云安全如何过“等保关”?这些招数可以使用

安全 应用安全
随着一系列等级保护新标准的顺利发布,网络安全等级保护也进入到2.0时代。

随着一系列等级保护新标准的顺利发布,网络安全等级保护也进入到2.0时代。作为新增的等级保护对象,云计算平台/系统新增安全要求如何?有哪些地方值得重点关注?

今天,绿盟君来为您一一解读。

——* 要求总览 *——

在政府积极引导和企业战略布局等推动下,经过近十余年的发展,云计算已逐渐被市场认可和接受,政务、金融、运营商和工业等多个行业的信息系统已经运行在云端。相对于传统信息系统,云计算平台/系统如何进行等级保护非常受关注。新等级保护标准的发布,明确了云计算平台/系统作为等级保护对象的具体要求,指导云计算平台/系统的安全建设。

新标准中对于云计算平台/系统的等级保护,仍然根据“一个中心,三重防护”体系框架,提出了具体的技术要求,以及包含云服务商选择、供应链管理和云计算环境管理等方面的管理要求。云计算平台/系统的安全建设或安全整改,需同时根据安全通用要求和安全扩展要求,构建具有相应等级安全防护能力的安全防御体系。

注:安全管理制度、安全管理机构和安全管理人员,云计算平台/系统无单独安全扩展要求。

对于云计算平台/系统的等级保护,我们以第三级要求说明有哪些应该重点关注。

——* 抓住重点 *——

1.责任共担要求

云计算平台/系统通常由设施、硬件、资源抽象控制、虚拟化计算资源、软件平台和应用软件等组成。根据不同服务模式(IaaS、PaaS和SaaS),云服务商和云服务客户拥有不同控制范围,其安全责任边界不同;云服务商和云服务客户应根据各自安全责任,进行安全防护能力建设。现实情况是云服务客户通常认为安全防护应该由云服务商实现,只需把业务系统迁移至云端即可,这需要引导云服务客户关注等级保护,并采取相应安全防护,与云服务商一起共同保护云计算平台/系统。

2.安全通信网络要求  

企业微信截图_15585187349657

解读:

根据控制范围,云计算定级对象可分为云服务商控制部分(如云计算平台)和云服务客户控制部分(如业务应用系统),应分别进行定级,且云服务商控制部分比云服务客户控制部分高,云服务商的测评可以被复用。在进行安全建设时,云服务商应该为云服务客户提供安全产品或服务,然而云计算平台/系统,尤其是私有云部署方式下,仅提供基础的安全能力,并不能满足等级保护要求。这就需要云服务商能够提供第三方安全产品/服务或允许客户接入第三方安全产品或服务,并且云服务客户可以自主设置安全策略。

3. 安全区域边界

解读:

相较于传统信息系统,云计算平台/系统新增了一些组件,如宿主机、虚拟机和虚拟化网络等。所以在做安全区域边界设计时,除了关注物理区域边界和物理网络节点外,还应该关注虚拟化网络边界和虚拟网络节点,以及虚拟机与物理机、虚拟机与虚拟机间网络流量,一方面做好物理网络的访问控制和入侵防范等,另一方面利用云计算平台/系统的安全能力或第三方安全产品/服务,做好虚拟区域边界的访问控制和入侵防范等。

4.安全计算环境 

解读:

云计算平台/系统中虚拟机运行在一个资源共享的环境中,虚拟机迁移时有发生,随着虚拟机的生命周期结束,其资源将被回收和利用。所以为实现安全计算环境,除做好安全通用要求外,应做好以下几点:云服务商应提供加固的镜像,利用完整性校验防止被恶意篡改;应该确保虚拟机的CPU、内存和存储等资源的隔离;当虚拟机做迁移时,应能够实现迁移前后的访问控制策略保持一致,并且虚拟机所使用的内存和存储空间回收时,做到数据清除。云服务客户应定期做安全检查,进行安全加固,并利用防病毒软件保护虚拟机,在计划内的虚拟机迁移时,检查迁移前后虚拟机的访问控制策略。

5.安全管理中心

解读:

网络环境日益复杂,云计算平台/系统通常采用集中化部署,风险和攻击也被集中和加剧,安全防御体系应该更主动和动态,安全管理中心是关键。该中心应该能够建立安全态势感知、攻击行为回溯分析和监测预警等能力,帮助云计算平台/系统实现安全事件的事前预警、事中防护和事后追溯,并持续监控云计算平台/系统的安全状态。因此,应该建立具备相应能力的安全管理中心,完善安全防御体系,并帮助云计算平台/系统落实态势感知、通报预警和安全检测等工作。

面对如此多的要求,究竟应该如何建设综合防御体系,来帮助云服务商和云服务客户快速满足合规性要求?

——* 提出方案 *——

绿盟科技结合多年等保合规实践经验,按照“一个中心,三重防护”的体系框架,针对安全通用要求和云计算安全扩展要求,提出了“多方协同、纵深防御、持续监测”的云计算等保合规解决方案。

1.多方协同:推动云服务商和云服务客户协同,云平台防护和云上信息系统防护协同,共同实现云计算平台/系统的等保合规。

2.纵深防御:采用了软件定义安全理念,将传统安全设备转化为全面、专业的安全即服务,提供包含防护、检测和评估等多种安全防护能力,帮助云服务商和云服务客户分别建立纵深防护体系。

3.持续监测:建立安全防护管理中心,提供网络安全态势的感知、预测和预判能力,实现网络安全事件的事前预警、事中防护和事后追溯,逐步建立主动、动态的综合防护架构。

同时,绿盟科技提供包含等保咨询、漏洞扫描、安全检查、渗透测试、安全加固、应急响应、安全通告、风险评估服务和安全培训等一系列安全咨询服务,在等级保护的多个阶段帮助客户更好的满足等保合规要求。

【本文为51CTO专栏作者“安全加”原创稿件,转载请联系原作者】

戳这里,看该作者更多好文

 

责任编辑:张燕妮 来源: 51CTO
相关推荐

2018-04-03 10:54:41

阿里游戏云

2020-09-03 09:58:06

等保

2021-05-13 14:22:27

瑞数信息超融合

2021-06-25 15:29:41

动态安全超融合

2018-04-27 09:58:51

2011-04-07 10:47:35

2020-08-22 11:13:36

Python文件操作函数

2019-11-21 14:44:05

等级保护锐捷网络等级保护2.0

2019-11-14 10:14:42

等级保护锐捷网络网络安全

2020-10-09 18:37:53

等保测评师等保2.0网络安全

2021-01-05 15:04:48

区块链稳定币货币

2016-08-16 09:02:31

2016-08-09 09:48:24

2010-03-31 10:37:36

2020-02-24 08:41:56

网络安全IT安全漏洞

2012-06-12 15:12:24

2016-01-26 12:05:04

2017-09-04 10:36:46

2017-12-21 14:32:21

云安全SDNNFV

2011-05-20 11:59:32

点赞
收藏

51CTO技术栈公众号