隨著一系列等級保護新標準的順利發(fā)布，網(wǎng)絡安全等級保護也進入到2.0時代。作為新增的等級保護對象，云計算平臺/系統(tǒng)新增安全要求如何？有哪些地方值得重點關注？

今天，綠盟君來為您一一解讀。

——* 要求總覽 *——

在政府積極引導和企業(yè)戰(zhàn)略布局等推動下，經(jīng)過近十余年的發(fā)展，云計算已逐漸被市場認可和接受，政務、金融、運營商和工業(yè)等多個行業(yè)的信息系統(tǒng)已經(jīng)運行在云端。相對于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)如何進行等級保護非常受關注。新等級保護標準的發(fā)布，明確了云計算平臺/系統(tǒng)作為等級保護對象的具體要求，指導云計算平臺/系統(tǒng)的安全建設。

新標準中對于云計算平臺/系統(tǒng)的等級保護，仍然根據(jù)“一個中心，三重防護”體系框架，提出了具體的技術要求，以及包含云服務商選擇、供應鏈管理和云計算環(huán)境管理等方面的管理要求。云計算平臺/系統(tǒng)的安全建設或安全整改，需同時根據(jù)安全通用要求和安全擴展要求，構(gòu)建具有相應等級安全防護能力的安全防御體系。

注：安全管理制度、安全管理機構(gòu)和安全管理人員，云計算平臺/系統(tǒng)無單獨安全擴展要求。

對于云計算平臺/系統(tǒng)的等級保護，我們以第三級要求說明有哪些應該重點關注。

——* 抓住重點 *——

1.責任共擔要求

云計算平臺/系統(tǒng)通常由設施、硬件、資源抽象控制、虛擬化計算資源、軟件平臺和應用軟件等組成。根據(jù)不同服務模式（IaaS、PaaS和SaaS），云服務商和云服務客戶擁有不同控制范圍，其安全責任邊界不同；云服務商和云服務客戶應根據(jù)各自安全責任，進行安全防護能力建設。現(xiàn)實情況是云服務客戶通常認為安全防護應該由云服務商實現(xiàn)，只需把業(yè)務系統(tǒng)遷移至云端即可，這需要引導云服務客戶關注等級保護，并采取相應安全防護，與云服務商一起共同保護云計算平臺/系統(tǒng)。

2.安全通信網(wǎng)絡要求  

解讀：

根據(jù)控制范圍，云計算定級對象可分為云服務商控制部分（如云計算平臺）和云服務客戶控制部分（如業(yè)務應用系統(tǒng)），應分別進行定級，且云服務商控制部分比云服務客戶控制部分高，云服務商的測評可以被復用。在進行安全建設時，云服務商應該為云服務客戶提供安全產(chǎn)品或服務，然而云計算平臺/系統(tǒng)，尤其是私有云部署方式下，僅提供基礎的安全能力，并不能滿足等級保護要求。這就需要云服務商能夠提供第三方安全產(chǎn)品/服務或允許客戶接入第三方安全產(chǎn)品或服務，并且云服務客戶可以自主設置安全策略。

3. 安全區(qū)域邊界

解讀：

相較于傳統(tǒng)信息系統(tǒng)，云計算平臺/系統(tǒng)新增了一些組件，如宿主機、虛擬機和虛擬化網(wǎng)絡等。所以在做安全區(qū)域邊界設計時，除了關注物理區(qū)域邊界和物理網(wǎng)絡節(jié)點外，還應該關注虛擬化網(wǎng)絡邊界和虛擬網(wǎng)絡節(jié)點，以及虛擬機與物理機、虛擬機與虛擬機間網(wǎng)絡流量，一方面做好物理網(wǎng)絡的訪問控制和入侵防范等，另一方面利用云計算平臺/系統(tǒng)的安全能力或第三方安全產(chǎn)品/服務，做好虛擬區(qū)域邊界的訪問控制和入侵防范等。

4.安全計算環(huán)境 

解讀：

云計算平臺/系統(tǒng)中虛擬機運行在一個資源共享的環(huán)境中，虛擬機遷移時有發(fā)生，隨著虛擬機的生命周期結(jié)束，其資源將被回收和利用。所以為實現(xiàn)安全計算環(huán)境，除做好安全通用要求外，應做好以下幾點：云服務商應提供加固的鏡像，利用完整性校驗防止被惡意篡改；應該確保虛擬機的CPU、內(nèi)存和存儲等資源的隔離；當虛擬機做遷移時，應能夠?qū)崿F(xiàn)遷移前后的訪問控制策略保持一致，并且虛擬機所使用的內(nèi)存和存儲空間回收時，做到數(shù)據(jù)清除。云服務客戶應定期做安全檢查，進行安全加固，并利用防病毒軟件保護虛擬機，在計劃內(nèi)的虛擬機遷移時，檢查遷移前后虛擬機的訪問控制策略。

5.安全管理中心

解讀：

網(wǎng)絡環(huán)境日益復雜，云計算平臺/系統(tǒng)通常采用集中化部署，風險和攻擊也被集中和加劇，安全防御體系應該更主動和動態(tài)，安全管理中心是關鍵。該中心應該能夠建立安全態(tài)勢感知、攻擊行為回溯分析和監(jiān)測預警等能力，幫助云計算平臺/系統(tǒng)實現(xiàn)安全事件的事前預警、事中防護和事后追溯，并持續(xù)監(jiān)控云計算平臺/系統(tǒng)的安全狀態(tài)。因此，應該建立具備相應能力的安全管理中心，完善安全防御體系，并幫助云計算平臺/系統(tǒng)落實態(tài)勢感知、通報預警和安全檢測等工作。

面對如此多的要求，究竟應該如何建設綜合防御體系，來幫助云服務商和云服務客戶快速滿足合規(guī)性要求？

——* 提出方案 *——

綠盟科技結(jié)合多年等保合規(guī)實踐經(jīng)驗，按照“一個中心，三重防護”的體系框架，針對安全通用要求和云計算安全擴展要求，提出了“多方協(xié)同、縱深防御、持續(xù)監(jiān)測”的云計算等保合規(guī)解決方案。

1.多方協(xié)同：推動云服務商和云服務客戶協(xié)同，云平臺防護和云上信息系統(tǒng)防護協(xié)同，共同實現(xiàn)云計算平臺/系統(tǒng)的等保合規(guī)。

2.縱深防御：采用了軟件定義安全理念，將傳統(tǒng)安全設備轉(zhuǎn)化為全面、專業(yè)的安全即服務，提供包含防護、檢測和評估等多種安全防護能力，幫助云服務商和云服務客戶分別建立縱深防護體系。

3.持續(xù)監(jiān)測：建立安全防護管理中心，提供網(wǎng)絡安全態(tài)勢的感知、預測和預判能力，實現(xiàn)網(wǎng)絡安全事件的事前預警、事中防護和事后追溯，逐步建立主動、動態(tài)的綜合防護架構(gòu)。

同時，綠盟科技提供包含等保咨詢、漏洞掃描、安全檢查、滲透測試、安全加固、應急響應、安全通告、風險評估服務和安全培訓等一系列安全咨詢服務，在等級保護的多個階段幫助客戶更好的滿足等保合規(guī)要求。

【本文為51CTO專欄作者“安全加”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文