返回頂部
隱藏或顯示

新聞動態

News

深信服,讓IT更簡單、更安全、更有價值

云計算安全合規,這四個模型你需要知道

/ 2016-09-15
在傳統信息化環境下,談起安全合規問題,大家一般會想到ISO 27001、等級保護、分級保護,以及針對具體行業環境下的第三方支付安全合規、支付卡行業 (PCI) 數據安全標準 (DSS)、非金融機構支付服務業務系統檢測規范、網絡借貸信息中介機構業務活動管理暫行辦法、移動金融檢測認證體系等等。

但隨著信息化環境由傳統向云計算的演變,云平臺的部署模式、服務模式、基礎資源的物理位置和資源的管理等方面,都呈現出不同的形態和消費模式,從而使云計算具有不同的安全風險特征、不同的安全控制職責與安全控制范圍。

因此,迫切需要一個新的安全模型來指導在云環境下實現風險識別、風險分析以及風險處置的過程,實現云服務架構到安全架構之間的映射,實現云計算環境下的安全合規。下面,信服君就來介紹目前國際和國內較流行的四類云計算安全合規模型。

CSA 云計算關鍵領域安全指南

云安全聯盟(Cloud Security Alliance,CSA)是業內備受認可的云安全研究論壇。2009年12月17日,該聯盟發布了一份云計算服務的安全實踐手冊——《云計算安全指南》。該指南根據資源或服務的管理權、所有權和資源位置的不同,提出了不同的云部署模型下,實現方式達成一致的可能方法。

該指南從12個方面突出了云計算安全的關注領域,包括治理和運行兩部分。其中治理方面包括:治理和企業風險管理、法律和電子證據發現、合規和審計、信息生命周期管理、可移植性和互操作性;運行方面包括:傳統安全以及業務連續性和災難恢復、數據中心運行、應急響應以及通告和補救、應用安全、加密和密鑰管理、身份和訪問控制、虛擬化。
其中治理方面的內容主要解決云計算環境的戰略和策略,運行方面的內容則更關注具體的安全架構的實現以及解決方案。

CSA 云計算關鍵領域安全指南適用于指導組織開展云計算安全治理和管理工作。


云立方體模型

云立方體模型從安全系統的角度,在數據的物理位置、云相關技術和服務的所有關系狀態、應用資源和服務時的邊界狀態、云服務的運行和管理者4個影響安全系統的維度上分成了16種可能的云計算形態,如下圖所示:


緯度1:內部/外部,這個維度主要指的是數據物理位置相關的安全特性;維度2:隱私/開放,這個維度表達的是技術路線;維度3:便捷化/去便捷化架構,這個維度表達的是體系理念,即邊界的變化;維度4:自供/外包,這個維度表達的是運維管理;

云立方體定義的云形態維度主要用于商業決策,但對技術的概述還相對薄弱。


云計算服務安全指南和云計算服務安全能力要求

美國政府為了安全的采用云計算服務,于2012年6月啟動了“聯邦風險和授權管理項目”,其核心思想是由聯邦政府統一對那些計劃為聯邦政府部門提供云計算的云服務商進行安全評估。同時,將評估結果保存到統一的信息庫中,供需要采購云計算服務的聯邦政府部門使用,大大減少重復安全評估的工作。

出于同樣的目的,我國政府也在2014年組織人員編寫并發布了GB/T 31167《信息安全技術云計算服務安全指南》和GB/T 31168《信息安全技術云計算服務安全能力要求》兩個國家標準。其中,GB/T 31167《信息安全技術云計算服務安全指南》面向政府部門,提出了使用云計算服務時信息安全管理和技術要求,尤其是使用社會化的云計算服務時,應特別關注的安全問題。

包括:指導政府部門做好采用云計算服務的前期分析和規劃,從而選擇合適的云服務商;指導政府部門對云計算服務進行運行監管;指導政府部門考慮退出云計算服務和更換云計算服務商的風險;指導政府部門在云計算服務的生命周期采取相應的安全技術和管理措施,保障數據和業務的安全,安全使用云計算服務;GB/T 31168《信息安全技術云計算服務安全能力要求》面向云服務商,提出云服務商向政府部門提供服務時應具備的安全能力要求,要求分為一般要求和增強要求。

等級保護對采用云計算技術的信息系統的擴展安全要求

談及云計算安全標準就不能不探討一下基于云計算的等級保護工作。等級保護是我國對重要信息系統進行安全評估和建設的主要依據,從2014年起,公安部就陸續組織相關研究單位開始編寫針對云計算的等級保護擴展要求標準,到現在為止,已經基本編寫完成,并下發到全國測評機構參考執行。

云計算環境下的等級保護把實施對象分成了云平臺和租戶業務系統兩個部分,云平臺的等級不低于承載的租戶業務系統的等級。那么對于云平臺建設方、云平臺運營方和租戶方分別要做哪些事情,來保障云平臺和業務系統滿足等級保護的要求呢?


總體來說,云平臺不僅需要建設自身符合要求的保護能力,還需要建設一套能夠提供租戶業務系統相關要求的保護能力,當租戶需要時,可以向云平臺運營方申請購買相關安全保護措施。
首先,云平臺的建設方應該保障基礎設施和網絡架構滿足等級保護基本要求中的條款和云計算擴展要求中的所有條款,比如供業務運行和數據處理及存儲的物理設備位于中國境內;登錄Hypervisor、云管理平臺等的管理用戶進行相應等級身份鑒別;進行遠程管理時,管理終端和云平臺邊界設備之間應建立雙向身份驗證機制等。

其次,云平臺運營方應該建設一套能夠提供租戶業務系統需要的保護能力,這包括可以讓租戶在虛擬化網絡邊界、不同等級的網絡區域邊界部署訪問控制機制,設置訪問控制規則;允許云租戶設置不同虛擬機之間的訪問控制策略;租戶遠程管理時,管理終端和云計算平臺邊界設備之間應建立雙向身份驗證機制;根據云服務方和云租戶的職責劃分,租戶能夠收集其自控制部分的審計數據,實現租戶控制部分的集中審計等。


最后,租戶應該根據其云上業務系統的安全等級要求,向云平臺運營方要求獲得相應的安全防護措施,這些安全措施應該能夠很好的滿足等級保護標準的具體要求,并要求云平臺運營方協助租戶在本地保存其業務數據的備份。 深信服不僅是業內云計算技術提供商,在云安全方面也積極進行技術創新,同時結合業內先進的云安全模型和標準,提出了針對云平臺和云上業務系統的整體解決方案。 針對云平臺的基礎設施和網絡架構的安全要求,深信服提出了以下一代防火墻、上網行為管理、應用交付、SSL VPN等產品為核心構建的整體解決方案,幫助云平臺的建設方建設一套滿足等級保護標準要求的云計算數據中心;針對租戶業務系統的安全要求,深信服和云平臺運營方共同建設的安全資源池可以向租戶提供滿足等級保護三級的安全保護措施,租戶只要根據自己的需求向云平臺運營方申請即可。


等級保護2.0系列標準即將發布,等級保護將全面保障關鍵信息基礎設施安全,相信隨著這樣的變化,會有越來越多的實踐經驗出現。深信服將會在未來跟大家分享更多的云計算環境下的等級保護實踐經驗。

©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

粵公網安備

粵公網安備44030502002384號

陕西十一选五开奖结果走势图