山石网科解读 | 等保2.0云计算安全扩展技术要求

Sayings:为了适应新技术的发展,等保2.0提出了针对云计算、移动互联、物联网和工业控制系统的安全扩展要求。本文基于山石网科在云计算安全领域的技术实力和实践经验,为您解读等保2.0云扩展技术要求。

一.安全通用要求与安全扩展要求

不同的等级保护对象面临的威胁不尽相同,防护需求也有各自要求。等保2.0最大的变化之一,就是将原有的1.0等级保护要求提升为安全通用要求和安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。

  • 安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
  • 安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。

Q:满足安全扩展要求是不是就不需要满足安全通用要求了?
A:答案是否定的,安全通用要求是基础性、普适性的标准,无论被保护对象以何种形态出现,必须实现“安全通用要求”中提出的安全控制措施,这是本文解读云计算安全扩展要求的前提,需要重点强调。
Q:那在什么情况下适用云计算安全扩展要求呢?
A:举个例子,比如某企业确定了定级对象,由于定级对象采用了云计算技术,在该企业满足安全通用要求的前提下,就需要落实云计算安全扩展要求所提出的各项安全控制措施。这时适用云计算安全扩展要求。

二.云计算平台定级说明

在云计算环境中,考虑到不同的安全建设和管理责任,应将云服务方侧的云计算平台和云租户方侧的等级保护对象作为不同的定级对象分别定级。

图注:云计算平台定级

三.云计算应用场景说明

软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。

图注:云计算服务模式与控制范围的关系

四.云计算安全扩展要求控制点

云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的控制点包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“供应链管理”、“云计算环境管理”等方面。

其中云计安全扩展要求控制项目一级11项、二级29项、三级46项、四级49项,云计算安全扩展要求控制项目分布:

图注:云计算安全扩展要求控制项目分布

五.云计算安全扩展要求原则性要求

  • 应保证云计算基础设施位于中国境内
  • 应保证云计算平台不承载高于其安全保护等级的业务应用系统
  • 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计
  • 应保证当虚拟机迁移时,访问控制策略随其迁移
  • 应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定
  • 应保证只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限
  • 应保证虚拟机所使用的内存和存储空间回收时得到完全清除
  • 应保证云计算平台管理流量与云服务客户业务流量分离

六.山石网科云计算安全扩展要求解决方案

山石网科自2015年推出了,由山石云•格、山石云•界构成的云计算安全解决方案至今,已经积累了大量云安全成功案例。伴随等保2.0政策执行的合规落地,山石网科致力于打造一整套云计算安全解决方案,用以满足云计算安全扩展要求的合规执行。方案覆盖云计算安全扩展要求中的安全通信网络-网络架构,安全区域边界-访问控制与入侵防范,安全计算环境-访问控制与入侵防范,安全管理中心-集中管控等大部分控制项安全措施。

山石网科云计算安全解决方案围绕山石云•格、山石云•界、山石云•集、vWAF、vDBA等云安全产品为核心,面向云服务商、云客户,提供基于云平台、租户、微隔离、NFV、SDN、云数据库等多种云计算应用场景的解决方案,全面满足未来云计算安全合规落地执行。

图注:山石网科云安全解决方案合规对应图


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/23232.html
分享到:
相关文章
条评论

登录后才可以评论

厂商供稿 发表于19-05-17
0