云服务通用标准认证：进入安全评估的新时代

历史背景与变革的必要性

通用标准（CC）传统上专注于评估IT产品（主要是硬件和软件）的安全特性。这种方法虽然对独立产品有效，但在云服务和软件即服务（SaaS）解决方案的评估上留下了显著空白。云计算的快速普及以及关键基础设施和国家安全系统对这些服务的日益依赖，使得对CC框架的重新评估成为必要。

全球云服务评估方法

各国采取了不同方法来解决在通用标准框架下和其他国家级安全机构下评估云服务的挑战。历史上，确保云服务网络安全的主要努力集中在基础设施层面（如ISO 27017、德国/BSI的C5、法国的SecnumCloud或西班牙的ENS）。

软件“产品”可能未被评估，可能使用本地版本进行评估。随着云原生产品（如SaaS）的普及，这种方法已显得过时。为此，各国提出了多种倡议以寻求更全面的解决方案。

欧盟：国家级机构评估方案的调整

在欧洲，各国机构通过调整现有方法来应对云服务评估的挑战。例如，西班牙的STIC评估或法国的CSPN采用了更实际的方案，旨在确保云服务的安全，而不仅是基础设施。

然而，这种方法仍存在局限性，正如Javier Tallón（jtsec Applus+总监）在华盛顿特区的国际通用准则会议上所展示的“云服务和产品评估经验”。

美国：NIAP与NIAP政策函#32

在美国，国家信息保障联盟（NIAP）通过发布2025年2月1日的NIAP政策函#32，在通用标准（CC）云服务评估方面迈出了重要一步。该政策标志着NIAP从传统的“产品”评估到包含“服务”和基于云的软件即服务（SaaS）评估的关键转变。

NIAP政策函#32关于CC云服务的关键内容包括: 

• 术语转变：“服务”和基于云的SaaS评估的使用标志着术语的显著变化，表明NIAP的立场正在向现代化CC评估方法演进。
• 适用性审查：实验室现在需进行适用性审查，识别所有可能需技术查询（TQs）的安全功能要求（SFRs）和安全保障要求（SARs）。此清单需作为检查包的一部分提交，可能因解决TQs所需时间而给供应商带来风险。
• 双向认证：双向认证过去是可选项，但政策函#32将其列为强制要求。NIAP明确表示，若SFR中已包含双向认证功能，则应予以实现。随着保护配置文件的更新以涵盖云的用例，双向认证可能会成为标配，供应商需未雨绸缪。
• FedRAMP授权：NIAP此前要求加密功能通过FIPS和CAVP认证（根据政策5），现在进一步要求基于云的评估目标环境（云服务提供商的环境或云服务产品）需通过FedRAMP授权。尽管这是对其他相关认证的认可和复用，但对拥有类似框架的国家（如德国/BSI的C5、法国/ANSSI的SecNumCloud或西班牙/CCN的STIC）提出了挑战。若能实现互认，将有助于全球社区的资源复用。
• 平台要求：若评估目标依赖于平台来实现功能，在此情境下，政策函#32要求将该平台列入NIAP产品合规清单（PCL）。若平台为操作系统（OS），则可能带来风险，因为目前通过评估或列入PCL的OS种类有限。此外，OS评估周期可能过长，可能导致版本过时。对于云原生服务，这一要求可能难以实现。
• 第三方组件：供应商需提供所有第三方组件的清单，包括名称、版本和构建号（即SBOM）。若供应商尚未建立成熟的流程和能力，手动枚举这些信息可能耗费大量时间和资源，危及评估时间表。
• 实验室的开放问题：对通用标准实验室而言，政策对测试环境和人员配置的影响尚存疑问。建立和维护基于云的测试环境需要满足哪些要求？实验室需与云服务提供商建立何种关系？现有人员是否需要提升云技术专业技能？若在供应商控制的云环境中进行远程测试，还需收集哪些额外访问权限和证据以满足NIAP要求？
• 偏差灵活性：“任何偏离本政策的请求需尽早以书面形式提交给NIAP主管，并将根据具体情况解决。”NIAP显然持谨慎态度，但愿意与供应商和实验室合作，以适应评估目标的特殊情况，同时收集数据以制定更完善的云评估政策。

Lightship Security评估微软云服务的经验

作为Applus+ Laboratories的一部分，Lightship Security参与了由NIAP领导的一个试点项目，对基于云的产品Microsoft Intune进行通用标准评估。Intune专注于移动设备管理（MDM）和移动应用程序管理（MAM）。

微软Intune通用标准评估的主要经验

• 评估过程中提交了多项技术查询，部分形成了技术决策。其他情况下，批准了特殊的SFRs或SARs的可替代测试方法或证据类型。
• NIAP承认，评估中暴露的某些问题需进一步分析和讨论才能形成有效解决方案。
• 移动设备管理（MDM）保护配置文档包含了云环境相关语言，有助于明确某些假设和环境组件。然而，缺乏具体的云相关的SFRs和评估活动导致满足一致性要求时存在复杂性。

积极参与云通用标准技术社区（CCitC）

Lightship Security专家积极参与云通用标准技术社区（CCitC），该社区在制定云评估指南方面发挥了关键作用。CCitC于2024年2月6日发布了云评估指南的首版公开版本，并获得了加拿大、美国和澳大利亚的支持声明，支持他们为在云环境中进行CC评估而为保护配置文件作者、机构、实验室和供应商提供指导而做出的努力。2025年2月5日，该文档纳入了德国评估机构的反馈并更新至v1.1版本，下一版本将整合澳大利亚评估机构的意见。

NIAP和微软均是该技术社区的活跃成员，未来预计将分享微软Intune评估的“经验指导”。

结论与未来展望

通用标准评估向云服务的扩展标志着网络安全领域的重要里程碑。随着各国和组织持续完善其方法论，国际机构与技术社区之间的协作对于建立全面且适应性强的安全评估至关重要。

Applus+ Laboratories近年来主导了多项云服务评估，其西班牙实验室已完成超过100项CCN/STIC云服务评估。

微软Intune等试点项目的经验和见解将为更强大、更有效的认证流程铺平道路，确保云服务满足最高安全性和可靠性标准。

尽管仍有许多挑战待解，Applus+ Laboratories始终致力于为行业提供支持。