云计算平台系统等级保护建设,不仅要满足安全通用要求,同时要满足云计算安全扩展要求。
等保2.0对云计算安全建设的要求主要体现在以下几个方面:
此外,等保2.0还针对云计算的特点,提出了特殊保护要求,包括基础设施的物理安全、网络安全、主机安全、应用安全和数据安全等方面。这些要求都是为了确保云计算环境的安全性和稳定性。
等保2.0体系下云计算平台合规框架 = 安全通用要求 + 云计算安全扩展要求
责任主体一分为二,共担安全责任。
1、云服务商;2、云租户;
不同云服务模式,云服务商和云租户承担安全的责任边界也不同,如: laaS服务中,云服务商与云租户的责任边界位于虚拟环境与资源抽象控制层之间,之下由云服务商建设并担责,之上有云租户建设并担责。
云计算平台不得承载高于平台等级的信息系统;如云平台系统定级三级,那
么之上只能承载三级及三级以下的业务系统。
注解:
在IaaS模式下,云服务商主要负责提供基础设施服务,包括计算、存储和网络等。因此,云服务商的安全责任主要包括以下几个方面:
a. 基础设施安全:云服务商需要确保基础设施的安全性,包括物理安全、网络安全、主机安全等方面。这需要云服务商建立完善的安全管理制度和安全审计制度,定期对基础设施进行安全检查和漏洞扫描。
b. 虚拟化安全:云服务商需要保证虚拟化计算资源的安全性,防止虚拟机之间的攻击和泄露。这需要云服务商采用安全的虚拟化技术和隔离措施,确保不同云服务客户之间的虚拟网络隔离和通信安全。
c. 数据安全:云服务商需要保证云服务客户数据的安全性,包括数据的保密性、完整性和可用性。这需要云服务商采用加密技术、访问控制技术等措施,确保云服务客户数据的安全存储和传输。
云租户的安全责任主要包括以下几个方面:
a. 应用安全:云租户需要保证自己开发和部署的应用的安全性,防止应用被攻击和泄露。这需要云租户采用安全的开发技术和部署措施,对应用进行漏洞扫描和安全测试。
b. 运行环境安全:云租户需要保证自己部署的操作系统、运行环境和应用的安全性,防止被攻击和泄露。这需要云租户采用安全的配置和管理措施,对运行环境进行漏洞扫描和安全测试。
c. 账号和密码安全:云租户需要保证自己的账号和密码的安全性,防止被他人盗用和攻击。这需要云租户采用安全的登录方式和密码保护措施,定期对账号和密码进行更换和加密。
在PaaS模式下,云服务商主要负责提供应用程序开发和部署所需的平台和工具。因此,云服务商的安全责任主要包括以下几个方面:
a. 基础设施安全:云服务商需要确保基础设施的安全性,包括物理安全、网络安全、主机安全等方面。这需要云服务商建立完善的安全管理制度和安全审计制度,定期对基础设施进行安全检查和漏洞扫描。
b. 平台安全:云服务商需要保证提供的开发和部署平台的安全性,防止平台被攻击和泄露。这需要云服务商采用安全的开发技术和部署措施,对平台进行漏洞扫描和安全测试。
c. 数据安全:云服务商需要保证云服务客户数据的安全性,包括数据的保密性、完整性和可用性。这需要云服务商采用加密技术、访问控制技术等措施,确保云服务客户数据的安全存储和传输。
云租户的安全责任主要包括以下几个方面:
a. 应用安全:云租户需要保证自己开发和部署的应用的安全性,防止应用被攻击和泄露。这需要云租户采用安全的开发技术和部署措施,对应用进行漏洞扫描和安全测试。
b. 运行环境安全:云租户需要保证自己部署的运行环境的安全性,防止被攻击和泄露。这需要云租户采用安全的配置和管理措施,对运行环境进行漏洞扫描和安全测试。
c. 账号和密码安全:云租户需要保证自己的账号和密码的安全性,防止被他人盗用和攻击。这需要云租户采用安全的登录方式和密码保护措施,定期对账号和密码进行更换和加密。
在SaaS模式下,云服务商主要负责提供软件应用程序和相关的数据存储、备份和安全防护等服务。因此,云服务商的安全责任主要包括以下几个方面:
a. 基础设施安全:云服务商需要确保基础设施的安全性,包括物理安全、网络安全、主机安全等方面。这需要云服务商建立完善的安全管理制度和安全审计制度,定期对基础设施进行安全检查和漏洞扫描。
b. 应用安全:云服务商需要保证提供的软件应用程序的安全性,防止应用被攻击和泄露。这需要云服务商采用安全的开发技术和部署措施,对应用进行漏洞扫描和安全测试。
c. 数据安全:云服务商需要保证云服务客户数据的安全性,包括数据的保密性、完整性和可用性。这需要云服务商采用加密技术、访问控制技术等措施,确保云服务客户数据的安全存储和传输。
云租户的安全责任:
a. 账号和密码安全:云租户需要保证自己的账号和密码的安全性,防止被他人盗用和攻击。这需要云租户采用安全的登录方式和密码保护措施,定期对账号和密码进行更换和加密。
b. 数据安全:云租户需要保证自己上传和存储的数据的安全性,包括数据的保密性、完整性和可用性。这需要云租户采用加密技术、访问控制技术等措施,确保数据的安全存储和传输。
c. 应用程序使用安全:云租户需要保证自己使用应用程序的安全性,防止因不当使用导致的安全问题。这需要云租户遵守云服务商提供的使用规范和最佳实践,定期对应用程序进行安全检查和漏洞扫描。
d. 业务连续性计划:云租户需要制定和实施业务连续性计划,以防止因各种原因导致的服务中断或数据丢失。这需要云租户了解云服务商提供的备份恢复措施和高可用性技术,并根据自身业务需求制定适合自己的业务连续性计划。
云租户安全: 云上数据安全、云上应用安全、虚拟网络安全、虚拟主机安全。
云平台安全: 云资源安全和物理资源安全,其中云资源安全分为云管平台安全、云计算安云存储安全、云网络安全,物理资源安全分为宿主机和物理网络安全、机房与环境安全。
下一代防火墙是一种新型的防火墙产品,具备传统防火墙的功能,同时还具备应用层识别和控制、用户身份识别、威胁检测与防御等高级功能。NGFW可以通过深度包检测(DPI)技术识别和控制各种网络应用,有效防止应用层攻击;还可以通过用户身份识别技术控制网络访问权限,提高网络安全性。
云WAF是一种基于云计算的Web应用防火墙,可以保护Web应用程序免受各种攻击,如SQL注入、跨站脚本攻击(XSS)、文件上传漏洞等。云WAF通过检测和分析HTTP/HTTPS流量中的恶意行为,可以及时发现并阻止针对Web应用程序的攻击。
主机安全及管理产品可以提供对服务器和终端的全面保护,包括防病毒、防恶意软件、漏洞扫描和修复、访问控制等功能。这些产品可以通过实时监控和检测服务器和终端的安全状态,及时发现和处理安全问题,提高整个系统的安全性。
网页防篡改产品可以保护Web页面不被篡改或挂马,保障网站的正常运行和用户的数据安全。这些产品通过实时监控网页内容的变化,及时发现和处理被篡改的网页,同时还可以对网页进行备份和恢复,降低因网页被篡改带来的损失。
云堡垒机是一种基于云计算的访问控制设备,可以对云服务器和应用程序进行集中的身份验证和访问控制。这些产品可以通过多因素身份验证、访问控制列表等技术手段,保证只有经过授权的用户才能访问和使用云服务。
云综合日志审计产品可以对云环境中的日志进行全面收集和分析,帮助用户了解云服务的运行情况和安全状况。这些产品可以通过对日志的挖掘和分析,发现潜在的安全问题和异常行为,提高整个系统的安全性。
云综合漏洞扫描产品可以对云服务器和应用程序进行全面的漏洞扫描和评估,帮助用户及时发现和处理安全问题。这些产品可以通过对各种漏洞的扫描和评估,提供针对性的修复建议和措施,降低因漏洞带来的安全风险。
云数据库审计产品可以对云数据库进行全面审计和监控,帮助用户了解数据库的运行情况和安全状况。这些产品可以通过对数据库操作的监控和分析,发现潜在的安全问题和异常行为,提高整个系统的安全性。