现阶段,我国已正式迈入等保2.0时代,国家对于等保工作的要求越来越严格。由于云计算技术在国家关键信息基础设施领域的应用日益广泛,云计算安全扩展要求(云等保)也进入了人们的视野,并越来越受到重视。
为了让大家对云等保有更深更具体的了解,本篇文章将对云等保相关概念定义、云等保建设流程及要点做归纳总结。
一、云等保相关概念定义
①云计算:云计算本质上是一种服务模式,在该服务模式下,用户按需自助供给、管理各类计算资源。
同时,云计算分为三种云服务模式,即laaS、PaaS、SaaS。laaS:基础设施即服务。目前比较知名的IaaS公司有亚马逊、Bluelock、CSC、GoGrid、IBM等;PaaS:平台即服务。paaS公司比如Google和Microsoft Azure;SaaS:软件即服务。比较知名的SaaS公司有Salesforce、workday、Slack等。
②云服务方:云计算服务的供应商,如各类公有云、行业云的服务商。
③云租户:租用或使用云计算资源的客户。
④云计算平台:云计算方提供的云计算基础设施及服务软件的集合。
⑤云环境系统:云租户在平台上部署的软件及相关组件的集合。
云计算平台和云环境系统共同组成云计算环境。
二、云等保建设流程
根据等保2.0相关规定,云计算架构之下,等级保护工作依然需要落地,定级、备案、建设整改、等级测评、监督检查五个规定动作仍然必不可少。但是,以原等保框架的具体内容为基础,等保框架下增加的新元素会扩充进来并统一。
同时还需要明确:
①云服务商和云服务客户拥有不同控制范围,其安全责任边界不同。云服务商和云服务客户应根据各自安全责任,进行安全防护能力建设。
②在进行安全建设时,云服务商应该为云服务客户提供安全产品或服务,然而云计算平台/系统,尤其是私有云部署方式下,仅提供基础的安全能力,并不能满足等级保护要求。这就需要云服务商能够提供第三方安全产品/服务或允许客户接入第三方安全产品或服务,并且云服务客户可以自主设置安全策略。
③关于测评:
传统系统的等保测评依据《安全通用要求》,云系统的等保测评依据《安全通用要求》+《云计算安全扩展要求》;
测云服务方的云计算平台上的定级系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云计算平台的部分指标;
测云租户业务应用系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云租户业务系统的部分指标。
三、云等保建设要点
1、物理位置的要求
对于大型云计算平台,其具体物理地址很难确定,虽然按照云计算的定义,云客户(云租户)通常不必知晓和控制资源的确切物理位置,但应能够在一个更高的抽象层次上(比如说国家、州或者数据中心)指定资源位置。
等级保护制度有相关规定:
①基础设施位于境内:云计算基础设施位于中国境内;
②数据存储于境内:云等保数据保密性要求从二级开始加入“确保云租户账户信息、鉴别、系统信息存储于中国境内。”
2、云平台安全的要求
云平台的安全是云计算环境安全稳定运行的基础,云等保对于云平台的安全要求,总结有三点:
①满足等保安全通用要求:云计算基础设施、云管理平台(云操作系统,Hypervisor )的组件自身安全应遵循《安全通用要求》;
②需做好身份鉴别和权限控制:登录云管理平台( Hypervisor)等的管理用户进行相应等级的身份鉴别,确保云平台运维管理员和云服务管理员权限分离;
③远程管理实现双向的身份验证:登录云管理平台( Hypervisor)等的管理用户进行相应等级的身份鉴别,确保云平台运维管理员和云服务管理员权限分离。
3、资源隔离的要求
云计算运用了虚拟化等技术将资源量化进行重新分配并交付给用户,资源的有效隔离非常重要。云等保对于云计算环境下资源隔离的要求,总结如下:
①应对虚拟机逃逸行为进行检测和告警;
②禁止虚拟实例直接访问宿主机上的物理硬件;
③不同虚拟机之间的虚拟CPU指令隔离;
④应保证分配给虚拟机的内存空间仅供其独占访问;
⑤应根据云租户业务系统的重安全等级划分网络安全区域并设置区域间访问控制规则;
⑥应保证云平台管理流量与云租户业务流量分离;
⑦应保证虚拟机仅能迁移至相同安全保护等级的资源池
4、访问控制
①依据访问控制策略控制虚拟机之间访问;
②实现云平台管理用户权限分离机制,为网络管理员、系统管理员建立不同账户并分配相应的权限;
③确保只有在云租户授权下,云服务方或第三方才具有云租户数据的管理权限;
④云计算平台应提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安全服务。
5、审计与监控
①审计按职责划分执行:应根据云服务方和云租户的职责划分实现各自控制部分的集中审计;
②审计云服务方所有操作:应保证云服务方对云租户系统和数据的操作可被云租户审计;
③全面审计:等保2.0对安全审计提出了全新要求,审计需覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。云等保也不例外,云等保的安全审计应可以监控到所有虚拟机之间、虚拟机与宿主机之间的通信流量;
④支持第三方审计:应为安全审计数据的汇集提供接口,可供第三方审计。
6、数据安全
数据安全是网络安全永恒的话题,云计算环境中数据存储在云平台中,对数据的感知、迁移及数据保密性、可用性、完整性都有更高层次的要求:
①用户可感知:应提供查询云租户数据及备份存储位置的方式;
②用户可迁移:应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统;
③虚拟机安全:确保虚拟机迁移过程中的完整性保护和信息防泄漏
④镜像安全:对虚拟机镜像文件进行完整性保护,可检测到非授权修改;
⑤快照安全:对虚拟机快照文件进行保密性保护。
7、安全管理
①应根据业务系统的安全保护等级选择能够提供相应安全等级保护能力的云服务商;
②应以书面方式约定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
③签订服务水平协议SLA和签订隐私保护协议,并可向第三方提供相关证明。