摘要:随着网络安全法的出台,等级保护工作进入2.0时代,其中最引人注目的变化:等级保护对象从原来的单纯信息系统扩展到很多领域,其中云计算系统是等级保护重点关注的领域,等级保护的标准系统也进行了

随着网络安全法的出台,等级保护工作进入了2.0时代,其中最引人注目的变化:

,对于云计算系统的定制要求,对于云计算系统的扩大等级进行了一定要求。

这种情况下,云等保怎么落地?云服务提供商应该怎么做?云租户该怎么办?

云计算环境下解读等级保护2.0(图1)

不同的服务模式下,不同责任主体的责任也不同。云服务提供商、云租户的责任划分需要明确。

云计算环境下解读等级保护2.0(图2)

iaaS服务下,云服务方责任硬件和虚拟化层防护虚拟化以上客户机的安全防护、数据库防护、中间部件和应用和数据防护都是租户必须面对的问题。

{paaS服务模式下,客户虚拟机的安全防护责任交给云服务提供商,云租户关心的是软件开发平台的中间部件、应用和数据本身的安全防护。

在SaaS服务模式下,进一步上升。此时,作为租户,他应该关心的实际上与一些应用程序的简单安全配置和数据安全保护有关。这是租户应该考虑的内容。

数据安全保护,从IaaS、PaaS到SaaS,对云租户来说,是一直面临的重要问题。

{云等保证不是新鲜事物,而是在原等保证框架下扩展新事物,在云计算框架下,等级保护仍需落地,包括等级、申报、建设改革、等级评价、监督检查五项规定动作。不同之处在于,在等保框架下新增的元素需要扩展和统一原始等级保护相关工作的具体内容。

云计算环境下解读等级保护2.0(图3)

云计算环境下解读等级保护2.0(图4)

以前的信息系统,强调分区域,深度防御,网络架构随业务变化变化而变化而变化,网络架构变化而变化,系统各个系统各种各种各种各种各种各件能够紧密结合。信息系统的系统划分实际上是以物理网络/安全设备为界限的硬件设备划分。

在云的环境下,将虚拟界限作为系统定级的变界。云计算系统网络结构扁平化,业务应用系统与硬平台松结合。信息系统的系统划分,单纯以物理网络/安全设备为界限的划分方法无法表现业务应用系统的逻辑关系,无法表现业务信息的安全和系统服务的安全。

定级需要从业务应用的角度出发,梳理有哪些业务应用,对应哪些模块。

常见的场景有

{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}:每个应用都需要使用物理基础支持平台,业务应用不包含基础支持的物理硬件部分。像许多公共云一样,如果分级系统c的运行主体是云服务提供商,上面是云租户的业务应用系统。{x}{x} {x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}:如果基础支持平台能够对应不一样的业务应用系统,基础支持平台将基础支持平台的物理设备将基础设备一起划入相应的系统。业务应用程序与可承载的硬件平台有相应的关系。例如,某个应用程序使用固定的硬件服务器,独立成为平台,此时可以一切,作为单独的等级系统,例如蚂蚁淘宝的许多系统都是这样的框架。例如,我们可以在等级系统b这一块进行划分。这边可能又变成了小云。下面是云平台。上面是整个的各个的承载的业务应用系统,就是云租户的系统。{x}{x} {x}{x}{x}{x}{x} {x}{x}在定级当中存在两个重要误区:{x}{x} {x}{x}误区一:我的系统已经上云了,系统就不用去定级了?{x}{x} {x}{x}答案是不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。{x}{x} {x}{x}错区二、云平台的等级与云租户的等级无关,云租户的等级与云租户的等级无关。且,明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。例如,如果网络金融公司运营的系统设定为4级的话,选择的云平台必须是4级的云平台,在申请3级的云平台时会遇到问题,而且上升后云平台监督也不合规。{x}{x} {x}{x}{x}第二,注册{x}{x}{x}{x}{x}在哪里注册?传统的系统备案很简单,IT基础设施、运维地点、工商注册地基本上都是一致的,很明确,直接去所在地市局、网安或者是分局去备案就可以。但是云的这种状态下,特别是对于云服务商来讲就比较典型了,工商注册地、办公地点都不一样。比如说像阿里云,注册地在北京,运维地点在杭州,然后机房遍布全国各地。云租户也是这个问题,公司开在北京,可能技术人员、运维人员都在北京,但是你上的这种云可能他的物理位置或者不知道,或者是即便知道有可能也不在北京,那这个时候怎么办?所以我们现在有这样一个原则,对于云上的系统,不管是云平台还是云租户,就是以你的运维人员的所在地为备案地点。原因与公安机关监督有关,事件发生后,公安机关需要运输人员协助取得相关证据,进行证据固定、数据收集。{x}{x} {x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}其中关于安全审计,标准条款有明确的要求,主机安全审计、网络审计、数据库安全审计是必不可少的。{x}{x} {x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}{x}-}{x}-}{x}-}{x}-x-}{x}-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-{x}{x} {x}{x}{x}3,重点保护业务数据安全和用户隐私安全。数据安全真的很重要。我们在安全扩展里有明确要求,一个是数据库的安全审计。要求云服务商开放第三方接口,支持第三方的安全审计的产品接入;还有一个就是对于云租户,同样要求要有自己的审计。在做云租户的系统检查或者测评的时候,一样要看你有没有做安全审计。{x}{x} {x}{x}四、测评{x}{x} {x}{x}云计算系统保护措施通常是以系统整体能力体现,云计算安全扩展要求作为全局对待,在报告结构上等同于全局测评,各测评项不再重复对应一个或多个测评对象。{x}{x} {x}{x}(免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,请自行核实相关内容。投诉邮箱:editor@fromgek.com){x}{x}