云等保安全合規(guī)解決方案
伴隨著《網(wǎng)絡(luò)安全法》出臺,等級保護制度上升到法律層面。在此背景下孕育出來等保2.0相比之前的等保要求,在等級保護的對象、保護的內(nèi)容、保護的體系都大不相同。
當然,云等保不是新鮮的事物,而是在原等??蚣芟碌臄U展要求。云等保的各環(huán)節(jié)與傳統(tǒng)等保相同,包括定級、備案、建設(shè)整改、測評、監(jiān)督檢查等,因此只需要對原有等級保護相關(guān)工作的具體內(nèi)容進行擴充并統(tǒng)一。
傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)伴隨業(yè)務(wù)變化而變化,系統(tǒng)各組件功能與硬件緊耦合,在安全防護上強調(diào)分區(qū)域和縱深防御。直觀上來說,就像鐵路局各管一段,信息系統(tǒng)通常以物理網(wǎng)絡(luò)或者安全設(shè)備為邊界進行劃分。
但是,云計算系統(tǒng)網(wǎng)絡(luò)架構(gòu)是扁平化的,業(yè)務(wù)應(yīng)用系統(tǒng)與硬件平臺松耦合,猶如航空運輸。如果信息系統(tǒng)的劃分,單純的以物理網(wǎng)絡(luò)或安全設(shè)備為邊界進行劃分,將無法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系,更無法保證業(yè)務(wù)信息的安全和系統(tǒng)服務(wù)的安全,這就猶如以機場劃分各航空公司一樣不適用。
云計算系統(tǒng)邊界劃分
云計算系統(tǒng)邊界劃分基本場景包括兩個類型:
第一類場景:存在業(yè)務(wù)應(yīng)用不獨占硬件物理資源或硬件物理資源上運行的基礎(chǔ)服務(wù)系統(tǒng)是所有業(yè)務(wù)應(yīng)用公用的情況,這時定級系統(tǒng)的邊界應(yīng)劃在虛擬邊界處,這個虛擬邊界就是運行業(yè)務(wù)應(yīng)用所用到的最底層獨占虛擬資源,通常是虛擬機。
在上圖場景中有3個業(yè)務(wù)應(yīng)用,通過對業(yè)務(wù)應(yīng)用的梳理,業(yè)務(wù)應(yīng)用1單獨成為一個定級系統(tǒng),業(yè)務(wù)應(yīng)用2和業(yè)務(wù)應(yīng)用3組成另一個定級系統(tǒng)。這兩個定級系統(tǒng)共用底層服務(wù),因此我們把底層服務(wù)連同硬件一起作為一個定級系統(tǒng)C,即云計算平臺。定級系統(tǒng)A和定級系統(tǒng)B就是云平臺上承載的業(yè)務(wù)應(yīng)用系統(tǒng)。
第二類場景:業(yè)務(wù)應(yīng)用對應(yīng)的系統(tǒng)模塊存在相對獨立的底層服務(wù)和硬件資源,因此可以將整個系統(tǒng)邊界劃分到硬件物理設(shè)備,從而確定兩個定級系統(tǒng),如下圖所示。如果這個場景對應(yīng)的是對外提供服務(wù)的云計算系統(tǒng),那么定級系統(tǒng)A就是一個使用了云計算技術(shù)的應(yīng)用系統(tǒng),而頂級系統(tǒng)B是另一個使用了云計算技術(shù)的應(yīng)用系統(tǒng)。同理,我們依然可以在定級系統(tǒng)B上嵌套場景1,此時定級系統(tǒng)B這個云計算平臺就會承載更多的業(yè)務(wù)應(yīng)用系統(tǒng)。
云等保責任共擔與定級
在對云計算系統(tǒng)進行測評時應(yīng)同時滿足安全通用要求和云計算安全擴展要求部分的相關(guān)要求。在這個過程中根據(jù)云上系統(tǒng)的責任分擔不同,要對安全通用要求和云計算安全擴展要求做拆分,云服務(wù)商和云服務(wù)客戶針對應(yīng)要求采取對應(yīng)安全保護措施。
這時我們要考慮幾方面因素,首先要確定被測系統(tǒng)是云計算平臺還是業(yè)務(wù)應(yīng)用系統(tǒng)。其次,確定被測系統(tǒng)使用哪種服務(wù)模式,以此來確定保護責任。
在確定了服務(wù)商和客戶各自保護責任之后,在定級過程中需要注意以下4點:
1、云計算平臺安全保護等級,原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護等級。
2、國家關(guān)鍵信息基礎(chǔ)設(shè)施(重要云計算平臺)的安全保護等級應(yīng)不低于第三極。
3、在云計算環(huán)境中,應(yīng)將云資源平臺作為單獨定級對象,云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。
4、對于大型云計算平臺,應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。
云等保的備案方法
傳統(tǒng)企業(yè)IT基礎(chǔ)設(shè)施、運維地點、工商注冊地基本一致,備案地明確。但是,云計算系統(tǒng)基礎(chǔ)設(shè)施通常遍布多地,與運維地點和工商注冊地不完全一致,存在備案地點不明確的問題。
云服務(wù)提供商負責將云計算平臺的定級結(jié)果向所轄公安機關(guān)進行備案,備案地應(yīng)為運維管理端所在地。云租戶負責對云平臺上承載的租戶信息系統(tǒng)進行定級備案,備案地為工商注冊或?qū)嶋H經(jīng)營所在地。
云等保的建設(shè)整改
云等保的建設(shè)整改/測評對象與傳統(tǒng)信息系統(tǒng)建設(shè)整改/測評對象大不相同,如下表所示。云計算系統(tǒng)保護對象中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內(nèi)容。
云平臺在安全建設(shè)中,強調(diào)安全能力集成,包括統(tǒng)一身份認證、統(tǒng)一用戶授權(quán)、統(tǒng)一賬戶管理、統(tǒng)一安全審計等。在平臺內(nèi)部強調(diào)通訊加密與認證、動態(tài)監(jiān)測預(yù)警、快速應(yīng)急響應(yīng)能力建設(shè)、安全產(chǎn)品合規(guī)等。
云計算系統(tǒng)測評打分
在對云計算系統(tǒng)測評打分時,業(yè)務(wù)系統(tǒng)打分是不需要與云計算平臺的得分結(jié)果共同計算,只需將業(yè)務(wù)系統(tǒng)可測評項進行打分后計算即可,不可測項做“N/A”處理。
那么是否完全不考慮云平臺的得分結(jié)果呢?顯然不是,在做業(yè)務(wù)系統(tǒng)測評前首要看的就是云計算平臺是否完成等級測評,然后索要云平臺測評報告結(jié)論蓋章頁。在出具云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)報告時,將云平臺測評得分一并放在最終得分一欄。如:云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)測評得分為85分,云計算平臺得分為90分,則云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)等級測評報告得分欄填寫“(85,90)”。
此外,需要特別注意:
1、在對云租戶測評時,如果云平臺本身未測評,則無法對云租戶系統(tǒng)進行測評。
當然,云等保不是新鮮的事物,而是在原等??蚣芟碌臄U展要求。云等保的各環(huán)節(jié)與傳統(tǒng)等保相同,包括定級、備案、建設(shè)整改、測評、監(jiān)督檢查等,因此只需要對原有等級保護相關(guān)工作的具體內(nèi)容進行擴充并統(tǒng)一。
傳統(tǒng)信息系統(tǒng)的網(wǎng)絡(luò)架構(gòu)伴隨業(yè)務(wù)變化而變化,系統(tǒng)各組件功能與硬件緊耦合,在安全防護上強調(diào)分區(qū)域和縱深防御。直觀上來說,就像鐵路局各管一段,信息系統(tǒng)通常以物理網(wǎng)絡(luò)或者安全設(shè)備為邊界進行劃分。
但是,云計算系統(tǒng)網(wǎng)絡(luò)架構(gòu)是扁平化的,業(yè)務(wù)應(yīng)用系統(tǒng)與硬件平臺松耦合,猶如航空運輸。如果信息系統(tǒng)的劃分,單純的以物理網(wǎng)絡(luò)或安全設(shè)備為邊界進行劃分,將無法體現(xiàn)出業(yè)務(wù)應(yīng)用系統(tǒng)的邏輯關(guān)系,更無法保證業(yè)務(wù)信息的安全和系統(tǒng)服務(wù)的安全,這就猶如以機場劃分各航空公司一樣不適用。
云計算系統(tǒng)邊界劃分
云計算系統(tǒng)邊界劃分基本場景包括兩個類型:
第一類場景:存在業(yè)務(wù)應(yīng)用不獨占硬件物理資源或硬件物理資源上運行的基礎(chǔ)服務(wù)系統(tǒng)是所有業(yè)務(wù)應(yīng)用公用的情況,這時定級系統(tǒng)的邊界應(yīng)劃在虛擬邊界處,這個虛擬邊界就是運行業(yè)務(wù)應(yīng)用所用到的最底層獨占虛擬資源,通常是虛擬機。
在上圖場景中有3個業(yè)務(wù)應(yīng)用,通過對業(yè)務(wù)應(yīng)用的梳理,業(yè)務(wù)應(yīng)用1單獨成為一個定級系統(tǒng),業(yè)務(wù)應(yīng)用2和業(yè)務(wù)應(yīng)用3組成另一個定級系統(tǒng)。這兩個定級系統(tǒng)共用底層服務(wù),因此我們把底層服務(wù)連同硬件一起作為一個定級系統(tǒng)C,即云計算平臺。定級系統(tǒng)A和定級系統(tǒng)B就是云平臺上承載的業(yè)務(wù)應(yīng)用系統(tǒng)。
第二類場景:業(yè)務(wù)應(yīng)用對應(yīng)的系統(tǒng)模塊存在相對獨立的底層服務(wù)和硬件資源,因此可以將整個系統(tǒng)邊界劃分到硬件物理設(shè)備,從而確定兩個定級系統(tǒng),如下圖所示。如果這個場景對應(yīng)的是對外提供服務(wù)的云計算系統(tǒng),那么定級系統(tǒng)A就是一個使用了云計算技術(shù)的應(yīng)用系統(tǒng),而頂級系統(tǒng)B是另一個使用了云計算技術(shù)的應(yīng)用系統(tǒng)。同理,我們依然可以在定級系統(tǒng)B上嵌套場景1,此時定級系統(tǒng)B這個云計算平臺就會承載更多的業(yè)務(wù)應(yīng)用系統(tǒng)。
云等保責任共擔與定級
在對云計算系統(tǒng)進行測評時應(yīng)同時滿足安全通用要求和云計算安全擴展要求部分的相關(guān)要求。在這個過程中根據(jù)云上系統(tǒng)的責任分擔不同,要對安全通用要求和云計算安全擴展要求做拆分,云服務(wù)商和云服務(wù)客戶針對應(yīng)要求采取對應(yīng)安全保護措施。
這時我們要考慮幾方面因素,首先要確定被測系統(tǒng)是云計算平臺還是業(yè)務(wù)應(yīng)用系統(tǒng)。其次,確定被測系統(tǒng)使用哪種服務(wù)模式,以此來確定保護責任。
在確定了服務(wù)商和客戶各自保護責任之后,在定級過程中需要注意以下4點:
1、云計算平臺安全保護等級,原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護等級。
2、國家關(guān)鍵信息基礎(chǔ)設(shè)施(重要云計算平臺)的安全保護等級應(yīng)不低于第三極。
3、在云計算環(huán)境中,應(yīng)將云資源平臺作為單獨定級對象,云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。
4、對于大型云計算平臺,應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。
云等保的備案方法
傳統(tǒng)企業(yè)IT基礎(chǔ)設(shè)施、運維地點、工商注冊地基本一致,備案地明確。但是,云計算系統(tǒng)基礎(chǔ)設(shè)施通常遍布多地,與運維地點和工商注冊地不完全一致,存在備案地點不明確的問題。
云服務(wù)提供商負責將云計算平臺的定級結(jié)果向所轄公安機關(guān)進行備案,備案地應(yīng)為運維管理端所在地。云租戶負責對云平臺上承載的租戶信息系統(tǒng)進行定級備案,備案地為工商注冊或?qū)嶋H經(jīng)營所在地。
云等保的建設(shè)整改
云等保的建設(shè)整改/測評對象與傳統(tǒng)信息系統(tǒng)建設(shè)整改/測評對象大不相同,如下表所示。云計算系統(tǒng)保護對象中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內(nèi)容。
云平臺在安全建設(shè)中,強調(diào)安全能力集成,包括統(tǒng)一身份認證、統(tǒng)一用戶授權(quán)、統(tǒng)一賬戶管理、統(tǒng)一安全審計等。在平臺內(nèi)部強調(diào)通訊加密與認證、動態(tài)監(jiān)測預(yù)警、快速應(yīng)急響應(yīng)能力建設(shè)、安全產(chǎn)品合規(guī)等。
云計算系統(tǒng)測評打分
在對云計算系統(tǒng)測評打分時,業(yè)務(wù)系統(tǒng)打分是不需要與云計算平臺的得分結(jié)果共同計算,只需將業(yè)務(wù)系統(tǒng)可測評項進行打分后計算即可,不可測項做“N/A”處理。
那么是否完全不考慮云平臺的得分結(jié)果呢?顯然不是,在做業(yè)務(wù)系統(tǒng)測評前首要看的就是云計算平臺是否完成等級測評,然后索要云平臺測評報告結(jié)論蓋章頁。在出具云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)報告時,將云平臺測評得分一并放在最終得分一欄。如:云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)測評得分為85分,云計算平臺得分為90分,則云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)等級測評報告得分欄填寫“(85,90)”。
此外,需要特別注意:
1、在對云租戶測評時,如果云平臺本身未測評,則無法對云租戶系統(tǒng)進行測評。
2、對云租戶系統(tǒng)測評打分時,不但要考慮云租戶系統(tǒng)自身得分,還應(yīng)關(guān)注云平臺得分,云平臺得分高低將影響租戶系統(tǒng)得分。
靈狐科技專業(yè)一站式等級保護解決方案,幫您快速過等保。