網絡安全等級保護云計算安全解決方案
作者:啟明星辰
2020-09-03
云計算定級方法
GB/T 22240—2020信息安全技術 信息系統安全等級保護定級指南關于云計算的定級對象規定:
? 云計算環境中�����,云服務客戶側的等級保護對象和云服務商側的云計算平臺/系統需分別作為單獨的定級對象定級���,并根據不同服務模式將云計算平臺/系統劃分為不同的定級對象����。
? 對于大型云計算平臺�����,宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象�����。
在針對云計算系統/平臺作為定級對象時��,需注意:
云服務商側的云計算平臺/系統作為定級對象時����,首先需滿足云計算形態�,能夠為云服務客戶提供服務����;
云服務客戶側的等級保護對象作為定級對象時��,需使用了云計算平臺提供的服務�����。
云計算定級對象
基于不同服務模式下云安全責任的劃分�����,云服務商側的云計算平臺和云服務客戶側的業務系統分別作為定級對象�。
在云計算環境下��,云計算等級保護對象有:
1) 云計算平臺����,即云服務商提供的云基礎設施及其上的服務層軟件的組合����;
云服務商根據不同的云計算服務模式將云計算平臺劃分為不同的定級對象��,有云計算基礎服務平臺(IaaS平臺)��、 云計算數據和開發平臺(PaaS平臺)以及云計算應用服務平臺(SaaS平臺)��。
2) 云服務客戶業務應用系統
通常情況云服務客戶業務應用系統包括云服務客戶部署在云計算平臺上的業務應用和云服務商為云服務客戶通過網絡提供的應用服務�。
3) 云計算技術構建的業務應用系統
一類系統為云計算形態��,無租戶概念�,對于此類系統應將業務應用和為此業務應用獨立提供底層云計算服務���、硬件資源的組合打包定級���。
此外�����,對于大型的云平臺(公有云)可將輔助服務系統(如CDN系統����、運維���、運營系統)進行單獨的定級��,該類系統可能為傳統信息系統�,也可能為云服務客戶業務應用系統��。
在云計算環境中�,對云計算系統/平臺的定級對象大致可以分為下列幾類:
云擴展要求適用性
云計算擴展要求是針對云計算形態的等級保護對象在滿足網絡安全等級保護通用要求的基礎上���,需額外滿足的要求�����。
基于“權責一致”�����、“安全管理責任不變��,數據歸屬關系不變”的原則�,云服務商和云服務客戶需根據各自承擔的安全責任考慮相應的云擴展要求����,建設相應的安全防護能力����。根據云計算擴展要求的安全能力的分析�,總結了三大原則對云計算擴展要求條款的適用性進行說明�。
1) 適用于云服務商
云計算的本質是服務�,云服務商在保障自身云平臺安全的基礎上���,同時需為云服務客戶提供全面的安全服務能力���。針對云計算擴展要求中關于保障云平臺自身安全和要求其提供安全服務能力的條款��,適用于云服務商�����,即云計算平臺��。
2) 適用于云服務客戶
云服務客戶在選擇云平臺時����,需考慮云平臺的綜合能力��,合理選擇云服務商���,搭建安全的云上系統���,即扎好自己的“籬笆”�。針對云計算擴展要求中關于云服務商的選擇類的條款�����,考慮到云服務客戶具有自主選擇權�����,因此該類條款適用于云服務客戶����,即云服務客戶系統�����。
3) 適用于云服務商和云服務客戶
基于“權責一致”原則��,云服務商和云服務客戶各自對其承擔安全責任主體的保護對象進行安全防護���。針對云計算擴展要求中關于云服務商和云服務客戶均有涉及保護對象的條款��,因雙方需對各自“籬笆”內的資產進行保護��,所以這類條款適用于云服務商和云服務客戶���。
基于上述三原則對云計算擴展要求條款適用性的分析�,有下列結論:
星辰云安全管理平臺
安全措施
星辰云安全管理平臺具備下列四種安全防護措施:
? 串行防護資源池:vFW�、VIPS����、vWAF (流量清洗后回注)
? 旁路檢測資源池:vIDS�����、vDBA (只檢測不回注)
? 安全服務資源池:漏掃��、配置核查 (網絡可達)
? 安全管理資源池:態勢感知�、主機防火墻管理中心����、殺毒軟件管理中心����,在用戶主機上安裝部署客戶端�����。
星辰云安全管理平臺已適配18類安全網元:
安全資源池部署方式
私有云平臺(IaaS)安全解決方案
保護對象
私有云平臺(IaaS)的安全保護對象包括云平臺物理基礎設施���、底層硬件基礎設施(網絡設備��、安全設備����、服務器)���、網絡架構���、物理網絡邊界�����、虛擬網絡邊界云產品(服務)服務器(虛擬機)��、宿主機����、終端���、云管理平臺等�。
需求分析
● 安全需求
網絡運營者從等級保護對象自身出發���,考慮云計算可能面臨的威脅�,確認為規避風險需采取的安全措施��。
● 業務特殊性需求
基于云平臺的行業屬性及服務的業務特性��,網絡運營者基于重點保護原則���,規劃較強的安全防護措施�����,保障業務的安全性���。
● 合規性要求
根據等級保護對象安全保護級別��,確定相應等級所需要的安全措施���,確保所設計����、規劃的安全措施能夠滿足網絡安全等級保護基本要求��,私有云平臺需滿足等級保護通用要求和云擴展要求中適用于云服務商的條款�����。
解決方案
私有云平臺(IaaS)安全解決方案基于安全技術�、安全管理和安全運營體系���,安全技術圍繞“一個中心��、三重防護”的縱深防御體系�����,保障云平臺安全運行的基礎保障�����,結合星辰云安全管理平臺保障云內“東西向”環境安全�����,安全管理體系覆蓋安全管理制度�����、安全管理機構���、安全管理人員�、安全建設管理和安全運維管理五部分����。
安全運營體系在“安全管理中心”的基礎上���,利用云安全管理平臺�����,并協調信息系統各個環節所采用的安全防護措施和安全管理要素�,實現對安全事件的態勢感知�����、實時監測�、及時響應和綜合防護����。
產品部署/網絡拓撲圖
安全技術措施:
● 安全通信網絡:安全域劃分����、區域邊界隔離���、通信傳輸加密��;
● 安全區域邊界:安全準入(出)��、訪問控制(設備���、策略)�、入侵防范設備�、策略���、惡意代碼防范�、安全審計(網絡行為)���、東西向流量防護����;
● 安全計算環境:服務器/虛擬機安全加固��、漏洞掃描����、安全審計��、數據安全�;
● 安全管理中心:統一管理�����、資源/安全風險集中管控�����。
優勢
啟明星辰集團安全產品覆蓋了PPDR安全防御體系的各個環節�,在設備形態上表現為硬件�、軟件���、VNF���、SecaaS�����、資源池等多種方式���。本方案基于檢測��、防護�����、審計���、平臺類等全線產品保障云平臺基礎安全�,通過引流�����、導流���、服務鏈編排等方式��,利用云安全管理平臺(安全資源池)實現“流量清洗�、監測����、檢測”��,且安全管理平臺與云管理平臺的高度融合����,一平臺同時管理兩個不同平臺���,提升運維能力����。針對多租戶的云平臺�����,通過VTAP深入云平臺主機節點上�,把云服務客戶東西向和南部向流量導流到安全資源池實現全部檢測��、審計�����,可保障租戶間安全數據隔離��、虛擬網絡邊界安全防護����,提供東西向和南北向的綜合安全防護能力�。
京公網安備11010802024551號