域的客戶，根據自身的需求，與公有云服務商合作，由云服務商投資建設專門的云平臺，關基客戶通過采購服務的模式采購該云平臺的服務。典型的：公有云服務商為地方政府建設的私有云服務平臺或社區云服務平臺。

3）合作建設模式：非常類似全自建模式，但云服務商（云平臺）的投資不是來自關基領域客戶的獨資，而是和合作伙伴一起投資。具體的投資方式有很多種（比如：PPP等模式）。

不同的建設模式，會對云平臺的建設、運行和管理的細節造成不同程度的影響，從而形成了關基領域云計算服務供應鏈管理的獨特之處，后面章節會對此進行描述。

2.云服務供應鏈構成

云服務作為現代信息技術交付和商業模式的重大發展，是建立在現代軟硬件和網絡技術上的，而網絡技術本身也是依托專用的軟硬件技術，因此針對具體的云平臺，其相應的供應鏈則基本可以分為軟件、硬件和服務三大類型，每一類供應鏈則由供應節點和這些節點之間的交付關系所組成。需要說明的是，供應鏈的每一個節點需要向下游提供自己的“交付物”，同時需要上游“交付物”才能夠保證自己及時向下游進行交付，這些上游的節點及其與本節點的“交付關系”構成該節點的“直接供應鏈”，也稱“一級供應鏈”；各個上游節點都會有自己的“直接供應鏈”，這些上游“直接供應鏈”節點的“直接供應鏈”構成了“二級供應鏈”；以此類推，還會有“三級供應鏈”……。本文重點討論云服務商的一級和二級供應鏈。

云服務商的一級供應鏈典型構成如下圖所示：

云服務商通過建設、維護和運營云平臺，來為關基客戶提供服務，云服務商的交付物為“云服務”（即：IaaS、PaaS、SaaS），關基客戶通過網絡訪問云平臺的服務。云服務商的一級供應鏈節點一般由軟件供應商、硬件供應商和服務供應商三類組成。

軟件供應商主要為云服務商提供云平臺建設所需的管理、運維、服務、安全等軟件產品，以及與所提供軟件產品緊密相關的支持服務。軟件供應商一般提供的主要有：計算、網絡、存儲資源虛擬化軟件，云平臺管理軟件，PaaS、SaaS服務軟件，設施與系統運維管理軟件，信息安全軟件，業務運營軟件，客戶支持軟件等。

硬件供應商則主要提供相關的計算、存儲、網絡等硬件產品，常見硬件產品有：服務器、網絡組網設備、通信設備、存儲設備、信息安全設備等。很多硬件設備都不是純粹的硬件產品，而是軟硬一體化產品。

服務供應商提供的主要有：互聯網接入服務、人力外包服務、集成服務和其他服務。服務商提供的服務內容非常龐雜，尤其是其他服務類別，包括了：機房租賃、測試測評服務、咨詢服務等很多方面的服務。另外，在存在集成服務供應商的情況下，很多軟件產品和硬件產品的支持服務部分（或全部）會由集成服務供應商完成。

上面描述的一級供應鏈結構適用于全自建模式和合作建設模式。在采購模式中，公有云服務商除了作為云服務商建設運營關基領域的云平臺外，這些企業往往也是獨立的云平臺建設所需軟硬件產品的供應商，因此在這種模式中，云服務商的一級軟件、硬件和服務供應商有可能就是自己。

云服務商的二級供應鏈由上述一級供應商的外部供應商所組成。典型的一級供應商的外部供應商構成如下圖所示：

組件/部件供應商的交付物將會進入到一級供應商的交付物中，成為一級供應商向云服務商交付物的重要組成部分。

工具/設備供應商的交付物將用于構建一級供應商自身的研發、生產、服務能力，是一級供應商持續提供交付物不可或缺的基礎條件。工具/設備供應商的交付物一般不會出現在一級供應商的交付物中，但這些工具/設備會嚴重影響一級供應商交付物的質量、規模、效率和安全性。

服務供應商則是一級供應商持續提供交付物不可或缺的外部服務，例如：硬件的物流服務、軟件的分發服務、人力外包服務等。

3.云服務供應鏈風險

云服務商要正常持續開展服務，依賴外部一級供應商的持續供貨和服務，要防止供應鏈環節存在的問題，造成云服務的中斷（持續可用性）、品質下降、客戶數據的丟失和泄露，因此供應鏈安全的目標主要有如下幾個方面：

1）確保交付物的完整性，即：云服務商通過供應鏈獲得的軟件、硬件和服務，不會在供應商的整個生產、交付過程中被破壞，導致不可用，或可用度下降；

2）確保交付物的安全性，即：云服務商通過供應鏈獲得的軟件、硬件和服務，不會在整個研發、生產、交付過程中被植入后門或缺陷，或者無法對所發現漏洞、問題進行處置和修復；

3）確保交付物的質量，即：供應商所提供的交付物不應存在質量問題，無法達到云服務商的質量要求，如：功能缺失、性能下降等；

4）確保交付的可持續性，即：不會因為各種原因（如：自然災害、地緣政治等）等，導致交付的數量、規模、周期等發生變化。

供應鏈安全面臨的威脅發生在幾個方面：

1）一級供應商和云服務商之間的交付途徑上。常見的此途徑上發生的威脅：硬件交付過程中的損壞、突然停止供應產品、供貨延期、軟件交付中插入惡意代碼等。關基領域的云服務商要特別關注此途徑上可能對產品和服務完整性、安全性的破壞；對于一級供應商交付途徑源頭在海外的，還要關注交付途徑的可持續性，防止被突然切斷；

2）發生在一級供應商自身的威脅。常見的威脅有：產品和服務的架構能力、安全保障能力、質量保障能力不足導致的產品質量、性能、安全性缺陷，生產能力和服務能力的不足導致供貨和服務缺失，對外部網絡攻擊防范能力的不足導致的產品生產、服務交付的中斷、被植入后門，企業經營不善導致的供貨中斷等。關基領域的云平臺以社區云和私有云為主，單個云平臺的規模有限，但數量很大，導致一級供應商的數量、種類很多，相關企業的技術能力、管理水平、企業規模等差異很大，各個企業自身存在程度不同的對供應鏈的威脅；

3）發生在二級供應商和供應途徑上的威脅。這是供應鏈安全威脅最復雜的地方，常見的如：部件、組件的斷供；開發和生產工具的斷供和斷服；在部件、組件、開發工具中植入惡意代碼等。對國內關基領域的云服務商，大量的二級軟件供應商為全球各類開源軟件。開源軟件社區由于資源缺乏等導致的自身安全性問題、交付途徑安全威脅會嚴重影響到云服務商的供應鏈安全。更為嚴重的是，國內大量的一級供應商并不具備對所使用的全部開源軟件全面和長期服務能力，會嚴重依賴全球開源社區的長期技術支持服務。此外對一些中小型的一級軟件供應商，還會使用到全球化的開源軟件開發設施，從而對自身的持續供貨和服務造成威脅。再有一個威脅是知識產權風險，由于開源軟件的知識產權授權復雜，且會變化，從而影響一級供應商的持續供貨和持續服務。

4.應對措施

要應對關基領域云服務商供應鏈安全威脅，需要按照“開放環境下解決安全問題”的思路，從多個方面采取措施，緩解和消除供應鏈安全風險。

首先政策層面，應根據云服務平臺的服務對象的范圍、數量、服務內容的重要性，對云平臺進行適當的分類，以確定相對應的供應鏈安全保障要求。供應鏈安全保障也是一個相對安全的概念，與云服務商和各級供應商的投入密切相關。如果不區分場景、追求絕對的供應鏈安全，不僅沒有必要，而且還會全面增加云平臺的建設和運營費用，導致云平臺的綜合效益降低。政策層面還需要解決關基領域云平臺布局的問題，過多、過散的云平臺，不僅不利于云平臺規模效益的實現，也會因相關供應商過多，大大增加供應鏈安全問題的解決難度。

其次，在產業布局和產業監管層面，要處理好二級和二級以上上游供應鏈與全球供應鏈的安全問題。中國的云產業實際是依托全球供應鏈發展起來的，尤其在上游軟件、上游核心和關鍵硬件組件、高端開發和測試工具等方面，短期內國內產業鏈是無法提供可替代的產品，因為這些產品本身的供應鏈形成是一個全球相關領域技術、工程、資金、機制、人力資源匹配發展的結果（開源社區就是這樣的一個典型例子，開源社區本質是一個基于網絡的、基于全球人力資源的軟件工程協作體系，該體系具有成本低、效率低和人力資源規模巨大的特點）。我們必須基于開放的思路，通過全球協作的方式解決關基領域云服務供應鏈安全保障的問題。

第三，在工程實踐和標準化方面，應加強研究、試點示范工作，摸索供應鏈安全保障的實踐經驗，并將相關實踐經驗進行總結，形成實施指南，指導云服務商和各級供應商開展供應鏈安全保障工作。同時，要出臺供應鏈安全評估和評價的規則標準，為相關工作的效果提供可比較、可評估的依據。

第四，在供應鏈基礎設施方面，應基于前面三項的工作成果，確定國家、云服務商和供應商的供應鏈基礎設施的建設內容，并予以實施，其中國家級的供應鏈安全基礎設施非常重要，這會是整個云服務商和各級供應商在中國確保供應鏈安全必須依托的基礎設施。

第五，在法律法規方面，應加強國家立法的研究，尤其需要針對潛在的地緣政治風險，針對供應鏈安全出臺相關的法律。同時，還要加強國際合作，積極影響和參與國際相關規則的制定，通過國際法律、規則確保全球供應鏈的安全。

5.云計算服務安全評估工作的完善建議

1）補充完善相關標準內容

云評估脫胎于云審查，是保障關基領域用戶采購云計算服務的安全可控水平而建立的一整套工作機制。云評估主要依據GB/T 31167《信息安全技術 云計算服務安全指南》和GB/T 31168《信息安全技術 云計算服務安全能力要求》兩個標準開展工作。上述兩個標準制定時提到了供應鏈安全措施，但這些措施的實施是以正常的商務和市場環境為前提的，且只考慮了部分一級供應商供應鏈安全措施要求，并未全面考慮所有的一級供應商，并且對相關要求如何延伸到二級以及更上游的供應商描述不足。同時上述兩個標準并未考慮全球化的供應鏈受地緣政治影響的因素，對地緣政治導致的斷服、停供等場景考慮不足。

2）加強對云服務全球供應鏈的跟蹤和安全性分析

前面提到云服務供應鏈是一個全球化的技術、產品和服務供應鏈，中國也是一樣的，因此云評估需要一個具備全球供應鏈跟蹤和安全性分析的基礎設施，以支撐第三方機構完成供應鏈安全的評估，同時支撐云服務商、政策監管部門、行業管理部門完成相關的供應鏈安全工作。