云安全如何過“等保關”?這些招數可以使用
隨著一系列等級保護新標準的順利發布,網絡安全等級保護也進入到2.0時代。作為新增的等級保護對象,云計算平臺/系統新增安全要求如何?有哪些地方值得重點關注?
今天,綠盟君來為您一一解讀。
——* 要求總覽 *——
在政府積極引導和企業戰略布局等推動下,經過近十余年的發展,云計算已逐漸被市場認可和接受,政務、金融、運營商和工業等多個行業的信息系統已經運行在云端。相對于傳統信息系統,云計算平臺/系統如何進行等級保護非常受關注。新等級保護標準的發布,明確了云計算平臺/系統作為等級保護對象的具體要求,指導云計算平臺/系統的安全建設。
新標準中對于云計算平臺/系統的等級保護,仍然根據“一個中心,三重防護”體系框架,提出了具體的技術要求,以及包含云服務商選擇、供應鏈管理和云計算環境管理等方面的管理要求。云計算平臺/系統的安全建設或安全整改,需同時根據安全通用要求和安全擴展要求,構建具有相應等級安全防護能力的安全防御體系。
注:安全管理制度、安全管理機構和安全管理人員,云計算平臺/系統無單獨安全擴展要求。
對于云計算平臺/系統的等級保護,我們以第三級要求說明有哪些應該重點關注。
——* 抓住重點 *——
1.責任共擔要求
云計算平臺/系統通常由設施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應用軟件等組成。根據不同服務模式(IaaS、PaaS和SaaS),云服務商和云服務客戶擁有不同控制范圍,其安全責任邊界不同;云服務商和云服務客戶應根據各自安全責任,進行安全防護能力建設。現實情況是云服務客戶通常認為安全防護應該由云服務商實現,只需把業務系統遷移至云端即可,這需要引導云服務客戶關注等級保護,并采取相應安全防護,與云服務商一起共同保護云計算平臺/系統。
2.安全通信網絡要求
解讀:
根據控制范圍,云計算定級對象可分為云服務商控制部分(如云計算平臺)和云服務客戶控制部分(如業務應用系統),應分別進行定級,且云服務商控制部分比云服務客戶控制部分高,云服務商的測評可以被復用。在進行安全建設時,云服務商應該為云服務客戶提供安全產品或服務,然而云計算平臺/系統,尤其是私有云部署方式下,僅提供基礎的安全能力,并不能滿足等級保護要求。這就需要云服務商能夠提供第三方安全產品/服務或允許客戶接入第三方安全產品或服務,并且云服務客戶可以自主設置安全策略。
3. 安全區域邊界
解讀:
相較于傳統信息系統,云計算平臺/系統新增了一些組件,如宿主機、虛擬機和虛擬化網絡等。所以在做安全區域邊界設計時,除了關注物理區域邊界和物理網絡節點外,還應該關注虛擬化網絡邊界和虛擬網絡節點,以及虛擬機與物理機、虛擬機與虛擬機間網絡流量,一方面做好物理網絡的訪問控制和入侵防范等,另一方面利用云計算平臺/系統的安全能力或第三方安全產品/服務,做好虛擬區域邊界的訪問控制和入侵防范等。
4.安全計算環境
解讀:
云計算平臺/系統中虛擬機運行在一個資源共享的環境中,虛擬機遷移時有發生,隨著虛擬機的生命周期結束,其資源將被回收和利用。所以為實現安全計算環境,除做好安全通用要求外,應做好以下幾點:云服務商應提供加固的鏡像,利用完整性校驗防止被惡意篡改;應該確保虛擬機的CPU、內存和存儲等資源的隔離;當虛擬機做遷移時,應能夠實現遷移前后的訪問控制策略保持一致,并且虛擬機所使用的內存和存儲空間回收時,做到數據清除。云服務客戶應定期做安全檢查,進行安全加固,并利用防病毒軟件保護虛擬機,在計劃內的虛擬機遷移時,檢查遷移前后虛擬機的訪問控制策略。
5.安全管理中心
解讀:
網絡環境日益復雜,云計算平臺/系統通常采用集中化部署,風險和攻擊也被集中和加劇,安全防御體系應該更主動和動態,安全管理中心是關鍵。該中心應該能夠建立安全態勢感知、攻擊行為回溯分析和監測預警等能力,幫助云計算平臺/系統實現安全事件的事前預警、事中防護和事后追溯,并持續監控云計算平臺/系統的安全狀態。因此,應該建立具備相應能力的安全管理中心,完善安全防御體系,并幫助云計算平臺/系統落實態勢感知、通報預警和安全檢測等工作。
面對如此多的要求,究竟應該如何建設綜合防御體系,來幫助云服務商和云服務客戶快速滿足合規性要求?
——* 提出方案 *——
綠盟科技結合多年等保合規實踐經驗,按照“一個中心,三重防護”的體系框架,針對安全通用要求和云計算安全擴展要求,提出了“多方協同、縱深防御、持續監測”的云計算等保合規解決方案。
1.多方協同:推動云服務商和云服務客戶協同,云平臺防護和云上信息系統防護協同,共同實現云計算平臺/系統的等保合規。
2.縱深防御:采用了軟件定義安全理念,將傳統安全設備轉化為全面、專業的安全即服務,提供包含防護、檢測和評估等多種安全防護能力,幫助云服務商和云服務客戶分別建立縱深防護體系。
3.持續監測:建立安全防護管理中心,提供網絡安全態勢的感知、預測和預判能力,實現網絡安全事件的事前預警、事中防護和事后追溯,逐步建立主動、動態的綜合防護架構。
同時,綠盟科技提供包含等保咨詢、漏洞掃描、安全檢查、滲透測試、安全加固、應急響應、安全通告、風險評估服務和安全培訓等一系列安全咨詢服務,在等級保護的多個階段幫助客戶更好的滿足等保合規要求。
【本文為51CTO專欄作者“安全加”原創稿件,轉載請聯系原作者】
