等保测评之——等保2.0云计算安全及其扩展要求解读
云等保涉及概念定义
● 云计算:云计算本质是一种服务模式,是指通过网络提供计算资源服务的模式,在该模式下,用户按需动态自助供给、管理各类计算资源;
● 云服务方:云计算服务的供应方,如各类公有云、行业云的服务商;
● 云租户:租用或使用云计算资源的客户;
● 云计算平台:云服务方提供的云计算基础设施及其上的服务软件的集合;
● 云环境系统:云租户在平台之上部署的软件及相关组件的集合。
而云计算平台和云环境系统共同组成了云计算环境。
云计算的服务模式
云计算分为三种云服务模式:IaaS、PaaS、SaaS;
IaaS 基础设施即服务:
云服务方向云租户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式;
PaaS 平台即服务:
云服务方向云租户提供应用软件所需的支撑平台,包括用户应用程序的运行环境和开发环境,供云租户在此基础上开发和提供相关应用的服务模式;
SaaS 软件即服务:
云服务方向云租户提供运行在云基础设施之上的应用软件的服务模式。
云等保的责任划分
在云计算条件下,目前采取的是云平台和租户的责任共担机制,而从IaaS到PaaS再到SaaS模式,云租户所需要承担的责任是越来越少的,但无论如何,对于云租户而言,数据安全始终是最核心的安全问题,不可松懈。
不同的责任划分下,云等保究竟该怎么做?
云等保不是新鲜的事物,而是在原等保框架下对新事物的扩展。
不同的是等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。
云计算系统保护对象的扩展
由于虚拟化等新技术的应用,IaaS/PaaS/SaaS按需服务模式的引入,相对于传统信息系统,云计算系统的保护对象有所增加。
传统信息系统和云计算系统保护对象如下:
物理和环境安全
传统:机房及基础设施
云计算:机房及基础设施网络和通信安全
传统:网络设备、安全设备、网络结构、综合网管系统。云计算:网络设备、安全设备、网络结构、综合网管系统、虚拟化网络结构、虚拟网络设备、虚拟安全设备、虚拟机监视器、云管理平台。
设备和计算安全
传统:主机、数据库管理系统、终端、中间件、网络设备、安全设备。
云计算:主机、数据库管理系统、终端、中间件、网络设备、安全设备、虚拟网络设备、虚拟安全设备、物理机、宿主机、虚拟机、虚拟机监视器、云管理平台、网络策略控制器。应用和数据安全
传统:应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息等。
云计算:应用系统、中间件、配置文件、业务数据、用户隐私、鉴别信息、云应用开发平台、云计算服务对外接口、云管理平台、镜像文件、快照、数据存储设备、数据库服务器。安全管理机构和人员
传统:信息安全主管、相关文档
云计算:信息安全主管、相关文档安全建设管理
传统:系统建设负责人、记录表单类文档
云计算:系统建设负责人、服务水平协议,云计算平台、供应商资质、相关文档、相关资质、相关检测报告安全运维管理
传统:系统管理员、网络管理员、数据库管理员、安全管理员、运维负责人、相关文档。
云计算:安全管理员、相关文档、运维设备、云计算平台、第三方审计结果。
在云计算架构之下,等级保护依然需要落地,包括定级、备案、建设整改、等级测评、监督检查五个规定动作。
01 云等保的定级要求
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
而对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
同时云计算平台不承载高于其安全保护等级的业务应用系统;
在定级当中存在的重要误区:
系统定级越低越好?
最终定级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为根据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,一旦遭受攻击,反而得不偿失。
02 云等保的备案要求
传统的系统备案很简单,IT基础设施、运维地点、工商注册地基本上都是一致的,直接去所在地市局、网安或者是分局即可;然而上云的系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,因此从方便属地公安机关监管的角度出发,应该在系统实际运维团队所在地市网安部门进行系统备案。
03 云等保的建设流程
04 云等保的测评要求
云计算系统保护措施通常是以系统整体能力体现,云计算安全扩展要求作为全局对待,在报告结构上等同于全局测评,各测评项不再重复对应一个或多个测评对象。等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业一般是建议两年做一次测评。