云计算环境下解读等级保护2.0
伴随着网络安全法的出台,等级保护工作进入2.0时代,其中最引人注目的变化:
等级保护对象从原来单纯的信息系统拓展到了很多个领域,其中云计算系统是等级保护重点要关注的一个领域;
等级保护的标准体系也进行了大的升级,在原等级保护核心标准(基本要求、测评要求、设计要求)的基础上,进行重新修订,整个标准体系制定为一个矩阵,针对每一个特定的安全领域,做了相应的扩展要求,比如云计算领域,制定云计算扩展要求。
在这种情况下,云等保如何落地?云服务商该如何做?云租户该如何做?
不同的服务模式下,不同责任主体的责任也是不同的。云服务商,云租户的责任划分需要明晰。
云等保不是新鲜的事物,而是在原等保框架下对新事物的扩展,云计算架构之下,等级保护依然需要落地,包括定级、备案、建设整改、等级测评、监督检查五个规定动作。不同的是等保框架下新增加的元素需要对原有等级保护相关工作的具体内容进行扩充并统一。
一、系统的定级;
传统的信息系统,强调分区分域、纵深防御,网络架构伴随业务变化而变化,系统各组件能与硬件紧耦合。信息系统的系统划分其实是以物理网络/安全设备为边界的硬件设备的划分。
云的环境下,把虚拟边界作为系统定级的变界。云计算系统网络架构扁平化,业务应用系统与硬平台松耦合。信息系统的系统划分,单纯的以物理网络/安全设备为边界的划分方法无法体现出业务应用系统的逻辑关系,无法体现对业务信息安全和系统服务安全。
定级需要从业务应用的角度出发,梳理有哪些业务应用,及对应哪些模块。
常见的场景有两种:
场景一:如每种应用都需要使用物理基础支撑平台,则业务应用系统可不包含基础支撑的物理硬件部分,根据业务应用的关联性,进行切分定级。像很多公共云就是这种状态,如果定级系统C的运行主体是云服务商的话,上面就是云租户的业务应用系统。
场景二:如基础支撑平台可以对应到不同业务应用系统,则将基础支撑平台的物理设备一同划入相应定级系统。就是业务应用是可以跟承载的硬件平台有对应关系的,比如说某一个应用固定的使用一堆的硬件服务器,独立成一个平台,那这个时候就可以一刀切,作为一个单独的定级系统。比如说我们可以在定级系统B这一块还可以在切分一下,那可能这一边又变成一个小的一朵云,下面是一个云平台,上面是整个的各个的承载的业务应用系统,就是云租户的系统。
在定级当中存在两个重要误区:
误区一:我的系统已经上云了,系统就不用去定级了?
答案是不行,要分开定级,新的定级指南里明确说明,云计算平台和云上的租户应用系统要分开定级。
误区二,云平台的等级跟云租户的等级没有关系
云平台的等级要不低于云上租户的业务应用系统的最高级。且,明确规定“国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级”。比如一个互联网金融公司,运营的系统定到了四级,那么选择上的云平台必须是四级的云平台,如果去三级的云平台去备案的时候会遇到一些问题,而且即便是上了以后,云平台在监管这块也是是不合规的。
二、备案
去哪备案?传统的系统备案很简单,IT基础设施、运维地点、工商注册地基本上都是一致的,很明确,直接去所在地市局、网安或者是分局去备案就可以。但是云的这种状态下,特别是对于云服务商来讲就比较典型了,工商注册地、办公地点都不一样。这个时候怎么办?所以我们现在有这样一个原则,对于云上的系统,不管是云平台还是云租户,都以你的运维人员的所在地为备案地点。原因与公安机关方便监管相关,案件发生后,公安机关需要运维人员配合去调取相关证据,做证据固定、数据采集。
三、建设整改
云计算系统等级保护标准制定专家建议可以从这几个方面入手,
1、思维,统一思维去考量,统一认证、统一账户管理、统一授权,统一安全审计。其中关于安全审计方面,标准条款里有明确要求,主机的安全审计、网络的审计、数据库的安全审计都必不可少。
2、侧重动态监测预警、快速应急响应能力建设以及服务安全产品合规,如果想自己搭一个私有云的话,那么建议一定要有这样的能力。
3、重点保护的就是业务数据安全和用户的隐私安全。数据安全这块真的是很重要。在安全扩展里有明确要求,一个就是数据库的安全审计。要求云服务商开放第三方接口,支持第三方的安全审计的产品接入;还有一个就是对于云租户,同样要求要有自己的审计;在做云租户的系统检查或者测评的时候,一样要看你有没有做安全审计。
四、测评
云计算系统保护措施通常是以系统整体能力体现,云计算安全扩展要求作为全局对待,在报告结构上等同于全局测评,各测评项不再重复对应一个或多个测评对象。