欢迎光临广东齐思达信息科(kē)技有(yǒu)限公司官方网站!

齐思达信息科(kē)技

广东齐思达信息科(kē)技有(yǒu)限公司成為(wèi)值得您信赖的贴心系统集成商(shāng)

全國(guó)服務(wù)热線(xiàn):

0757-23819339

新(xīn)闻动态

了解最新(xīn)公司动态及行业资讯

首页>新(xīn)闻动态>行业资讯

返回列表

热门关键词: 信息安全    云计算    弱電(diàn)工程    机房建设    IT基础架构   

干货分(fēn)享 | 云等保合规建设探索

日期:2020-05-22    阅读数:1275

云服務(wù)商(shāng)和云服務(wù)客户的责任如何划分(fēn)?
云环境下哪些建设对象需要通过等级保护测评?
如何进行云平台安全建设使其符合等级保护的要求?
云平台自身满足等级保护是不是就足够了?


等保2.0扩展了云计算安全要求,云等保合规也成為(wèi)了组织单位上云必须完成的基本要求。然而云等保涉及的责任、范围、建设方法等均与通用(yòng)等级保护建设存在较大區(qū)别。

至此,数据生产要素的身份得到“官宣”,将和土地、劳动力、资本、技术这些传统生产要素一道,共同参与市场化配置。

以某省政務(wù)云等保建设為(wèi)例,其云平台按照等级保护第三级标准进行建设,但由于提供的安全措施无法满足厅委办局的需求导致无法通过等级保护测评。众多(duō)业務(wù)系统无法“上云”。在这个案例中,可(kě)以将政務(wù)云平台运营者类比為(wèi)“云服務(wù)商(shāng)”,厅委办局类比為(wèi)“云服務(wù)客户”,各自角色该如何进行等级保护建设,成為(wèi)双方共同的难题。本文(wén)基于IaaS模式对以上云等保常见的四个问题进行解答(dá)。



责任划分(fēn)


在传统计算形式中,运营、使用(yòng)单位承担从设备到应用(yòng)全部的安全责任。但在云计算环境中根据角色的不同,安全责任由云服務(wù)商(shāng)和云服務(wù)客户分(fēn)担。

其中,云服務(wù)商(shāng)主要安全责任是保障云平台基础设施的安全,同时提供各项基础设施服務(wù)以及各项服務(wù)内置的安全功能(néng)。在IaaS模式下,云服務(wù)商(shāng)需保证云计算环境基础设施(物(wù)理(lǐ)环境、服務(wù)器、网络设备、安全设备),物(wù)理(lǐ)网络及链路,依托于虚拟化技术实现的网络、计算、存储的安全。同时需要对云服務(wù)管理(lǐ)平台、云服務(wù)监控系统、云操作系统等负有(yǒu)完全的安全责任

001.jpg

云服務(wù)商(shāng)安全责任

云服務(wù)客户则需对云上各类可(kě)控的资源(如虚拟机、安全组、云平台提供的安全功能(néng))等进行配置,需对自行部署在云上的业務(wù)应用(yòng)、操作系统、数据库、中间件、数据等负有(yǒu)完全的安全责任。

002.jpg

云服務(wù)客户安全责任


云等保建设对象及定级备案

在等级保护中,将云等保涉及的建设对象分(fēn)為(wèi)两类:云计算平台(以下简称云平台)以及云服務(wù)客户的业務(wù)应用(yòng)系统(以下简称业務(wù)系统)。两种建设对象分(fēn)别由云服務(wù)商(shāng)以及云服務(wù)客户负有(yǒu)安全责任以及开展等级保护工作。

首先是云平台的定级备案。云服務(wù)商(shāng)应负责云平台备案,备案地点為(wèi)运维管理(lǐ)端所在地,同时关键信息基础设施云平台保护等级应不低于三级。


在云平台通过等级保护测评后,云上的业務(wù)系统需要通过等级保护测评。用(yòng)户可(kě)在工商(shāng)注册地或实际运营地的公安机关进行备案,等级保护的级别可(kě)参照《GA/T 1389-2017 信息安全技术 网络安全等级保护定级指南》(最新(xīn)國(guó)家推荐性标准GB/T 22240正在修订中)。但需要注意的是,业務(wù)系统不能(néng)运行在低于自身安全保护等级的云平台中。并且业務(wù)系统只有(yǒu)在完成并通过等级保护测评后方可(kě)投入正式使用(yòng)。

云平台等保建设

由于在云计算环境中,安全能(néng)力的提供主要依托于云平台。因此需重点说明云平台的等级保护建设。云平台等保建设一般分(fēn)為(wèi)三个步骤:明确保护对象、分(fēn)解安全措施、分(fēn)析安全能(néng)力&对标基本要求。

1、明确保护对象

基于安全责任模型,分(fēn)析得到云服務(wù)商(shāng)需要保护的范围。一般认為(wèi)云服務(wù)商(shāng)负责云计算基础设施、云操作系统、云产品(服務(wù))、虚拟机监视器、虚拟网络/安全设备、虚拟机镜像以及管理(lǐ)数据的安全。具體(tǐ)保护对象如下图:

003.png

云平台保护(测评)对象

2、分(fēn)解安全措施

在明确保护对象的前提下,需对当前云平台提供的安全措施进行分(fēn)解。在《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)中对云平台需提供的安全措施进行了明确,如下图所示:

004.png

▲云平台安全防护措施

在物(wù)理(lǐ)环境方面,云平台应提供物(wù)理(lǐ)隔离、電(diàn)力保障、外来人员访问控制、火灾检测、视频监控等措施。

在通信网络方面,云平台应在物(wù)理(lǐ)通信网络的基础上对虚拟通信网络提供安全措施。如提供物(wù)理(lǐ)网络及虚拟网络的區(qū)域划分(fēn)、虚拟网络隔离、设备及链路的冗余、通信加密等措施。

在區(qū)域边界方面,云平台应在物(wù)理(lǐ)區(qū)域边界安全措施的基础上增加对虚拟网络边界、虚拟机与宿主机之间的边界的安全措施。

在计算环境方面,云平台应提供安全加固的操作系统及镜像、虚拟机隔离、双因素身份验证以及访问控制、安全审计等措施。

在安全管理(lǐ)中心方面,云平台应提供权限划分(fēn)、授权、审计日志(zhì)的集中收集与分(fēn)析、时钟同步等措施。

整體(tǐ)可(kě)将以上安全措施分(fēn)為(wèi)两类:

原生的安全措施:云平台自身具备或可(kě)提供的安全措施。

引入的安全措施:在云平台无法满足的情况下,需要采用(yòng)解耦方式為(wèi)平台提供安全措施。


云平台应為(wèi)云服務(wù)客户提供安全能(néng)力

前面将云平台的安全措施分(fēn)解為(wèi)原生的安全措施、引入的安全措施两类。


其中云平台原生的安全措施仅能(néng)够覆盖云平台自身的安全以及云服務(wù)客户的部分(fēn)需求如虚拟机隔离、镜像快照/完整性校验等。但受云平台开发商(shāng)在安全方面技术能(néng)力以及平台功能(néng)的限制,云平台对于在等级保护中如基線(xiàn)核查、安全审计、恶意代码检测、Web防护等方面的措施要求无法提供完整的解决方案。此外,基本要求中云计算安全扩展要求明确要求云平台“应具有(yǒu)根据云服務(wù)客户业務(wù)需求自主设置安全措施的能(néng)力,包括定义访问路径、选择安全组件、配置安全策略”。


因此,云平台在自身无法满足云服務(wù)客户需求的情况下,应采用(yòng)如云安全服務(wù)平台等解耦的方式提供可(kě)自主设置的安全措施,进而為(wèi)云服務(wù)客户提供完整的、合规的安全能(néng)力及服務(wù)。


整體(tǐ)而言,IaaS模式下云计算平台与云服務(wù)客户的业務(wù)应用(yòng)系统均需开展等级保护工作。在云等保的建设过程中,应采用(yòng)“权责分(fēn)离,两级建设”的原则,在明确云服務(wù)商(shāng)与云服務(wù)客户的安全责任前提下,对云平台的安全措施进行分(fēn)解。作為(wèi)云平台的服務(wù)商(shāng),有(yǒu)义務(wù)也有(yǒu)责任為(wèi)后期迁到云平台上的业務(wù)系统提供其所需的安全能(néng)力。在云平台自身提供部分(fēn)安全措施的基础上,对于云平台自身无法提供的安全措施应通过云安全服務(wù)平台等方式提供,共同实现云等保的安全合规建设。


分(fēn)享到: