自2014年以来,国家层面已多次强调网络空间安全的重要性。当前,我国正值“十三五”开局时期,在全面深化改革的战略要求下,各行业都依托“互联网+”、“大数据”进行体制、机制创新,云计算在促进社会创新中扮演重要角色。近几年,云计算从边缘突破到中心,对产业和社会带来革命性影响。未来行业(私有)云发展升级将成为云计算市场发展的核心动力。但与此同时,网际空间已经成为继海、陆、空、天之后的第五空间,成为新形势下维护国家安全的重要领域之一。特别是随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势。
关于GB/T22239.2《网络安全等保护基本要求第二部分:云计算扩展要求》,该要求从基本要求扩展而来,完全适用于云计算环境,首先强调基本要求保持不变,然后根据云计算特性衍生一些新变化。
变化一:责任主体一分为二
云定级对象至少包括两部分,一是云平台本身,像我们子虚市政务云平台,它就需要平台服务商独立定级备案、过等保测评;二是云租户信息系统,比如铁柱单位的 核心系统,它迁移到市政务云平台后,还是需要铁柱单位独立定级备案。另外云上开发的业务系统也应该独立定级备案、过等保测评,当然涉及云平台端不需要重复 测评,测评结论直接引用即可。
变化二:不同模式责任不同
IaaS模式下物理机房、物理服务器、物理网络和云平台软件的安全由云服务商负责,租户需要对业务系统安全、虚拟机OS安全、数据安全、虚拟网络安全等负责。SaaS模式安全责任大多是云服务商,云租户的安全责任很小,仅需要对内容安全、账号安全负责。
铁柱单位核心系统上云属于IaaS模式,一定得做好安全开发、安全部署、安全加固,现在云服务商都会提供安全服务,但是得购买和选择。IaaS说直白点就是毛胚房,不能直接拎包入住,一定要先装修再入住。
变化三:等保级别必须匹配
云平台建成后上线运行1个月内必须向公安机关提交定级备案手续,同一云平台可以承载不同等级的信息系统,但云平台的安全保护等级不能低于所承载信息系统的 安全保护等级,即云平台只能承载等保同级别或低级别的租户系统,安全保护等级为2级的云平台不能承载3级信息系统,3级平台不能承载4级系统,这是云等保 的基本要求。
变化四:测评对象适当增加
除了基本要求的测评对象之外,扩展要求增加了云计算属性相关测评对象,哪些对象与云计算属性相关,拍拍脑袋就清楚了。
关于扩展要求二级三级系统不需要,四级系统才需要。
第三级条款 6.1.2.1网络与通信安全的网络架构:根据承载的业务系统安全保护等级划分不同安全级别的资源池区域,并实现资源池之间的网络隔离;
第四级条款 7.1.2.1网络与通信安全的网络架构根据承载的业务系统安全保护等级划分不同安全级别的资源池区域,并实现资源池之间的物理隔离;
两字之差,意义大不相同。
“如果单位门户网站是2级系统,核心业务是3级系统,那么云平台可以通过虚拟网络构建内网和外网环境实现2级和3级资源池网络隔离,另外还可以通过虚拟防火墙划分成不同安全区域实现2级和3级资源池网络隔离。”
在云环境下虚拟机迁移,安全策略是随迁的,传统业务系统2级和3级之间是通过Vlan划为安全区域的,在云平台上通过资源池的网络隔离没有降低原来的安全防护强度,同时租户使用的虚拟机也不能直接访问宿主机。
第四级条款已经充分表明仅有承载四级业务系统的云平台才需要为4级业务系统提供独立的物理服务器集群,重要的事情再说一遍。
“假设3级云平台划为2级的物理服务器集群和3级服务器集群,突然一天铁柱说我的系统比较重要安全防护也比其他系统好,需要独立的服务器集群 (按照租户不同建不同物理资源池),这岂不是违背了云计算资源池化和弹性扩展的本源,弹性扩展不是让你重复建设一个又一个物理隔离的服务集群资源池,这样 会导致设备越买越多成本越来越高。”
2级和3级系统之间资源池也一味物理隔离,违背了云计算的本质和初衷,也过度抬高了安全门槛,扩展要求仅仅在第四级实行物理隔离,这从侧面反映了标准修订团队的深谋远虑,通过云等保扩展要求实现高效减负又不降低安全强度的目标。
如何选择靠谱的云服务商?
选一个靠谱的云服务商才是最重要的,这个云服务商不但要求自身云平台安全,并且要能够为用户提供足够的安全服务。
那什么样的云服务商才靠谱,首先得通过云等保测评,不是有网信办安全审查吗,看看过了没有?还有看看国际上的云安全资质有没有,这代表了云服务商的安全能力和安全责任,铁柱和小树豁然开朗,频频点头。
政府部门业务系统上云后,在同一云平台环境下更有利于打通数据消除孤岛,在保证云平台和云租户安全的前提下,让云计算技术红利普惠广大民众。
无论传统IT还是云计算,等级保护的相关要求对最终用户来说不会有任何弱化,面对新技术和新环境,我们应该多思考多分析,对新标准新要求做到既不误读也不过分解读,充分享受云计算带来的便利,又很好地保障自己的安全。
目前阿里云成为全国首家云等保试点示范平台,金融云通过国家等保四级备案测评。购买阿里云产品及相关咨询0371-56982939
点击查看阿里云云等保相关信息 全国首家云等保试点示范平台
©2024 aliyunhn.com. All Rights Reserved 中科九洲科技股份有限公司-阿里云河南授权服务中心 豫B2-20080032-14 统计