等级保护作为我国网络安全法明确的重要制度,已在我国信息系统安全保驾护航中发挥着重要作用。目前,等级保护已经进入了2.0时代,“云、大、物、移、工控”纳入等保监管。
当前,按照传统等级保护技术要求实施的安全策略已经不能适应云环境的安全变化。由于云计算边界的消失,数据中心内部“东西向”威胁成为了主要的安全问题,而传统的安全设备更偏向“南北向”内外网的防护,无法保障数据中心云计算环境内的安全。除此之外,还面临着在不同云服务模式下,云平台运营方如何通过技术手段满足不同租户提出的多样化安全需求等问题。
下面针对云等保的要点进行解读:
要点一:系统定级与管理职责划分
云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任,使得云计算环境下定级工作相对比较复杂。
云计算系统的定级对象在原有定级对象基础上进行了扩展,原有定级对象主要是信息系统和相关基础网络,而云计算将定级对象扩展为云服务商的云平台和云租户的应用系统。
根据等保"谁主管谁负责、谁运营谁负责、谁使用谁负责"的原则,依据GB/T31167-2014《信息安全技术云计算服务安全管理指南》中的责任分担模型,只要这个业务应用系统不是由云服务商直接提供的,云上用户都需要对这个应用系统负责,对这个系统和数据的安全负责。
云计算系统定级时,云服务商的云平台和云租户的应用系统应分别定级,云平台等级应不低于应用系统的安全保护等级。对于公有云,定级流程为云平台先定级测评,再提供云服务。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
云计算系统定级的重点在于定级对象管理职责的划分,职责的划分根据不同云计算服务模式采取不同划分方式。
(一)对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用等。
(二)对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件,云租户的职责范围为应用。
(三)对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
云计算服务模式以及角色的不同决定着定级对象的管理职责不同,从而决定着定级的系统范围的不同。
要点二:云计算系统保护对象的扩展
由于虚拟化等新技术的应用,IaaS/PaaS/SaaS按需服务模式的引入,相对于传统信息系统,云计算系统的保护对象有所增加。云计算系统的保护对象与传统信息系统保护对象对照如下表所示,其中加黑的对象为云计算系统所特有的保护对象: