廣東雲浮市華翼信息科技技術開發有限公司成為(wèi)值得您信賴的(de)貼心系統集成商
全國服務熱線:
0757-23819339
全國服務熱線:
0757-23819339日期:2020-05-22 閱讀數:1190
等保2.0擴展了雲計算安全要求,雲等保合規也成為(wèi)了組織單位上雲必須完成的(de)基本要求。然而雲等保涉及的(de)責任、範圍、建設方法等均與通用等級保護建設存在較大區别。
至此,數據生産要素的(de)身份得到“官宣”,将和(hé)土地(dì)、勞動力、資本、技術這些傳統生産要素一(yī)道(dào),共同參與市場化配置。
以某省政務雲等保建設為(wèi)例,其雲平台按照等級保護第三級标準進行建設,但由于提供的(de)安全措施無法滿足廳委辦局的(de)需求導緻無法通過等級保護測評。衆多業務系統無法“上雲”。在這個案例中,可(kě)以将政務雲平台運營者類比為(wèi)“雲服務商”,廳委辦局類比為(wèi)“雲服務客戶”,各自(zì)角色該如(rú)何進行等級保護建設,成為(wèi)雙方共同的(de)難題。本文基于IaaS模式對以上雲等保常見的(de)四個問題進行解答。
責任劃分
在傳統計算形式中,運營、使用單位承擔從設備到應用全部的(de)安全責任。但在雲計算環境中根據角色的(de)不同,安全責任由雲服務商和(hé)雲服務客戶分擔。
其中,雲服務商主要安全責任是保障雲平台基礎設施的(de)安全,同時提供各項基礎設施服務以及各項服務內(nèi)置的(de)安全功能。在IaaS模式下,雲服務商需保證雲計算環境基礎設施(物理(lǐ)環境、服務器、網絡設備、安全設備),物理(lǐ)網絡及鏈路,依托于虛拟化技術實現的(de)網絡、計算、存儲的(de)安全。同時需要對雲服務管理(lǐ)平台、雲服務監控系統、雲操作系統等負有完全的(de)安全責任。
▲雲服務商安全責任
雲服務客戶則需對雲上各類可(kě)控的(de)資源(如(rú)虛拟機、安全組、雲平台提供的(de)安全功能)等進行配置,需對自(zì)行部署在雲上的(de)業務應用、操作系統、數據庫、中間件、數據等負有完全的(de)安全責任。
▲雲服務客戶安全責任
雲等保建設對象及定級備案
在等級保護中,将雲等保涉及的(de)建設對象分為(wèi)兩類:雲計算平台(以下簡稱雲平台)以及雲服務客戶的(de)業務應用系統(以下簡稱業務系統)。兩種建設對象分别由雲服務商以及雲服務客戶負有安全責任以及開展等級保護工作。
首先是雲平台的(de)定級備案。雲服務商應負責雲平台備案,備案地(dì)點為(wèi)運維管理(lǐ)端所在地(dì),同時關鍵信息基礎設施雲平台保護等級應不低(dī)于三級。
在雲平台通過等級保護測評後,雲上的(de)業務系統需要通過等級保護測評。用戶可(kě)在工商注冊地(dì)或實際運營地(dì)的(de)公安機關進行備案,等級保護的(de)級别可(kě)參照《GA/T 1389-2017 信息安全技術 網絡安全等級保護定級指南》(最新國家推薦性标準GB/T 22240正在修訂中)。但需要注意的(de)是,業務系統不能運行在低(dī)于自(zì)身安全保護等級的(de)雲平台中。并且業務系統隻有在完成并通過等級保護測評後方可(kě)投入正式使用。
雲平台等保建設
由于在雲計算環境中,安全能力的(de)提供主要依托于雲平台。因此需重點說明雲平台的(de)等級保護建設。雲平台等保建設一(yī)般分為(wèi)三個步驟:明确保護對象、分解安全措施、分析安全能力&對标基本要求。
1、明确保護對象
基于安全責任模型,分析得到雲服務商需要保護的(de)範圍。一(yī)般認為(wèi)雲服務商負責雲計算基礎設施、雲操作系統、雲産品(服務)、虛拟機監視(shì)器、虛拟網絡/安全設備、虛拟機鏡像以及管理(lǐ)數據的(de)安全。具體保護對象如(rú)下圖:
▲雲平台保護(測評)對象
2、分解安全措施
在明确保護對象的(de)前提下,需對當前雲平台提供的(de)安全措施進行分解。在《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》(以下簡稱“基本要求”)中對雲平台需提供的(de)安全措施進行了明确,如(rú)下圖所示:
▲雲平台安全防護措施
在物理(lǐ)環境方面,雲平台應提供物理(lǐ)隔離(lí)、電力保障、外來人員訪問控制、火災檢測、視(shì)頻監控等措施。
在通信網絡方面,雲平台應在物理(lǐ)通信網絡的(de)基礎上對虛拟通信網絡提供安全措施。如(rú)提供物理(lǐ)網絡及虛拟網絡的(de)區域劃分、虛拟網絡隔離(lí)、設備及鏈路的(de)冗餘、通信加密等措施。
在區域邊界方面,雲平台應在物理(lǐ)區域邊界安全措施的(de)基礎上增加對虛拟網絡邊界、虛拟機與宿主機之間的(de)邊界的(de)安全措施。
在計算環境方面,雲平台應提供安全加固的(de)操作系統及鏡像、虛拟機隔離(lí)、雙因素身份驗證以及訪問控制、安全審計等措施。
在安全管理(lǐ)中心方面,雲平台應提供權限劃分、授權、審計日志的(de)集中收集與分析、時鍾同步等措施。
整體可(kě)将以上安全措施分為(wèi)兩類:
原生的(de)安全措施:雲平台自(zì)身具備或可(kě)提供的(de)安全措施。
引入的(de)安全措施:在雲平台無法滿足的(de)情況下,需要采用解耦方式為(wèi)平台提供安全措施。
雲平台應為(wèi)雲服務客戶提供安全能力
前面将雲平台的(de)安全措施分解為(wèi)原生的(de)安全措施、引入的(de)安全措施兩類。
其中雲平台原生的(de)安全措施僅能夠覆蓋雲平台自(zì)身的(de)安全以及雲服務客戶的(de)部分需求如(rú)虛拟機隔離(lí)、鏡像快照/完整性校驗等。但受雲平台開發商在安全方面技術能力以及平台功能的(de)限制,雲平台對于在等級保護中如(rú)基線核查、安全審計、惡意代碼檢測、Web防護等方面的(de)措施要求無法提供完整的(de)解決方案。此外,基本要求中雲計算安全擴展要求明确要求雲平台“應具有根據雲服務客戶業務需求自(zì)主設置安全措施的(de)能力,包括定義訪問路徑、選擇安全組件、配置安全策略”。
因此,雲平台在自(zì)身無法滿足雲服務客戶需求的(de)情況下,應采用如(rú)雲安全服務平台等解耦的(de)方式提供可(kě)自(zì)主設置的(de)安全措施,進而為(wèi)雲服務客戶提供完整的(de)、合規的(de)安全能力及服務。
整體而言,IaaS模式下雲計算平台與雲服務客戶的(de)業務應用系統均需開展等級保護工作。在雲等保的(de)建設過程中,應采用“權責分離(lí),兩級建設”的(de)原則,在明确雲服務商與雲服務客戶的(de)安全責任前提下,對雲平台的(de)安全措施進行分解。作為(wèi)雲平台的(de)服務商,有義務也有責任為(wèi)後期遷到雲平台上的(de)業務系統提供其所需的(de)安全能力。在雲平台自(zì)身提供部分安全措施的(de)基礎上,對于雲平台自(zì)身無法提供的(de)安全措施應通過雲安全服務平台等方式提供,共同實現雲等保的(de)安全合規建設。
上一(yī)篇:勒索病毒變種層出不窮,深信服EDR主動防禦克敵制勝!
下一(yī)篇:存算一(yī)體,未來已來?
順德地(dì)址:佛山市順德區北滘鎮人昌路5号北滘國際财富中心6号樓(天玑國際大廈)第7層712單元
電話:0757-23819339 傳真:0757-23819339
廣東雲浮市華翼信息科技技術開發有限公司
掃碼關注公司抖音号 
掃碼關注微信公衆号 
客服QQ
18123591892
282180126@qq.com