2020-05-06 11:56:57
來源:深信服科技
等保2.0擴展了云計算安全要求,云等保合規也成為了組織單位上云必須完成的基本要求。然而云等保涉及的責任、范圍、建設方法等均與通用等級保護建設存在較大區別。
以某省政務云等保建設為例,其云平臺按照等級保護第三級標準進行建設,但由于提供的安全措施無法滿足廳委辦局的需求導致無法通過等級保護測評。眾多業務系統無法“上云”。在這個案例中,可以將政務云平臺運營者類比為“云服務商”,廳委辦局類比為“云服務客戶”,各自角色該如何進行等級保護建設,成為雙方共同的難題。本文基于IaaS模式對以上云等保常見的四個問題進行解答。
責任劃分
在傳統計算形式中,運營、使用單位承擔從設備到應用全部的安全責任。但在云計算環境中根據角色的不同,安全責任由云服務商和云服務客戶分擔。
其中,云服務商主要安全責任是保障云平臺基礎設施的安全,同時提供各項基礎設施服務以及各項服務內置的安全功能。在IaaS模式下,云服務商需保證云計算環境基礎設施(物理環境、服務器、網絡設備、安全設備),物理網絡及鏈路,依托于虛擬化技術實現的網絡、計算、存儲的安全。同時需要對云服務管理平臺、云服務監控系統、云操作系統等負有完全的安全責任。
▲云服務商安全責任
云服務客戶則需對云上各類可控的資源(如虛擬機、安全組、云平臺提供的安全功能)等進行配置,需對自行部署在云上的業務應用、操作系統、數據庫、中間件、數據等負有完全的安全責任。
▲云服務客戶安全責任
在等級保護中,將云等保涉及的建設對象分為兩類:云計算平臺(以下簡稱云平臺)以及云服務客戶的業務應用系統(以下簡稱業務系統)。兩種建設對象分別由云服務商以及云服務客戶負有安全責任以及開展等級保護工作。
首先是云平臺的定級備案。云服務商應負責云平臺備案,備案地點為運維管理端所在地,同時關鍵信息基礎設施云平臺保護等級應不低于三級。
在云平臺通過等級保護測評后,云上的業務系統需要通過等級保護測評。用戶可在工商注冊地或實際運營地的公安機關進行備案,等級保護的級別可參照《GA/T 1389-2017 信息安全技術 網絡安全等級保護定級指南》(最新國家推薦性標準GB/T 22240正在修訂中)。但需要注意的是,業務系統不能運行在低于自身安全保護等級的云平臺中。并且業務系統只有在完成并通過等級保護測評后方可投入正式使用。
云平臺等保建設
由于在云計算環境中,安全能力的提供主要依托于云平臺。因此需重點說明云平臺的等級保護建設。云平臺等保建設一般分為三個步驟:明確保護對象、分解安全措施、分析安全能力&對標基本要求。
1、明確保護對象
基于安全責任模型,分析得到云服務商需要保護的范圍。一般認為云服務商負責云計算基礎設施、云操作系統、云產品(服務)、虛擬機監視器、虛擬網絡/安全設備、虛擬機鏡像以及管理數據的安全。具體保護對象如下圖:
▲云平臺保護(測評)對象
2、分解安全措施
在明確保護對象的前提下,需對當前云平臺提供的安全措施進行分解。在《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》(以下簡稱“基本要求”)中對云平臺需提供的安全措施進行了明確,如下圖所示:
▲云平臺安全防護措施
在物理環境方面,云平臺應提供物理隔離、電力保障、外來人員訪問控制、火災檢測、視頻監控等措施。
在通信網絡方面,云平臺應在物理通信網絡的基礎上對虛擬通信網絡提供安全措施。如提供物理網絡及虛擬網絡的區域劃分、虛擬網絡隔離、設備及鏈路的冗余、通信加密等措施。
在區域邊界方面,云平臺應在物理區域邊界安全措施的基礎上增加對虛擬網絡邊界、虛擬機與宿主機之間的邊界的安全措施。
在計算環境方面,云平臺應提供安全加固的操作系統及鏡像、虛擬機隔離、雙因素身份驗證以及訪問控制、安全審計等措施。
在安全管理中心方面,云平臺應提供權限劃分、授權、審計日志的集中收集與分析、時鐘同步等措施。
整體可將以上安全措施分為兩類:
原生的安全措施:云平臺自身具備或可提供的安全措施。
引入的安全措施:在云平臺無法滿足的情況下,需要采用解耦方式為平臺提供安全措施。
3、分析安全能力&對標基本要求
在分解安全措施后,分析出當前云平臺為云平臺及云服務客戶具體提供了哪些安全技術能力,并將這些能力與基本要求進行對標。進而識別出當前云平臺及云服務客戶面臨的脆弱性、威脅性,并據此進行安全加固,實現云平臺及云服務客戶的等保建設。
云平臺應為云服務客戶提供安全能力
前面將云平臺的安全措施分解為原生的安全措施、引入的安全措施兩類。
其中云平臺原生的安全措施僅能夠覆蓋云平臺自身的安全以及云服務客戶的部分需求如虛擬機隔離、鏡像快照/完整性校驗等。但受云平臺開發商在安全方面技術能力以及平臺功能的限制,云平臺對于在等級保護中如基線核查、安全審計、惡意代碼檢測、Web防護等方面的措施要求無法提供完整的解決方案。此外,基本要求中云計算安全擴展要求明確要求云平臺“應具有根據云服務客戶業務需求自主設置安全措施的能力,包括定義訪問路徑、選擇安全組件、配置安全策略”。
因此,云平臺在自身無法滿足云服務客戶需求的情況下,應采用如云安全服務平臺等解耦的方式提供可自主設置的安全措施,進而為云服務客戶提供完整的、合規的安全能力及服務。
整體而言,IaaS模式下云計算平臺與云服務客戶的業務應用系統均需開展等級保護工作。在云等保的建設過程中,應采用“權責分離,兩級建設”的原則,在明確云服務商與云服務客戶的安全責任前提下,對云平臺的安全措施進行分解。作為云平臺的服務商,有義務也有責任為后期遷到云平臺上的業務系統提供其所需的安全能力。在云平臺自身提供部分安全措施的基礎上,對于云平臺自身無法提供的安全措施應通過云安全服務平臺等方式提供,共同實現云等保的安全合規建設。
