熱門(mén)關鍵詞: 信息安全 雲計算(suàn) 弱電(diàn)工(gōng)程 機(jī)房建設 IT基礎架構
日期:2020-05-22 閱讀(dú)數:1246
等保2.0擴展了雲計算(suàn)安全要求,雲等保合規也成為(wèi)了組織單位上(shàng)雲必須完成的基本要求。然而雲等保涉及的責任、範圍、建設方法等均與通(tōng)用等級保護建設存在較大區别。
至此,數據生(shēng)産要素的身份得到(dào)“官宣”,将和土(tǔ)地、勞動力、資本、技(jì)術(shù)這些傳統生(shēng)産要素一(yī)道,共同參與市(shì)場化配置。
以某省政務雲等保建設為(wèi)例,其雲平台按照(zhào)等級保護第三級标準進行建設,但由于提供的安全措施無法滿足廳委辦局的需求導緻無法通(tōng)過等級保護測評。衆多(duō)業(yè)務系統無法“上(shàng)雲”。在這個(gè)案例中,可以将政務雲平台運營者類比為(wèi)“雲服務商”,廳委辦局類比為(wèi)“雲服務客戶”,各自(zì)角色該如何進行等級保護建設,成為(wèi)雙方共同的難題。本文基于IaaS模式對以上(shàng)雲等保常見(jiàn)的四個(gè)問題進行解答。
責任劃分
在傳統計算(suàn)形式中,運營、使用單位承擔從(cóng)設備到(dào)應用全部的安全責任。但在雲計算(suàn)環境中根據角色的不同,安全責任由雲服務商和雲服務客戶分擔。
其中,雲服務商主要安全責任是保障雲平台基礎設施的安全,同時提供各項基礎設施服務以及各項服務内置的安全功能(néng)。在IaaS模式下(xià),雲服務商需保證雲計算(suàn)環境基礎設施(物(wù)理環境、服務器(qì)、網絡設備、安全設備),物(wù)理網絡及鏈路(lù),依托于虛拟化技(jì)術(shù)實現的網絡、計算(suàn)、存儲的安全。同時需要對雲服務管理平台、雲服務監控系統、雲操作系統等負有完全的安全責任。
▲雲服務商安全責任
雲服務客戶則需對雲上(shàng)各類可控的資源(如虛拟機(jī)、安全組、雲平台提供的安全功能(néng))等進行配置,需對自(zì)行部署在雲上(shàng)的業(yè)務應用、操作系統、數據庫、中間件(jiàn)、數據等負有完全的安全責任。
▲雲服務客戶安全責任
雲等保建設對象及定級備案
在等級保護中,将雲等保涉及的建設對象分為(wèi)兩類:雲計算(suàn)平台(以下(xià)簡稱雲平台)以及雲服務客戶的業(yè)務應用系統(以下(xià)簡稱業(yè)務系統)。兩種建設對象分别由雲服務商以及雲服務客戶負有安全責任以及開(kāi)展等級保護工(gōng)作。
首先是雲平台的定級備案。雲服務商應負責雲平台備案,備案地點為(wèi)運維管理端所在地,同時關鍵信息基礎設施雲平台保護等級應不低(dī)于三級。
在雲平台通(tōng)過等級保護測評後,雲上(shàng)的業(yè)務系統需要通(tōng)過等級保護測評。用戶可在工(gōng)商注冊地或實際運營地的公安機(jī)關進行備案,等級保護的級别可參照(zhào)《GA/T 1389-2017 信息安全技(jì)術(shù) 網絡安全等級保護定級指南(nán)》(最新國(guó)家推薦性标準GB/T 22240正在修訂中)。但需要注意的是,業(yè)務系統不能(néng)運行在低(dī)于自(zì)身安全保護等級的雲平台中。并且業(yè)務系統隻有在完成并通(tōng)過等級保護測評後方可投入正式使用。
雲平台等保建設
由于在雲計算(suàn)環境中,安全能(néng)力的提供主要依托于雲平台。因此需重點說明雲平台的等級保護建設。雲平台等保建設一(yī)般分為(wèi)三個(gè)步驟:明确保護對象、分解安全措施、分析安全能(néng)力&對标基本要求。
1、明确保護對象
基于安全責任模型,分析得到(dào)雲服務商需要保護的範圍。一(yī)般認為(wèi)雲服務商負責雲計算(suàn)基礎設施、雲操作系統、雲産品(服務)、虛拟機(jī)監視器(qì)、虛拟網絡/安全設備、虛拟機(jī)鏡像以及管理數據的安全。具體保護對象如下(xià)圖:
▲雲平台保護(測評)對象
2、分解安全措施
在明确保護對象的前提下(xià),需對當前雲平台提供的安全措施進行分解。在《GB/T 22239-2019 信息安全技(jì)術(shù) 網絡安全等級保護基本要求》(以下(xià)簡稱“基本要求”)中對雲平台需提供的安全措施進行了明确,如下(xià)圖所示:
▲雲平台安全防護措施
在物(wù)理環境方面,雲平台應提供物(wù)理隔離、電(diàn)力保障、外來人員(yuán)訪問控制、火災檢測、視頻監控等措施。
在通(tōng)信網絡方面,雲平台應在物(wù)理通(tōng)信網絡的基礎上(shàng)對虛拟通(tōng)信網絡提供安全措施。如提供物(wù)理網絡及虛拟網絡的區域劃分、虛拟網絡隔離、設備及鏈路(lù)的冗餘、通(tōng)信加密等措施。
在區域邊界方面,雲平台應在物(wù)理區域邊界安全措施的基礎上(shàng)增加對虛拟網絡邊界、虛拟機(jī)與宿主機(jī)之間的邊界的安全措施。
在計算(suàn)環境方面,雲平台應提供安全加固的操作系統及鏡像、虛拟機(jī)隔離、雙因素身份驗證以及訪問控制、安全審計等措施。
在安全管理中心方面,雲平台應提供權限劃分、授權、審計日志(zhì)的集中收集與分析、時鍾同步等措施。
整體可将以上(shàng)安全措施分為(wèi)兩類:
原生(shēng)的安全措施:雲平台自(zì)身具備或可提供的安全措施。
引入的安全措施:在雲平台無法滿足的情況下(xià),需要采用解耦方式為(wèi)平台提供安全措施。
雲平台應為(wèi)雲服務客戶提供安全能(néng)力
前面将雲平台的安全措施分解為(wèi)原生(shēng)的安全措施、引入的安全措施兩類。
其中雲平台原生(shēng)的安全措施僅能(néng)夠覆蓋雲平台自(zì)身的安全以及雲服務客戶的部分需求如虛拟機(jī)隔離、鏡像快照(zhào)/完整性校驗等。但受雲平台開(kāi)發商在安全方面技(jì)術(shù)能(néng)力以及平台功能(néng)的限制,雲平台對于在等級保護中如基線核查、安全審計、惡意代碼檢測、Web防護等方面的措施要求無法提供完整的解決方案。此外,基本要求中雲計算(suàn)安全擴展要求明确要求雲平台“應具有根據雲服務客戶業(yè)務需求自(zì)主設置安全措施的能(néng)力,包括定義訪問路(lù)徑、選擇安全組件(jiàn)、配置安全策略”。
因此,雲平台在自(zì)身無法滿足雲服務客戶需求的情況下(xià),應采用如雲安全服務平台等解耦的方式提供可自(zì)主設置的安全措施,進而為(wèi)雲服務客戶提供完整的、合規的安全能(néng)力及服務。
整體而言,IaaS模式下(xià)雲計算(suàn)平台與雲服務客戶的業(yè)務應用系統均需開(kāi)展等級保護工(gōng)作。在雲等保的建設過程中,應采用“權責分離,兩級建設”的原則,在明确雲服務商與雲服務客戶的安全責任前提下(xià),對雲平台的安全措施進行分解。作為(wèi)雲平台的服務商,有義務也有責任為(wèi)後期遷到(dào)雲平台上(shàng)的業(yè)務系統提供其所需的安全能(néng)力。在雲平台自(zì)身提供部分安全措施的基礎上(shàng),對于雲平台自(zì)身無法提供的安全措施應通(tōng)過雲安全服務平台等方式提供,共同實現雲等保的安全合規建設。
上(shàng)一(yī)篇:勒索病毒變種層出不窮,深信服EDR主動防禦克敵制勝!
下(xià)一(yī)篇:存算(suàn)一(yī)體,未來已來?