伴隨著網絡安全法的出臺,等級保護工作進入2.0時代,其中最引人注目的變化:
等級保護對象從原來單純的信息系統拓展到了很多個領域,其中云計算系統是等級保護重點要關注的一個領域;
等級保護的標準體系也進行了大的升級,在原等級保護核心標準(基本要求、測評要求、設計要求)的基礎上,進行重新修訂,整個標準體系制定為一個矩陣,針對每一個特定的安全領域,做了相應的擴展要求,比如云計算領域,制定云計算擴展要求。
在這種情況下,云等保如何落地?云服務商該如何做?云租戶該如何做?
首先,需要對云計算環境中的安全責任進行明確
不同的服務模式下,不同責任主體的責任也是不同的。云服務商,云租戶的責任劃分需要明晰。
IaaS服務下,云服務方責任硬件及虛擬化層的防護;虛擬化以上的客戶機的安全防護,數據庫防護以及中間件和應用及數據的防護,這都是租戶需要去面對的問題。
PaaS服務模式下,客戶虛擬機的安全防護責任交給了云服務商,云租戶關心的是在這之上的,如軟件開發平臺中間件以及應用和數據本身的安全防護。
SaaS服務模式下,進一步上移,這個時候作為租戶來講他需要關心的其實就是跟一些應用的簡單的安全配置相關了,以及數據安全的防護,這都是租戶需要考慮的內容了。
不同的責任劃分下,云等保究竟該怎么做?
云等保不是新鮮的事物,而是在原等保框架下對新事物的擴展,云計算架構之下,等級保護依然需要落地,包括定級、備案、建設整改、等級測評、監督檢查五個規定動作。不同的是等保框架下新增加的元素需要對原有等級保護相關工作的具體內容進行擴充并統一。
一、系統的定級;
傳統的信息系統,強調分區分域、縱深防御,網絡架構伴隨業務變化而變化,系統各組件能與硬件緊耦合。信息系統的系統劃分其實是以物理網絡/安全設備為邊界的硬件設備的劃分。
云的環境下,把虛擬邊界作為系統定級的變界。云計算系統網絡架構扁平化,業務應用系統與硬平臺松耦合。信息系統的系統劃分,單純的以物理網絡/安全設備為邊界的劃分方法無法體現出業務應用系統的邏輯關系,無法體現對業務信息安全和系統服務安全。
定級需要從業務應用的角度出發,梳理有哪些業務應用,及對應哪些模塊。
常見的場景有兩種:
場景一:如每種應用都需要使用物理基礎支撐平臺,則業務應用系統可不包含基礎支撐的物理硬件部分,根據業務應用的關聯性,進行切分定級。像很多公共云就是這種狀態,如果定級系統C的運行主體是云服務商的話,上面就是云租戶的業務應用系統。
場景二:如基礎支撐平臺可以對應到不同業務應用系統,則將基礎支撐平臺的物理設備一同劃入相應定級系統。就是業務應用是可以跟承載的硬件平臺有對應關系的,比如說某一個應用固定的使用一堆的硬件服務器,獨立成一個平臺,那這個時候就可以一刀切,作為一個單獨的定級系統。比如說我們可以在定級系統B這一塊還可以在切分一下,那可能這一邊又變成一個小的一朵云,下面是一個云平臺,上面是整個的各個的承載的業務應用系統,就是云租戶的系統。
在定級當中存在兩個重要誤區:
誤區一:我的系統已經上云了,系統就不用去定級了?
答案是不行,要分開定級,新的定級指南里明確說明,云計算平臺和云上的租戶應用系統要分開定級。
誤區二,云平臺的等級跟云租戶的等級沒有關系
云平臺的等級要不低于云上租戶的業務應用系統的最高級。且,明確規定“國家關鍵信息基礎設施(重要云計算平臺)的安全保護等級應不低于第三級”。比如一個互聯網金融公司,運營的系統定到了四級,那么選擇上的云平臺必須是四級的云平臺,如果去三級的云平臺去備案的時候會遇到一些問題,而且即便是上了以后,云平臺在監管這塊也是是不合規的。
二、備案
去哪備案?傳統的系統備案很簡單,IT基礎設施、運維地點、工商注冊地基本上都是一致的,很明確,直接去所在地市局、網安或者是分局去備案就可以。但是云的這種狀態下,特別是對于云服務商來講就比較典型了,工商注冊地、辦公地點都不一樣。這個時候怎么辦?所以我們現在有這樣一個原則,對于云上的系統,不管是云平臺還是云租戶,都以你的運維人員的所在地為備案地點。原因與公安機關方便監管相關,案件發生后,公安機關需要運維人員配合去調取相關證據,做證據固定、數據采集。
三、建設整改
云計算系統等級保護標準制定專家建議可以從這幾個方面入手,
1、思維,統一思維去考量,統一認證、統一賬戶管理、統一授權,統一安全審計。其中關于安全審計方面,標準條款里有明確要求,主機的安全審計、網絡的審計、數據庫的安全審計都必不可少。
2、側重動態監測預警、快速應急響應能力建設以及服務安全產品合規,如果想自己搭一個私有云的話,那么建議一定要有這樣的能力。
3、重點保護的就是業務數據安全和用戶的隱私安全。數據安全這塊真的是很重要。在安全擴展里有明確要求,一個就是數據庫的安全審計。要求云服務商開放第三方接口,支持第三方的安全審計的產品接入;還有一個就是對于云租戶,同樣要求要有自己的審計;在做云租戶的系統檢查或者測評的時候,一樣要看你有沒有做安全審計。
四、測評
云計算系統保護措施通常是以系統整體能力體現,云計算安全擴展要求作為全局對待,在報告結構上等同于全局測評,各測評項不再重復對應一個或多個測評對象。
京公網安備 11010502049343號