伴随着网络安全法的出台,等级保护工作进入2.0时代,其中有哪些最引人注目的变化?
等级保护对象从原来单纯的信息系统拓展到了很多个领域,其中云计算系统是等级保护重点要关注的一个领域。
而等级保护的标准体系也进行了大的升级,在原等级保护核心标准(基本要求、测评要求、设计要求)的基础上,进行重新修订,整个标准体系制定为一个矩阵,针对每一个特定的安全领域,做了相应的扩展要求,比如云计算领域,制定云计算扩展要求。
在这种情况下:
- 云等保如何落地?
- 云服务商该如何做?
- 云租户该如何做?
面对这些问题,我们特邀来自公安部信息安全等级保护评估中心的专家深度解读《云计算环境下的等级保护》:
首先,需要对云计算环境中的安全责任进行明确
不同的服务模式下,不同责任主体的责任也是不同的。云服务商,云租户的责任划分需要明晰。
IaaS服务模式下:云服务方责任硬件及虚拟化层的防护。虚拟化以上的客户机的安全防护,数据库防护以及中间件和应用及数据的防护,这都是租户需要去面对的问题。
PaaS服务模式下:客户将虚拟机的安全防护责任交给了云服务商,云租户更应该关心在这之上,如软件开发平台以及应用和数据本身的安全防护。
SaaS服务模式下:进一步上移,这个时候作为租户来讲,需要关心的其实就是应用提供侧相关的安全配置,以及数据安全的防护,这都是租户需要考虑的内容。
数据安全防护,无论IaaS、PaaS到SaaS,对于云租户来讲,这是始终要面对的重要问题。
不同的责任划分下,云等保究竟该怎么做?
云等保不是新鲜的事物,而是在原等保框架下对新事物的扩展。在云计算架构之下,等级保护依然需要落地,包括定级、备案、建设整改、等级测评、监督检查五个规定动作。
不同的是等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。
一、系统的定级
传统的信息系统,强调分区分域、纵深防御,网络架构伴随业务变化而变化,系统各组件能与硬件紧耦合。信息系统的系统划分其实是以物理网络/安全设备为边界的硬件设备的划分。
云的环境下,把虚拟边界作为系统定级的边界。
云计算系统网络架构扁平化,业务应用系统与硬平台松耦合。信息系统的系统划分,像传统单纯的以物理网络/安全设备为边界的划分方法已经无法体现出业务应用系统的逻辑关系,也无法体现对业务信息安全和系统服务安全。
所以,定级需要从业务应用的角度出发
梳理有哪些业务应用,及对应哪些模块
常见的场景有两种:
场景一:
如每种应用都需要使用物理基础支撑平台,则业务应用系统可不包含基础支撑的物理硬件部分,根据业务应用的关联性,进行切分定级。像公共云就是这种状态,如果定级系统C的运行主体是云服务商的话,上面就是云租户的业务应用系统。
场景二:
如基础支撑平台可以对应到不同业务应用系统,则将基础支撑平台的物理设备一同划入相应定级系统。
业务应用是可以跟承载的硬件平台有对应关系的,比如说某一个应用固定的使用一堆的硬件服务器,独立成一个平台,那这个时候就可以一刀切作为一个单独的定级系统。如说像阿里淘宝的很多系统就是这样的架构,比如说我们可以在定级系统B这一块还可以在切分一下,那可能这一边又变成一个小的一朵云,下面是一个云平台。上面是整个的各个的承载的业务应用系统,就是云租户的系统。
在定级当中存在两个重要误区:
误区一:我的系统已经上云了,系统就不用去定级了?
答案是不行!要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。
误区二:云平台的等级跟云租户的等级没有关系
云平台的等级要不低于云上租户的业务应用系统的最高级。且明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。比如一个互联网金融公司,运营的系统定到了四级,那么选择上的云平台必须是四级的云平台,如果去三级的云平台去备案的时候会遇到一些问题,而且即便是上了以后,云平台在监管这块也无法达到不合规要求。
二、备案
去哪备案?
传统的系统备案很简单,IT基础设施、运维地点、工商注册地基本上都是一致,去所在地市局、网安或者是分局去备案就可以。
但是云的这种状态下,特别是对于云服务商来讲就比较典型了,工商注册地、办公地点都不一样。比如说像阿里云,注册地在北京,运维地点在杭州,然后机房遍布全国各地。云租户也是这个问题,公司开在北京,可能技术人员、运维人员都在北京,但是你上的这种云可能他的物理位置或者不知道,或者是即便知道有可能也不在北京,那这个时候怎么办?
所以我们现在有这样一个原则,对于云上的系统,不管是云平台还是云租户,以你的运维人员的所在地为备案地点。原因与公安机关方便监管相关,案件发生后,公安机关需要运维人员配合去调取相关证据,做证据固定、数据采集。
三、建设整改
云计算系统等级保护标准制定专家建议可以从以下几个方面入手:
-
统一思维去考量,统一认证、统一账户管理、统一授权,统一安全审计。
其中关于安全审计方面,标准条款里有明确要求,主机的安全审计、网络的审计、数据库的安全审计都必不可少。
-
侧重动态监测预警、快速应急响应能力建设以及服务安全产品合规。
如果用户自己搭建私有云,那么建议一定要有这样的能力。
-
重点保护的是业务数据安全和用户的隐私安全。
数据安全这块真的是很重要,我们在安全扩展里有明确要求,一个是数据库的安全审计。要求云服务商开放第三方接口,支持第三方的安全审计的产品接入;还有一个就是对于云租户,同样要求要有自己的审计。在做云租户的系统检查或者测评的时候,一样要看你有没有做安全审计。
四、测评
云计算系统保护措施通常是以系统整体能力体现,云计算安全扩展要求作为全局对待,在报告结构上等同于全局测评,各测评项不再重复对应一个或多个测评对象。
如需获取更详细的演讲PPT
关注“安华云安全”微信
点击菜单“获取PPT”获取
安华云安全旗下云安全产品拥有等保过审丰富的实施经验,包括:云审计、云防火墙、安全运维等完全符合等保测评规定,欢迎了解:
阿里云市场官方店铺:https://shop14d60793.market.aliyun.com/