首页>>技术前沿>>网站/软件行业动态云计算的高速发展需要有等级保护措施提供基本保障。现有的许多等级保护建议和方案主要针对独立的云环境。本文阐述了云计算环境下等级保护面临的挑战,指出了当前云环境的等级保护要求研究工作的不足,提出了面向等级保护要求的云计算安全方案,并从可行性、适用性、合规性等方面进行了方案分析,为云计算安全建设提供给了参考。随着云计算技术和市场的发展,面向云计算环境下的等级保护工作需要进一步深入研究,相应的等级保护规范也需要进行动态调整。
随着网络及信息安全受到越来越多的国家和企业的重视,从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关等级保护测评等政策方面的要求,对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。
从需求层面来看,用户选择云计算服务的角度来看,因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。
不同的服务模式中,云服务方和云租户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。传统的等级保护标准主要面向静态的具有固定边界的系统环境。然而对于云计算而言,保护对象和保护区域边界都具有动态性。
当前,云计算依然面临各种安全风险。等级保护作为应对云计算安全的重要手段,得到了人们广泛的关注。对于云计算环境下的等级保护建设问题,可参照GB/T25070-2010《信息系统安全等级保护设计技术要求》,把云计算中心从用户网络接入、访问应用边界、计算环境和管理平台进行划分,构建在安全管理中心支持下的可信通信网络、可信应用边界和可信计算环境三重安全防护框架,并按照GB/17859评估准则进行评估。
云环境下的等保安全防护思路
云计算从安全域的角度,可以分为安全计算域、安全网络域和安全管理域。安全计算域是相同安全保护等级的物理主机/服务器的集合,安全网络域是由通信网络和接入网络构成。安全管理域是对整体云计算中安全事件收集与管控报警的系统平台。云计算的各安全域涵盖了云计算中的计算环境、云边界、云通信网络及管理中心,对应的安全措施如下:
(1)云计算计算环境安全
云计算计算环境包含私有云安全计算域、公共云安全计算域。其中私有云安全计算域是进行安全设备部署的重点,可采取的安全措施主要包括:4A系统、虚拟安全网关、主机加固和加密机等设备和手段。公共云安全计算域,应采取基础平台安全审查、评定,托管镜像加密和租用应用加固的安全措施,保障扩散到公共云平台上的资源、数据安全可靠。
(2)云计算边界安全
云计算边界环境由物理的接入网络边界和虚拟化网络边界组成,物理网络接入边界的防护,采取传统安全网关即可。针对虚拟化平台中,应在虚拟平台中部署虚拟安全网关进行虚拟安全边界防护。
(3)云计算通信网络安全
在云计算环境下,通信网络包括传统网络和虚拟网络两部分。对于从外部网络接入云计算中心的通信网络,应借助在网络接入边界处部署的VPN设备实现SSL、IPSEC的安全隧道通信;在云计算平台节点内部的虚拟网络,可通过部署在虚拟化平台内部的VPN组件实现安全隧道功能。
(4)云计算安全管理中心
云计算环境安全管理中心对私有云和公共云中的所属资产、资源的运行状况,以及相关行为、安全事件、安全预警等进行集中监管。通过SNMP、Syslog、ODBC、API等协议接口和数据文件,进行综合分析形成安全报表、整体安全态势报告。使得安全风险可视化、风险告警全面化和风险处置专业化,从而实现安全风险集中化管控。
【全文完】
版权声明:
1、弈聪软件网站内容中凡注明“来源:XXX(非陕西弈聪网站)”的作品,转载自其它媒体,转载目的在于传递更多信息,其中涉及的网站建设,网站优化,APP开发,微信小程序开发,大数据平台开发,区块链技术开发等软件开发技术细节并不代表本站赞同支持其观点,并不对其真实性负责。对于署名“陕西弈聪”的作品系本站版权所有,任何人转载请署名来源,否则陕西弈聪将追究其相关法律责任。
2、本站内容中未声明为“原创”的内容可能源自其它网站,但并不代表本站支持其观点,对此带来的法律纠纷及其它责任与我方无关。如果此内容侵犯了您的权益,请联系我方进行删除。
企业动态
