歡迎光臨廣東廣東到啦網信息科技有限公司官方網站(zhàn)!

齊思達信息科技

廣東廣東到啦網信息科技有限公司緻力打造專業(yè)級一站(zhàn)式IT外包服務生态圈

全國服務熱線:

0757-23819339

新聞動(dòng)态

了解最新公司動(dòng)态及行業(yè)資(zī)訊

首頁>新聞動(dòng)态>行業(yè)資(zī)訊

返回列表

熱門關(guān)鍵詞: 視頻監控系統    門禁一卡通(tōng)系統    MES    弱電工程   

幹貨分享 | 雲等保合規建設探索

日期:2020-05-22    閱讀數:1069

雲服務商(shāng)和(hé)雲服務客戶的責任如(rú)何劃分?
雲環境下(xià)哪些建設對象需要通(tōng)過等級保護測評?
如(rú)何進行雲平台安全建設使其符合等級保護的要求?
雲平台自身滿足等級保護是不是就足夠了?


等保2.0擴展了雲計算安全要求,雲等保合規也成為了組織單位上雲必須完成的基本要求。然而雲等保涉及的責任、範圍、建設方法等均與通(tōng)用等級保護建設存在較大區别。

至此,數據生産要素的身份得到“官宣”,将和(hé)土(tǔ)地、勞動(dòng)力、資(zī)本、技術(shù)這些傳統生産要素一道,共同參與市場化配置。

以某省政務雲等保建設為例,其雲平台按照等級保護第三級标準進行建設,但由于提供的安全措施無法滿足廳委辦局的需求導緻無法通(tōng)過等級保護測評。衆多業(yè)務系統無法“上雲”。在這個(gè)案例中(zhōng),可(kě)以将政務雲平台運營者類比為“雲服務商(shāng)”,廳委辦局類比為“雲服務客戶”,各自角色該如(rú)何進行等級保護建設,成為雙方共同的難題。本文(wén)基于IaaS模式對以上雲等保常見的四個(gè)問(wèn)題進行解答。



責任劃分


在傳統計算形式中(zhōng),運營、使用單位承擔從設備到應用全部的安全責任。但在雲計算環境中(zhōng)根據角色的不同,安全責任由雲服務商(shāng)和(hé)雲服務客戶分擔。

其中(zhōng),雲服務商(shāng)主要安全責任是保障雲平台基礎設施的安全,同時提供各項基礎設施服務以及各項服務内置的安全功能。在IaaS模式下(xià),雲服務商(shāng)需保證雲計算環境基礎設施(物理環境、服務器(qì)、網絡設備、安全設備),物理網絡及鍊路(lù),依托于虛拟化技術(shù)實現的網絡、計算、存儲的安全。同時需要對雲服務管理平台、雲服務監控系統、雲操作系統等負有完全的安全責任

001.jpg

雲服務商(shāng)安全責任

雲服務客戶則需對雲上各類可(kě)控的資(zī)源(如(rú)虛拟機、安全組、雲平台提供的安全功能)等進行配置,需對自行部署在雲上的業(yè)務應用、操作系統、數據庫、中(zhōng)間件、數據等負有完全的安全責任。

002.jpg

雲服務客戶安全責任


雲等保建設對象及定級備案

在等級保護中(zhōng),将雲等保涉及的建設對象分為兩類:雲計算平台(以下(xià)簡稱雲平台)以及雲服務客戶的業(yè)務應用系統(以下(xià)簡稱業(yè)務系統)。兩種建設對象分别由雲服務商(shāng)以及雲服務客戶負有安全責任以及開展等級保護工作。

首先是雲平台的定級備案。雲服務商(shāng)應負責雲平台備案,備案地點為運維管理端所在地,同時關(guān)鍵信息基礎設施雲平台保護等級應不低于三級。


在雲平台通(tōng)過等級保護測評後,雲上的業(yè)務系統需要通(tōng)過等級保護測評。用戶可(kě)在工商(shāng)注冊地或實際運營地的公安機關(guān)進行備案,等級保護的級别可(kě)參照《GA/T 1389-2017 信息安全技術(shù) 網絡安全等級保護定級指南》(最新國家推薦性标準GB/T 22240正在修訂中(zhōng))。但需要注意的是,業(yè)務系統不能運行在低于自身安全保護等級的雲平台中(zhōng)。并且業(yè)務系統隻有在完成并通(tōng)過等級保護測評後方可(kě)投入正式使用。

雲平台等保建設

由于在雲計算環境中(zhōng),安全能力的提供主要依托于雲平台。因此需重點說明雲平台的等級保護建設。雲平台等保建設一般分為三個(gè)步驟:明确保護對象、分解安全措施、分析安全能力&對标基本要求。

1、明确保護對象

基于安全責任模型,分析得到雲服務商(shāng)需要保護的範圍。一般認為雲服務商(shāng)負責雲計算基礎設施、雲操作系統、雲産品(服務)、虛拟機監視器(qì)、虛拟網絡/安全設備、虛拟機鏡像以及管理數據的安全。具體保護對象如(rú)下(xià)圖:

003.png

雲平台保護(測評)對象

2、分解安全措施

在明确保護對象的前提下(xià),需對當前雲平台提供的安全措施進行分解。在《GB/T 22239-2019 信息安全技術(shù) 網絡安全等級保護基本要求》(以下(xià)簡稱“基本要求”)中(zhōng)對雲平台需提供的安全措施進行了明确,如(rú)下(xià)圖所示:

004.png

▲雲平台安全防護措施

在物理環境方面,雲平台應提供物理隔離(lí)、電力保障、外來人員訪問(wèn)控制、火災檢測、視頻監控等措施。

在通(tōng)信網絡方面,雲平台應在物理通(tōng)信網絡的基礎上對虛拟通(tōng)信網絡提供安全措施。如(rú)提供物理網絡及虛拟網絡的區域劃分、虛拟網絡隔離(lí)、設備及鍊路(lù)的冗餘、通(tōng)信加密等措施。

在區域邊界方面,雲平台應在物理區域邊界安全措施的基礎上增加對虛拟網絡邊界、虛拟機與宿主機之間的邊界的安全措施。

在計算環境方面,雲平台應提供安全加固的操作系統及鏡像、虛拟機隔離(lí)、雙因素身份驗證以及訪問(wèn)控制、安全審計等措施。

在安全管理中(zhōng)心方面,雲平台應提供權限劃分、授權、審計日志的集中(zhōng)收集與分析、時鐘同步等措施。

整體可(kě)将以上安全措施分為兩類:

原生的安全措施:雲平台自身具備或可(kě)提供的安全措施。

引入的安全措施:在雲平台無法滿足的情況下(xià),需要采用解耦方式為平台提供安全措施。


雲平台應為雲服務客戶提供安全能力

前面将雲平台的安全措施分解為原生的安全措施、引入的安全措施兩類。


其中(zhōng)雲平台原生的安全措施僅能夠覆蓋雲平台自身的安全以及雲服務客戶的部分需求如(rú)虛拟機隔離(lí)、鏡像快照/完整性校(xiào)驗等。但受雲平台開發商(shāng)在安全方面技術(shù)能力以及平台功能的限制,雲平台對于在等級保護中(zhōng)如(rú)基線核查、安全審計、惡意代碼檢測、Web防護等方面的措施要求無法提供完整的解決方案。此外,基本要求中(zhōng)雲計算安全擴展要求明确要求雲平台“應具有根據雲服務客戶業(yè)務需求自主設置安全措施的能力,包括定義訪問(wèn)路(lù)徑、選擇安全組件、配置安全策略”。


因此,雲平台在自身無法滿足雲服務客戶需求的情況下(xià),應采用如(rú)雲安全服務平台等解耦的方式提供可(kě)自主設置的安全措施,進而為雲服務客戶提供完整的、合規的安全能力及服務。


整體而言,IaaS模式下(xià)雲計算平台與雲服務客戶的業(yè)務應用系統均需開展等級保護工作。在雲等保的建設過程中(zhōng),應采用“權責分離(lí),兩級建設”的原則,在明确雲服務商(shāng)與雲服務客戶的安全責任前提下(xià),對雲平台的安全措施進行分解。作為雲平台的服務商(shāng),有義務也有責任為後期遷到雲平台上的業(yè)務系統提供其所需的安全能力。在雲平台自身提供部分安全措施的基礎上,對于雲平台自身無法提供的安全措施應通(tōng)過雲安全服務平台等方式提供,共同實現雲等保的安全合規建設。


分享到:

上一篇:勒索病毒變種層出不窮,深信服EDR主動(dòng)防禦克敵制勝!

下(xià)一篇:存算一體,未來已來?