等保2.0正式實施已有一個多月的時間,但是e小安了解到一些雲計算平臺/系統的小夥伴卻仍然很焦慮:雲等保如何定級、建設整改如何實施,新增安全要求怎麼落地?等保合規中還有那些地方值得重點關注?……
如果客戶拋給你這些問題,你都知道咋回答嗎?
等保2.0與時俱進地把包括傳統網絡安全、雲計算、物聯網、移動互聯、工業控制、大數據等在內的新技術納入,並著重強調了雲計算安全等相關事宜,提高了保障的要求門檻。
讓人云裡霧裡的雲等保,其實不是新鮮事物,只是從基本要求擴展而來,根據雲計算的特性衍生出一些新的變化。
所以,當你有客戶問你雲等保的時候,首先你要給客戶介紹雲等保要求的總體情況,其次雲等保定級對象至少包括兩部分:雲平臺本身和雲租戶的信息系統。
最後以三級系統為例,告知客戶哪些事情需要重點關注。
雲等保要求總覽
新標準中對於雲計算平臺/系統的等級保護,仍然根據“一箇中心,三重防護”體系框架,提出了具體的技術要求,以及包含雲服務商選擇、供應鏈管理和雲計算環境管理等方面的管理要求。雲計算平臺/系統的安全建設或安全整改,需同時根據安全通用要求和安全擴展要求,構建具有相應等級安全防護能力的安全防禦體系。
注:安全管理制度、安全管理機構和安全管理人員,雲計算平臺/系統無單獨安全擴展要求。
● 雲等保組織架構
雲計算等級保護的施行由兩部分組成,一部分是組織,另外一部分是施行邏輯。就組織而言,雲計算等級保護有完善的指導、規劃、試測、建設、驗證、審計和持續優化流程組織形式和流程。
● 雲等保框架
雲計算等級保護是整個等保2.0的一部分,它與等級保護的“通用”部分形成一個整體,來約束雲計算平臺的等級保護建設,為雲計算平臺網絡安全建設設立基線。雲計算等級保護框架按照系統組成來劃分,大致可分為面向整個雲計算平臺的防護要求和麵向雲計算負載的防護要求。
雲計算安全等級保護是等級保護框架的一部分
雲計算系統分級需要綜合等級保護中的安全通用要求和雲計算安全兩個模塊的內容,進行定級。雲計算等級保護的每個等級依據威脅對目標造成的影響程度,形成有梯度的防護。這些要求被整體劃分為技術要求和管理要求,分別面向雲計算平臺系統和雲計算平臺管理兩個部分。以三級等保建設為例,其技術要求160多項、管理要求120多項。
對於雲計算平臺/系統的等級保護,我們以第三級要求說明有哪些應該重點關注。
1、責任共擔要求
雲計算平臺/系統通常由設施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應用軟件等組成。根據不同服務模式(IaaS、PaaS和SaaS),雲服務商和雲服務客戶擁有不同控制範圍,其安全責任邊界不同;雲服務商和雲服務客戶應根據各自安全責任,進行安全防護能力建設。現實情況是雲服務客戶通常認為安全防護應該由雲服務商實現,只需把業務系統遷移至雲端即可,這需要引導雲服務客戶關注等級保護,並採取相應安全防護,與雲服務商一起共同保護雲計算平臺/系統。
2、安全通信網絡要求
解讀:
根據控制範圍,雲計算定級對象可分為雲服務商控制部分(如雲計算平臺)和雲服務客戶控制部分(如業務應用系統),應分別進行定級,且雲服務商控制部分比雲服務客戶控制部分高,雲服務商的測評可以被複用。在進行安全建設時,雲服務商應該為雲服務客戶提供安全產品或服務,然而云計算平臺/系統,尤其是私有云部署方式下,僅提供基礎的安全能力,並不能滿足等級保護要求。這就需要雲服務商能夠提供第三方安全產品/服務或允許客戶接入第三方安全產品或服務,並且雲服務客戶可以自主設置安全策略。
3、安全區域邊界
解讀:
相較於傳統信息系統,雲計算平臺/系統新增了一些組件,如宿主機、虛擬機和虛擬化網絡等。所以在做安全區域邊界設計時,除了關注物理區域邊界和物理網絡節點外,還應該關注虛擬化網絡邊界和虛擬網絡節點,以及虛擬機與物理機、虛擬機與虛擬機間網絡流量,一方面做好物理網絡的訪問控制和入侵防範等,另一方面利用雲計算平臺/系統的安全能力或第三方安全產品/服務,做好虛擬區域邊界的訪問控制和入侵防範等。
4、安全計算環境
解讀:
雲計算平臺/系統中虛擬機運行在一個資源共享的環境中,虛擬機遷移時有發生,隨著虛擬機的生命週期結束,其資源將被回收和利用。所以為實現安全計算環境,除做好安全通用要求外,應做好以下幾點:雲服務商應提供加固的鏡像,利用完整性校驗防止被惡意篡改;應該確保虛擬機的CPU、內存和存儲等資源的隔離;當虛擬機做遷移時,應能夠實現遷移前後的訪問控制策略保持一致,並且虛擬機所使用的內存和存儲空間回收時,做到數據清除。雲服務客戶應定期做安全檢查,進行安全加固,並利用防病毒軟件保護虛擬機,在計劃內的虛擬機遷移時,檢查遷移前後虛擬機的訪問控制策略。
5、安全管理中心
解讀:
網絡環境日益複雜,雲計算平臺/系統通常採用集中化部署,風險和攻擊也被集中和加劇,安全防禦體系應該更主動和動態,安全管理中心是關鍵。該中心應該能夠建立安全態勢感知、攻擊行為回溯分析和監測預警等能力,幫助雲計算平臺/系統實現安全事件的事前預警、事中防護和事後追溯,並持續監控雲計算平臺/系統的安全狀態。因此,應該建立具備相應能力的安全管理中心,完善安全防禦體系,並幫助雲計算平臺/系統落實態勢感知、通報預警和安全檢測等工作。
看了上面的內容,掌握5個重點問題的解讀,相信你肯定會給客戶一個滿意的答覆,客戶滿意了,那麼離合作、離成交,還會遠嗎?
閱讀更多 e安教育 的文章
