隨著一系列等級(jí)保護(hù)新標(biāo)準(zhǔn)的順利發(fā)布，網(wǎng)絡(luò)安全等級(jí)保護(hù)也進(jìn)入到2.0時(shí)代。作為新增的等級(jí)保護(hù)對(duì)象，云計(jì)算平臺(tái)/系統(tǒng)新增安全要求如何？有哪些地方值得重點(diǎn)關(guān)注？

今天，綠盟君來為您一一解讀。

——* 要求總覽 *——

在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動(dòng)下，經(jīng)過近十余年的發(fā)展，云計(jì)算已逐漸被市場(chǎng)認(rèn)可和接受，政務(wù)、金融、運(yùn)營商和工業(yè)等多個(gè)行業(yè)的信息系統(tǒng)已經(jīng)運(yùn)行在云端。相對(duì)于傳統(tǒng)信息系統(tǒng)，云計(jì)算平臺(tái)/系統(tǒng)如何進(jìn)行等級(jí)保護(hù)非常受關(guān)注。新等級(jí)保護(hù)標(biāo)準(zhǔn)的發(fā)布，明確了云計(jì)算平臺(tái)/系統(tǒng)作為等級(jí)保護(hù)對(duì)象的具體要求，指導(dǎo)云計(jì)算平臺(tái)/系統(tǒng)的安全建設(shè)。

新標(biāo)準(zhǔn)中對(duì)于云計(jì)算平臺(tái)/系統(tǒng)的等級(jí)保護(hù)，仍然根據(jù)“一個(gè)中心，三重防護(hù)”體系框架，提出了具體的技術(shù)要求，以及包含云服務(wù)商選擇、供應(yīng)鏈管理和云計(jì)算環(huán)境管理等方面的管理要求。云計(jì)算平臺(tái)/系統(tǒng)的安全建設(shè)或安全整改，需同時(shí)根據(jù)安全通用要求和安全擴(kuò)展要求，構(gòu)建具有相應(yīng)等級(jí)安全防護(hù)能力的安全防御體系。

注：安全管理制度、安全管理機(jī)構(gòu)和安全管理人員，云計(jì)算平臺(tái)/系統(tǒng)無單獨(dú)安全擴(kuò)展要求。

對(duì)于云計(jì)算平臺(tái)/系統(tǒng)的等級(jí)保護(hù)，我們以第三級(jí)要求說明有哪些應(yīng)該重點(diǎn)關(guān)注。

——* 抓住重點(diǎn) *——

1.責(zé)任共擔(dān)要求

云計(jì)算平臺(tái)/系統(tǒng)通常由設(shè)施、硬件、資源抽象控制、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。根據(jù)不同服務(wù)模式（IaaS、PaaS和SaaS），云服務(wù)商和云服務(wù)客戶擁有不同控制范圍，其安全責(zé)任邊界不同；云服務(wù)商和云服務(wù)客戶應(yīng)根據(jù)各自安全責(zé)任，進(jìn)行安全防護(hù)能力建設(shè)。現(xiàn)實(shí)情況是云服務(wù)客戶通常認(rèn)為安全防護(hù)應(yīng)該由云服務(wù)商實(shí)現(xiàn)，只需把業(yè)務(wù)系統(tǒng)遷移至云端即可，這需要引導(dǎo)云服務(wù)客戶關(guān)注等級(jí)保護(hù)，并采取相應(yīng)安全防護(hù)，與云服務(wù)商一起共同保護(hù)云計(jì)算平臺(tái)/系統(tǒng)。

2.安全通信網(wǎng)絡(luò)要求  

解讀：

根據(jù)控制范圍，云計(jì)算定級(jí)對(duì)象可分為云服務(wù)商控制部分（如云計(jì)算平臺(tái)）和云服務(wù)客戶控制部分（如業(yè)務(wù)應(yīng)用系統(tǒng)），應(yīng)分別進(jìn)行定級(jí)，且云服務(wù)商控制部分比云服務(wù)客戶控制部分高，云服務(wù)商的測(cè)評(píng)可以被復(fù)用。在進(jìn)行安全建設(shè)時(shí)，云服務(wù)商應(yīng)該為云服務(wù)客戶提供安全產(chǎn)品或服務(wù)，然而云計(jì)算平臺(tái)/系統(tǒng)，尤其是私有云部署方式下，僅提供基礎(chǔ)的安全能力，并不能滿足等級(jí)保護(hù)要求。這就需要云服務(wù)商能夠提供第三方安全產(chǎn)品/服務(wù)或允許客戶接入第三方安全產(chǎn)品或服務(wù)，并且云服務(wù)客戶可以自主設(shè)置安全策略。

3. 安全區(qū)域邊界

解讀：

相較于傳統(tǒng)信息系統(tǒng)，云計(jì)算平臺(tái)/系統(tǒng)新增了一些組件，如宿主機(jī)、虛擬機(jī)和虛擬化網(wǎng)絡(luò)等。所以在做安全區(qū)域邊界設(shè)計(jì)時(shí)，除了關(guān)注物理區(qū)域邊界和物理網(wǎng)絡(luò)節(jié)點(diǎn)外，還應(yīng)該關(guān)注虛擬化網(wǎng)絡(luò)邊界和虛擬網(wǎng)絡(luò)節(jié)點(diǎn)，以及虛擬機(jī)與物理機(jī)、虛擬機(jī)與虛擬機(jī)間網(wǎng)絡(luò)流量，一方面做好物理網(wǎng)絡(luò)的訪問控制和入侵防范等，另一方面利用云計(jì)算平臺(tái)/系統(tǒng)的安全能力或第三方安全產(chǎn)品/服務(wù)，做好虛擬區(qū)域邊界的訪問控制和入侵防范等。

4.安全計(jì)算環(huán)境 

解讀：

云計(jì)算平臺(tái)/系統(tǒng)中虛擬機(jī)運(yùn)行在一個(gè)資源共享的環(huán)境中，虛擬機(jī)遷移時(shí)有發(fā)生，隨著虛擬機(jī)的生命周期結(jié)束，其資源將被回收和利用。所以為實(shí)現(xiàn)安全計(jì)算環(huán)境，除做好安全通用要求外，應(yīng)做好以下幾點(diǎn)：云服務(wù)商應(yīng)提供加固的鏡像，利用完整性校驗(yàn)防止被惡意篡改；應(yīng)該確保虛擬機(jī)的CPU、內(nèi)存和存儲(chǔ)等資源的隔離；當(dāng)虛擬機(jī)做遷移時(shí)，應(yīng)能夠?qū)崿F(xiàn)遷移前后的訪問控制策略保持一致，并且虛擬機(jī)所使用的內(nèi)存和存儲(chǔ)空間回收時(shí)，做到數(shù)據(jù)清除。云服務(wù)客戶應(yīng)定期做安全檢查，進(jìn)行安全加固，并利用防病毒軟件保護(hù)虛擬機(jī)，在計(jì)劃內(nèi)的虛擬機(jī)遷移時(shí)，檢查遷移前后虛擬機(jī)的訪問控制策略。

5.安全管理中心

解讀：

網(wǎng)絡(luò)環(huán)境日益復(fù)雜，云計(jì)算平臺(tái)/系統(tǒng)通常采用集中化部署，風(fēng)險(xiǎn)和攻擊也被集中和加劇，安全防御體系應(yīng)該更主動(dòng)和動(dòng)態(tài)，安全管理中心是關(guān)鍵。該中心應(yīng)該能夠建立安全態(tài)勢(shì)感知、攻擊行為回溯分析和監(jiān)測(cè)預(yù)警等能力，幫助云計(jì)算平臺(tái)/系統(tǒng)實(shí)現(xiàn)安全事件的事前預(yù)警、事中防護(hù)和事后追溯，并持續(xù)監(jiān)控云計(jì)算平臺(tái)/系統(tǒng)的安全狀態(tài)。因此，應(yīng)該建立具備相應(yīng)能力的安全管理中心，完善安全防御體系，并幫助云計(jì)算平臺(tái)/系統(tǒng)落實(shí)態(tài)勢(shì)感知、通報(bào)預(yù)警和安全檢測(cè)等工作。

面對(duì)如此多的要求，究竟應(yīng)該如何建設(shè)綜合防御體系，來幫助云服務(wù)商和云服務(wù)客戶快速滿足合規(guī)性要求？

——* 提出方案 *——

綠盟科技結(jié)合多年等保合規(guī)實(shí)踐經(jīng)驗(yàn)，按照“一個(gè)中心，三重防護(hù)”的體系框架，針對(duì)安全通用要求和云計(jì)算安全擴(kuò)展要求，提出了“多方協(xié)同、縱深防御、持續(xù)監(jiān)測(cè)”的云計(jì)算等保合規(guī)解決方案。

1.多方協(xié)同：推動(dòng)云服務(wù)商和云服務(wù)客戶協(xié)同，云平臺(tái)防護(hù)和云上信息系統(tǒng)防護(hù)協(xié)同，共同實(shí)現(xiàn)云計(jì)算平臺(tái)/系統(tǒng)的等保合規(guī)。

2.縱深防御：采用了軟件定義安全理念，將傳統(tǒng)安全設(shè)備轉(zhuǎn)化為全面、專業(yè)的安全即服務(wù)，提供包含防護(hù)、檢測(cè)和評(píng)估等多種安全防護(hù)能力，幫助云服務(wù)商和云服務(wù)客戶分別建立縱深防護(hù)體系。

3.持續(xù)監(jiān)測(cè)：建立安全防護(hù)管理中心，提供網(wǎng)絡(luò)安全態(tài)勢(shì)的感知、預(yù)測(cè)和預(yù)判能力，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的事前預(yù)警、事中防護(hù)和事后追溯，逐步建立主動(dòng)、動(dòng)態(tài)的綜合防護(hù)架構(gòu)。

同時(shí)，綠盟科技提供包含等保咨詢、漏洞掃描、安全檢查、滲透測(cè)試、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險(xiǎn)評(píng)估服務(wù)和安全培訓(xùn)等一系列安全咨詢服務(wù)，在等級(jí)保護(hù)的多個(gè)階段幫助客戶更好的滿足等保合規(guī)要求。

【本文為51CTO專欄作者“安全加”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文