云服務(wù)商和云服務(wù)客戶的責(zé)任如何劃分?云環(huán)境下哪些建設(shè)對(duì)象需要通過等級(jí)保護(hù)測(cè)評(píng)?如何進(jìn)行云平臺(tái)安全建設(shè)使其符合等級(jí)保護(hù)的要求?云平臺(tái)自身滿足等級(jí)保護(hù)是不是就足夠了?
等保2.0擴(kuò)展了云計(jì)算安全要求,云等保合規(guī)也成為了組織單位上云必須完成的基本要求���。然而云等保涉及的責(zé)任��、范圍�、建設(shè)方法等均與通用等級(jí)保護(hù)建設(shè)存在較大區(qū)別��。
以某省政務(wù)云等保建設(shè)為例���,其云平臺(tái)按照等級(jí)保護(hù)第三級(jí)標(biāo)準(zhǔn)進(jìn)行建設(shè)����,但由于提供的安全措施無法滿足廳委辦局的需求導(dǎo)致無法通過等級(jí)保護(hù)測(cè)評(píng)�����。眾多業(yè)務(wù)系統(tǒng)無法“上云”。在這個(gè)案例中�����,可以將政務(wù)云平臺(tái)運(yùn)營者類比為“云服務(wù)商”����,廳委辦局類比為“云服務(wù)客戶”,各自角色該如何進(jìn)行等級(jí)保護(hù)建設(shè)�����,成為雙方共同的難題�����。本文基于IaaS模式對(duì)以上云等保常見的四個(gè)問題進(jìn)行解答����。
責(zé)任劃分
在傳統(tǒng)計(jì)算形式中,運(yùn)營����、使用單位承擔(dān)從設(shè)備到應(yīng)用全部的安全責(zé)任�����。但在云計(jì)算環(huán)境中根據(jù)角色的不同���,安全責(zé)任由云服務(wù)商和云服務(wù)客戶分擔(dān)。
其中��,云服務(wù)商主要安全責(zé)任是保障云平臺(tái)基礎(chǔ)設(shè)施的安全�����,同時(shí)提供各項(xiàng)基礎(chǔ)設(shè)施服務(wù)以及各項(xiàng)服務(wù)內(nèi)置的安全功能���。在IaaS模式下,云服務(wù)商需保證云計(jì)算環(huán)境基礎(chǔ)設(shè)施(物理環(huán)境����、服務(wù)器、網(wǎng)絡(luò)設(shè)備���、安全設(shè)備)���,物理網(wǎng)絡(luò)及鏈路�,依托于虛擬化技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)����、計(jì)算、存儲(chǔ)的安全��。同時(shí)需要對(duì)云服務(wù)管理平臺(tái)����、云服務(wù)監(jiān)控系統(tǒng)、云操作系統(tǒng)等負(fù)有完全的安全責(zé)任��。
▲云服務(wù)商安全責(zé)任
云服務(wù)客戶則需對(duì)云上各類可控的資源(如虛擬機(jī)��、安全組��、云平臺(tái)提供的安全功能)等進(jìn)行配置����,需對(duì)自行部署在云上的業(yè)務(wù)應(yīng)用、操作系統(tǒng)����、數(shù)據(jù)庫、中間件��、數(shù)據(jù)等負(fù)有完全的安全責(zé)任。
▲云服務(wù)客戶安全責(zé)任
云等保建設(shè)對(duì)象及定級(jí)備案
在等級(jí)保護(hù)中��,將云等保涉及的建設(shè)對(duì)象分為兩類:云計(jì)算平臺(tái)(以下簡(jiǎn)稱云平臺(tái))以及云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)(以下簡(jiǎn)稱業(yè)務(wù)系統(tǒng))��。兩種建設(shè)對(duì)象分別由云服務(wù)商以及云服務(wù)客戶負(fù)有安全責(zé)任以及開展等級(jí)保護(hù)工作��。
首先是云平臺(tái)的定級(jí)備案�����。云服務(wù)商應(yīng)負(fù)責(zé)云平臺(tái)備案��,備案地點(diǎn)為運(yùn)維管理端所在地�����,同時(shí)關(guān)鍵信息基礎(chǔ)設(shè)施云平臺(tái)保護(hù)等級(jí)應(yīng)不低于三級(jí)�����。
在云平臺(tái)通過等級(jí)保護(hù)測(cè)評(píng)后�����,云上的業(yè)務(wù)系統(tǒng)需要通過等級(jí)保護(hù)測(cè)評(píng)���。用戶可在工商注冊(cè)地或?qū)嶋H運(yùn)營地的公安機(jī)關(guān)進(jìn)行備案�����,等級(jí)保護(hù)的級(jí)別可參照《GA/T
1389-2017 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(最新國家推薦性標(biāo)準(zhǔn)GB/T
22240正在修訂中)���。但需要注意的是,業(yè)務(wù)系統(tǒng)不能運(yùn)行在低于自身安全保護(hù)等級(jí)的云平臺(tái)中����。并且業(yè)務(wù)系統(tǒng)只有在完成并通過等級(jí)保護(hù)測(cè)評(píng)后方可投入正式使用。
云平臺(tái)等保建設(shè)
由于在云計(jì)算環(huán)境中����,安全能力的提供主要依托于云平臺(tái)。因此需重點(diǎn)說明云平臺(tái)的等級(jí)保護(hù)建設(shè)���。云平臺(tái)等保建設(shè)一般分為三個(gè)步驟:明確保護(hù)對(duì)象��、分解安全措施�、分析安全能力&對(duì)標(biāo)基本要求�。
1、明確保護(hù)對(duì)象
基于安全責(zé)任模型,分析得到云服務(wù)商需要保護(hù)的范圍��。一般認(rèn)為云服務(wù)商負(fù)責(zé)云計(jì)算基礎(chǔ)設(shè)施�、云操作系統(tǒng)、云產(chǎn)品(服務(wù))�、虛擬機(jī)監(jiān)視器、虛擬網(wǎng)絡(luò)/安全設(shè)備��、虛擬機(jī)鏡像以及管理數(shù)據(jù)的安全����。具體保護(hù)對(duì)象如下圖:
▲云平臺(tái)保護(hù)(測(cè)評(píng))對(duì)象
2、分解安全措施
在明確保護(hù)對(duì)象的前提下�,需對(duì)當(dāng)前云平臺(tái)提供的安全措施進(jìn)行分解。在《GB/T 22239-2019 信息安全技術(shù)
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(以下簡(jiǎn)稱“基本要求”)中對(duì)云平臺(tái)需提供的安全措施進(jìn)行了明確�����,如下圖所示:
▲云平臺(tái)安全防護(hù)措施
在物理環(huán)境方面�����,云平臺(tái)應(yīng)提供物理隔離���、電力保障、外來人員訪問控制�、火災(zāi)檢測(cè)����、視頻監(jiān)控等措施��。
在通信網(wǎng)絡(luò)方面����,云平臺(tái)應(yīng)在物理通信網(wǎng)絡(luò)的基礎(chǔ)上對(duì)虛擬通信網(wǎng)絡(luò)提供安全措施。如提供物理網(wǎng)絡(luò)及虛擬網(wǎng)絡(luò)的區(qū)域劃分���、虛擬網(wǎng)絡(luò)隔離����、設(shè)備及鏈路的冗余����、通信加密等措施。
在區(qū)域邊界方面��,云平臺(tái)應(yīng)在物理區(qū)域邊界安全措施的基礎(chǔ)上增加對(duì)虛擬網(wǎng)絡(luò)邊界����、虛擬機(jī)與宿主機(jī)之間的邊界的安全措施。
在計(jì)算環(huán)境方面,云平臺(tái)應(yīng)提供安全加固的操作系統(tǒng)及鏡像�、虛擬機(jī)隔離、雙因素身份驗(yàn)證以及訪問控制�、安全審計(jì)等措施。
在安全管理中心方面�,云平臺(tái)應(yīng)提供權(quán)限劃分、授權(quán)����、審計(jì)日志的集中收集與分析、時(shí)鐘同步等措施����。
整體可將以上安全措施分為兩類:
原生的安全措施:云平臺(tái)自身具備或可提供的安全措施。
引入的安全措施:在云平臺(tái)無法滿足的情況下�����,需要采用解耦方式為平臺(tái)提供安全措施����。
3、分析安全能力&對(duì)標(biāo)基本要求
在分解安全措施后�,分析出當(dāng)前云平臺(tái)為云平臺(tái)及云服務(wù)客戶具體提供了哪些安全技術(shù)能力,并將這些能力與基本要求進(jìn)行對(duì)標(biāo)�����。進(jìn)而識(shí)別出當(dāng)前云平臺(tái)及云服務(wù)客戶面臨的脆弱性����、威脅性,并據(jù)此進(jìn)行安全加固����,實(shí)現(xiàn)云平臺(tái)及云服務(wù)客戶的等保建設(shè)。
云平臺(tái)應(yīng)為云服務(wù)客戶提供安全能力
前面將云平臺(tái)的安全措施分解為原生的安全措施����、引入的安全措施兩類。
其中云平臺(tái)原生的安全措施僅能夠覆蓋云平臺(tái)自身的安全以及云服務(wù)客戶的部分需求如虛擬機(jī)隔離��、鏡像快照/完整性校驗(yàn)等��。但受云平臺(tái)開發(fā)商在安全方面技術(shù)能力以及平臺(tái)功能的限制����,云平臺(tái)對(duì)于在等級(jí)保護(hù)中如基線核查、安全審計(jì)��、惡意代碼檢測(cè)����、Web防護(hù)等方面的措施要求無法提供完整的解決方案��。此外��,基本要求中云計(jì)算安全擴(kuò)展要求明確要求云平臺(tái)“應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全措施的能力�,包括定義訪問路徑���、選擇安全組件�����、配置安全策略”����。
因此�,云平臺(tái)在自身無法滿足云服務(wù)客戶需求的情況下,應(yīng)采用如云安全服務(wù)平臺(tái)等解耦的方式提供可自主設(shè)置的安全措施����,進(jìn)而為云服務(wù)客戶提供完整的、合規(guī)的安全能力及服務(wù)�����。
整體而言,IaaS模式下云計(jì)算平臺(tái)與云服務(wù)客戶的業(yè)務(wù)應(yīng)用系統(tǒng)均需開展等級(jí)保護(hù)工作���。在云等保的建設(shè)過程中��,應(yīng)采用“權(quán)責(zé)分離,兩級(jí)建設(shè)”的原則���,在明確云服務(wù)商與云服務(wù)客戶的安全責(zé)任前提下�,對(duì)云平臺(tái)的安全措施進(jìn)行分解�����。作為云平臺(tái)的服務(wù)商�,有義務(wù)也有責(zé)任為后期遷到云平臺(tái)上的業(yè)務(wù)系統(tǒng)提供其所需的安全能力。在云平臺(tái)自身提供部分安全措施的基礎(chǔ)上�,對(duì)于云平臺(tái)自身無法提供的安全措施應(yīng)通過云安全服務(wù)平臺(tái)等方式提供,共同實(shí)現(xiàn)云等保的安全合規(guī)建設(shè)���。
聲明:本文來自深信服科技微信公眾號(hào)����,版權(quán)歸作者所有��。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn),不代表本站立場(chǎng)��,轉(zhuǎn)載目的在于傳遞更多信息����。如有侵權(quán),請(qǐng)聯(lián)系刪除�。
等保測(cè)評(píng)咨詢
