随着一系列等级保护新标准的顺利发布, 网络安全等级保护也进入到 2.0 时代. 作为新增的等级保护对象, 云计算平台 / 系统新增安全要求如何? 有哪些地方值得重点关注?
今天, 绿盟君来为您一一解读.
--* 要求总览 *--
在政府积极引导和企业战略布局等推动下, 经过近十余年的发展, 云计算已逐渐被市场认可和接受, 政务, 金融, 运营商和工业等多个行业的信息系统已经运行在云端. 相对于传统信息系统, 云计算平台 / 系统如何进行等级保护非常受关注. 新等级保护标准的发布, 明确了云计算平台 / 系统作为等级保护对象的具体要求, 指导云计算平台 / 系统的安全建设.
新标准中对于云计算平台 / 系统的等级保护, 仍然根据 "一个中心, 三重防护" 体系框架, 提出了具体的技术要求, 以及包含云服务商选择, 供应链管理和云计算环境管理等方面的管理要求. 云计算平台 / 系统的安全建设或安全整改, 需同时根据安全通用要求和安全扩展要求, 构建具有相应等级安全防护能力的安全防御体系.
注: 安全管理制度, 安全管理机构和安全管理人员, 云计算平台 / 系统无单独安全扩展要求.
对于云计算平台 / 系统的等级保护, 我们以第三级要求说明有哪些应该重点关注.
--* 抓住重点 *--
1. 责任共担要求
云计算平台 / 系统通常由设施, 硬件, 资源抽象控制, 虚拟化计算资源, 软件平台和应用软件等组成. 根据不同服务模式(IaaS,PaaS 和 SaaS), 云服务商和云服务客户拥有不同控制范围, 其安全责任边界不同; 云服务商和云服务客户应根据各自安全责任, 进行安全防护能力建设. 现实情况是云服务客户通常认为安全防护应该由云服务商实现, 只需把业务系统迁移至云端即可, 这需要引导云服务客户关注等级保护, 并采取相应安全防护, 与云服务商一起共同保护云计算平台 / 系统.
2. 安全通信网络要求
解读:
根据控制范围, 云计算定级对象可分为云服务商控制部分 (如云计算平台) 和云服务客户控制部分(如业务应用系统), 应分别进行定级, 且云服务商控制部分比云服务客户控制部分高, 云服务商的测评可以被复用. 在进行安全建设时, 云服务商应该为云服务客户提供安全产品或服务, 然而云计算平台 / 系统, 尤其是私有云部署方式下, 仅提供基础的安全能力, 并不能满足等级保护要求. 这就需要云服务商能够提供第三方安全产品 / 服务或允许客户接入第三方安全产品或服务, 并且云服务客户可以自主设置安全策略.
3. 安全区域边界
解读:
相较于传统信息系统, 云计算平台 / 系统新增了一些组件, 如宿主机, 虚拟机和虚拟化网络等. 所以在做安全区域边界设计时, 除了关注物理区域边界和物理网络节点外, 还应该关注虚拟化网络边界和虚拟网络节点, 以及虚拟机与物理机, 虚拟机与虚拟机间网络流量, 一方面做好物理网络的访问控制和入侵防范等, 另一方面利用云计算平台 / 系统的安全能力或第三方安全产品 / 服务, 做好虚拟区域边界的访问控制和入侵防范等.
4. 安全计算环境
解读:
云计算平台 / 系统中虚拟机运行在一个资源共享的环境中, 虚拟机迁移时有发生, 随着虚拟机的生命周期结束, 其资源将被回收和利用. 所以为实现安全计算环境, 除做好安全通用要求外, 应做好以下几点: 云服务商应提供加固的镜像, 利用完整性校验防止被恶意篡改; 应该确保虚拟机的 CPU, 内存和存储等资源的隔离; 当虚拟机做迁移时, 应能够实现迁移前后的访问控制策略保持一致, 并且虚拟机所使用的内存和存储空间回收时, 做到数据清除. 云服务客户应定期做安全检查, 进行安全加固, 并利用防病毒软件保护虚拟机, 在计划内的虚拟机迁移时, 检查迁移前后虚拟机的访问控制策略.
5. 安全管理中心
解读:
网络环境日益复杂, 云计算平台 / 系统通常采用集中化部署, 风险和攻击也被集中和加剧, 安全防御体系应该更主动和动态, 安全管理中心是关键. 该中心应该能够建立安全态势感知, 攻击行为回溯分析和监测预警等能力, 帮助云计算平台 / 系统实现安全事件的事前预警, 事中防护和事后追溯, 并持续监控云计算平台 / 系统的安全状态. 因此, 应该建立具备相应能力的安全管理中心, 完善安全防御体系, 并帮助云计算平台 / 系统落实态势感知, 通报预警和安全检测等工作.
面对如此多的要求, 究竟应该如何建设综合防御体系, 来帮助云服务商和云服务客户快速满足合规性要求?
--* 提出方案 *--
绿盟科技结合多年等保合规实践经验, 按照 "一个中心, 三重防护" 的体系框架, 针对安全通用要求和云计算安全扩展要求, 提出了 "多方协同, 纵深防御, 持续监测" 的云计算等保合规解决方案.
1. 多方协同: 推动云服务商和云服务客户协同, 云平台防护和云上信息系统防护协同, 共同实现云计算平台 / 系统的等保合规.
2. 纵深防御: 采用了软件定义安全理念, 将传统安全设备转化为全面, 专业的安全即服务, 提供包含防护, 检测和评估等多种安全防护能力, 帮助云服务商和云服务客户分别建立纵深防护体系.
3. 持续监测: 建立安全防护管理中心, 提供网络安全态势的感知, 预测和预判能力, 实现网络安全事件的事前预警, 事中防护和事后追溯, 逐步建立主动, 动态的综合防护架构.
同时, 绿盟科技提供包含等保咨询, 漏洞扫描, 安全检查, 渗透测试, 安全加固, 应急响应, 安全通告, 风险评估服务和安全培训等一系列安全咨询服务, 在等级保护的多个阶段帮助客户更好的满足等保合规要求.
来源: http://zhuanlan.51cto.com/art/201906/597905.htm