云计算定级方法
GB/T 22240—2020信息安全技术 信息系统安全等级保护定级指南关于云计算的定级对象规定:
▶ 云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
▶ 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
在针对云计算系统/平台作为定级对象时,需注意:
云服务商侧的云计算平台/系统作为定级对象时,首先需满足云计算形态,能够为云服务客户提供服务;
云服务客户侧的等级保护对象作为定级对象时,需使用了云计算平台提供的服务。
云计算定级对象
基于不同服务模式下云安全责任的划分,云服务商侧的云计算平台和云服务客户侧的业务系统分别作为定级对象。
在云计算环境下,云计算等级保护对象有:
1) 云计算平台,即云服务商提供的云基础设施及其上的服务层软件的组合;
云服务商根据不同的云计算服务模式将云计算平台划分为不同的定级对象,有云计算基础服务平台(IaaS平台)、 云计算数据和开发平台(PaaS平台)以及云计算应用服务平台(SaaS平台)。
2) 云服务客户业务应用系统
通常情况云服务客户业务应用系统包括云服务客户部署在云计算平台上的业务应用和云服务商为云服务客户通过网络提供的应用服务。
3) 云计算技术构建的业务应用系统
一类系统为云计算形态,无租户概念,对于此类系统应将业务应用和为此业务应用独立提供底层云计算服务、硬件资源的组合打包定级。
此外,对于大型的云平台(公有云)可将辅助服务系统(如CDN系统、运维、运营系统)进行单独的定级,该类系统可能为传统信息系统,也可能为云服务客户业务应用系统。
在云计算环境中,对云计算系统/平台的定级对象大致可以分为下列几类:
云扩展要求适用性
云计算扩展要求是针对云计算形态的等级保护对象在满足网络安全等级保护通用要求的基础上,需额外满足的要求。
基于“权责一致”、“安全管理责任不变,数据归属关系不变”的原则,云服务商和云服务客户需根据各自承担的安全责任考虑相应的云扩展要求,建设相应的安全防护能力。根据云计算扩展要求的安全能力的分析,总结了三大原则对云计算扩展要求条款的适用性进行说明。
1) 适用于云服务商
云计算的本质是服务,云服务商在保障自身云平台安全的基础上,同时需为云服务客户提供全面的安全服务能力。针对云计算扩展要求中关于保障云平台自身安全和要求其提供安全服务能力的条款,适用于云服务商,即云计算平台。
2) 适用于云服务客户
云服务客户在选择云平台时,需考虑云平台的综合能力,合理选择云服务商,搭建安全的云上系统,即扎好自己的“篱笆”。针对云计算扩展要求中关于云服务商的选择类的条款,考虑到云服务客户具有自主选择权,因此该类条款适用于云服务客户,即云服务客户系统。
3) 适用于云服务商和云服务客户
基于“权责一致”原则,云服务商和云服务客户各自对其承担安全责任主体的保护对象进行安全防护。针对云计算扩展要求中关于云服务商和云服务客户均有涉及保护对象的条款,因双方需对各自“篱笆”内的资产进行保护,所以这类条款适用于云服务商和云服务客户。
基于上述三原则对云计算扩展要求条款适用性的分析,有下列结论:
星辰云安全管理平台
安全措施
星辰云安全管理平台具备下列四种安全防护措施:
▶ 串行防护资源池:vFW、VIPS、vWAF (流量清洗后回注)
▶ 旁路检测资源池:vIDS、vDBA (只检测不回注)
▶ 安全服务资源池:漏扫、配置核查 (网络可达)
▶ 安全管理资源池:态势感知、主机防火墙管理中心、杀毒软件管理中心,在用户主机上安装部署客户端。
星辰云安全管理平台已适配18类安全网元:
安全资源池部署方式
私有云平台(IaaS)安全解决方案
保护对象
私有云平台(IaaS)的安全保护对象包括云平台物理基础设施、底层硬件基础设施(网络设备、安全设备、服务器)、网络架构、物理网络边界、虚拟网络边界云产品(服务)服务器(虚拟机)、宿主机、终端、云管理平台等。
需求分析
● 安全需求
网络运营者从等级保护对象自身出发,考虑云计算可能面临的威胁,确认为规避风险需采取的安全措施。
● 业务特殊性需求
基于云平台的行业属性及服务的业务特性,网络运营者基于重点保护原则,规划较强的安全防护措施,保障业务的安全性。
● 合规性要求
根据等级保护对象安全保护级别,确定相应等级所需要的安全措施,确保所设计、规划的安全措施能够满足网络安全等级保护基本要求,私有云平台需满足等级保护通用要求和云扩展要求中适用于云服务商的条款。
解决方案
私有云平台(IaaS)安全解决方案基于安全技术、安全管理和安全运营体系,安全技术围绕“一个中心、三重防护”的纵深防御体系,保障云平台安全运行的基础保障,结合星辰云安全管理平台保障云内“东西向”环境安全,安全管理体系覆盖安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五部分。
安全运营体系在“安全管理中心”的基础上,利用云安全管理平台,并协调信息系统各个环节所采用的安全防护措施和安全管理要素,实现对安全事件的态势感知、实时监测、及时响应和综合防护。
产品部署/网络拓扑图
安全技术措施:
● 安全通信网络:安全域划分、区域边界隔离、通信传输加密;
● 安全区域边界:安全准入(出)、访问控制(设备、策略)、入侵防范设备、策略、恶意代码防范、安全审计(网络行为)、东西向流量防护;
● 安全计算环境:服务器/虚拟机安全加固、漏洞扫描、安全审计、数据安全;
● 安全管理中心:统一管理、资源/安全风险集中管控。
优势
启明星辰集团安全产品覆盖了PPDR安全防御体系的各个环节,在设备形态上表现为硬件、软件、VNF、SecaaS、资源池等多种方式。本方案基于检测、防护、审计、平台类等全线产品保障云平台基础安全,通过引流、导流、服务链编排等方式,利用云安全管理平台(安全资源池)实现“流量清洗、监测、检测”,且安全管理平台与云管理平台的高度融合,一平台同时管理两个不同平台,提升运维能力。针对多租户的云平台,通过VTAP深入云平台主机节点上,把云服务客户东西向和南部向流量导流到安全资源池实现全部检测、审计,可保障租户间安全数据隔离、虚拟网络边界安全防护,提供东西向和南北向的综合安全防护能力。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
