网络安全等级保护基本要求之云计算扩展要求要点梳理–绿盟科技技术博客

目前,云计算技术在国家关键信息基础设施领域的应用日益广泛。原有信息安全等级保护标准体系中标准的适用性提出挑战,防护措施、实现方法和测评方法都将有所不同。因此,根据云计算环境中的新增安全威胁和主要防范手段,在《信息安全技术网络安全等级保护基本要求第1部分:安全通用要求》进行了扩展,形成了云计算安全扩展要求(以下简称“云等保”)。

云计算:云计算本质是一种服务模式,是指通过网络提供计算资源服务的模式,在该模式下,用户按需动态自助供给、管理各类计算资源。

云服务方:云计算服务的供应方,如各类公有云、行业云的服务商;

云租户:租用或使用云计算资源的客户;

云计算平台:云服务方提供的云计算基础设施及其上的服务软件的集合;

而云计算平台和云环境系统共同组成了云计算环境;

云计算分为三种云服务模式:IaaS、PaaS、SaaS;

IaaS基础设施即服务

云服务方向云租户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式

PaaS平台即服务

SaaS软件即服务

云服务方向云租户提供运行在云基础设施之上的应用软件的服务模式。

在不同的云计算服务模式中,云服务方和云租户拥有不同的控制范围,控制范围则决定了安全责任的边界。

这里列举了不同服务模式下云服务方和云租户的安全责任;

在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。

而对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

同时云计算平台不承载高于其安全保护等级的业务应用系统;

云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云租户不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址;对于云租户来说,应当在云租户云环境系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。

我们梳理了云等保的整个流程,并给出了各个角色的职责和阶段任务。

其中对于云服务商,一方面需要对自己的云平台进行定级、备案、建设整改、测评等一系列流程,还需给云租户提供必要的支撑,包括云服务商安全资质、通过测评的证明材料等。

前面也提到,对于大型云计算平台,很难确定云平台的具体物理地址,虽然按照云计算的定义,云客户(云租户)通常不必知晓和控制资源的确切物理位置,但应能够在一个更高的抽象层次上(比如说国家、州或者数据中心)指定资源位置。

在云等保中也明确要求:

基础设施位于境内:云计算基础设施位于中国境内;

数据存储于境内:云等保数据保密性要求从二级开始加入“确保云租户账户信息、鉴别、系统信息存储于中国境内。”

云平台的安全是云计算环境安全稳定运行的基础,云等保对于云平台的安全要求,总结有三点:

云计算运用了虚拟化等技术将资源量化进行重新分配并交付给用户,资源的有效隔离非常重要,之前影响全球的Intel处理器Meltdown及Spectre漏洞在云环境下就会产生极大的影响;

云等保对于云计算环境下资源隔离的要求,总结如下:

1、应对虚拟机逃逸行为进行检测和告警;

2、禁止虚拟实例直接访问宿主机上的物理硬件;

3、不同虚拟机之间的虚拟CPU指令隔离;

4、应保证分配给虚拟机的内存空间仅供其独占访问;

5、应根据云租户业务系统的重安全等级划分网络安全区域并设置区域间访问控制规则;

6、应保证云平台管理流量与云租户业务流量分离;

7、应保证虚拟机仅能迁移至相同安全保护等级的资源池

数据安全是网络安全永恒的话题,云计算环境中数据存储在云平台中,对数据的感知、迁移及数据保密性、可用性、完整性都有更高层次的要求:

1、用户可感知

应提供查询云租户数据及备份存储位置的方式;

2、用户可迁移

应保证云租户业务及数据能移植到其他云平台或者迁移到本地信息系统;

3、虚拟机安全

确保虚拟机迁移过程中的完整性保护和信息防泄漏

4、镜像安全

对虚拟机快照文件进行保密性保护

传统系统在进行等级保护测评时依据《安全通用要求》,云系统依据《安全通用要求》+《云计算安全扩展要求》,在测云服务方的云计算平台上的定级系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云计算平台的部分指标;在测云租户业务应用系统时,应选择全部《安全通用要求》+《云计算安全扩展要求》中适用于云租户业务系统的部分指标。也从机制上鼓励云服务方努力加强云平台自身的安全防护,也使得云租户在选择云平台的时候不要只考量经济成本,尽量选择安全防护更好的云计算平台。

THE END
1.云端革命:探索现代XX即服务(XaaS)模型全景3. 平台即服务(Platform as a Service, PaaS) 定义:PaaS 是一种云服务模型,提供开发人员所需的平台和工具,以便他们可以构建、测试、部署和管理应用程序。 PaaS 是一种云服务模型,为开发人员提供了一个完整的平台,用于构建、部署和管理应用程序。PaaS 提供了操作系统、编程语言执行环境、数据库和Web服务器等工具和https://blog.csdn.net/m0_51161506/article/details/137264198
2.什么是PaaS?平台即服务MicrosoftAzure无需增员便可提高开发能力。平台即服务组件可以拓展开发团队的能力,让你无需增加具有必需技能的员工。 更轻松地针对多种平台进行开发,包括移动平台。某些服务提供商提供了针对多种平台(例如计算机、移动设备和浏览器)的开发选项,让你能够更快速、更轻松地开发跨平台应用。 https://azure.microsoft.com/zh-cn/overview/what-is-paas/
3.平台即服务(PlatformasaService,PaaS)开发用户平台即服务(Platform as a Service,PaaS)是云计算服务的一种重要模式,它位于基础设施即服务(IaaS)和软件即服务(SaaS)之间。以下是对平台即服务的详细解释: 一、定义 平台即服务(PaaS)是指将支撑平台,包括编程语言、操作系统和软件工具等,作为一种服务提供给用户使用,使用户能够把自己获取或创建的应用部署到该平台https://www.sohu.com/a/840536390_122128459
4.云计算的三个主要服务模型:IaaSPaaS和SaaS简介: 云计算的三个主要服务模型:IaaS、PaaS 和 SaaS 云计算是一种基于网络的计算模型,通过共享的计算资源,提供了按需获取、快速扩展和灵活使用计算资源的能力。在云计算中,存在三个主要的服务模型,分别是基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS): 介绍 基础设施即服务(Infrastructure as a https://developer.aliyun.com/article/1377320
5.什么是PaaS(平台即服务)?Akamai平台即服务 (PaaS) 是一种云计算服务模式,在该模式下第三方提供商可以通过互联网连接以服务形式提供对硬件和软件工具的访问。大多数 PaaS 解决方案都会为软件开发团队提供应用程序开发工具和环境,让这些团队能够开发、部署、运行和管理应用程序。PaaS 提供商负责管理硬件和软件,并提供客户进行应用程序开发所需的一切,让https://www.akamai.com/zh/glossary/what-is-paas
6.什么是PaaS(平台即服务)?与IaaS和SaaS有何不同PaaS(平台即服务)将服务器、存储和网络基础设施与部署应用程序所需的软件相结合。使用PaaS,您无需投资本地硬件或担心设置虚拟环境来处理您的应用程序。 早在2020年底,就将近85%的组织将大部分工作负载放在“云”中。然后,这些公司可以使用基于云的数据来个性化营销并在部门之间共享战略数据(避免孤岛)——这两个主要https://www.wbolt.com/what-is-paas.html
7.什么是平台即服务(PaaS)?平台即服务(PaaS) 是最流行的云计算模型之一。它允许开发人员构建、测试和部署应用程序,而无需担心底层基础设施。仔细研究 PaaS 以及它如何使您受益。 什么是平台即服务(PaaS)? 平台即服务 (PaaS) 是一种云计算模型,旨在为开发人员提供构建应用程序所需的工具,同时减少在基础设施上的花费。这使得 PaaS 对于想要专https://www.mfisp.com/17756.html
8.一文搞懂SaaSPaaSIaaS的概念和异同腾讯云开发者社区2 PaaS-平台即服务 PaaS是平台即服务,英文全称是Platform as a Server。 概念:利用云端搭建好操作系统或软件层面的如数据库、中间件等供用户使用,使得用户无需关注底层的基础设施和运行环境,只需要利用这些环境运行自己的应用和数据。 举例:就好比学校要使用我的就业管理系统进行管理,但是不想自己搭建机房和环境,所以https://cloud.tencent.com/developer/article/2365009
9.第29站平台即服务模式(PaaS)平台即服务(Platform as a Service,简称PaaS)是云计算三种服务模式之一,处于云计算服务架构的中间层(如图1所示),其中包含了应用程序的开发、部署、测试所需的各种工具。PaaS不仅为个人或企业用户提供基础计算能力,还进一步开放其应用接口、开发环境和运行环境等资源,用户可以使用平台定制开发自己的应用程序,然后利用互联网https://www.jianshu.com/p/1280a1b7e0b4
10.平台即服务(PaaS)Dell中国如今,许多企业纷纷采用平台即服务 (PaaS) 解决方案来加快下一代应用程序的开发、部署和优化。 PaaS 技术可以大幅降低成本并简化运营。但是对于 IT 团队来说,采用平台即服务解决方案可能让复杂性雪上加霜,因为管理多个公有云、私有云和边缘云资源已经让他们备受困扰。 https://www.dell.com/zh-cn/dt/learn/cloud/platform-as-a-service.htm
11.什么是IaaSPaaSSaaS?如何快速区分?云是一个非常广泛的概念,它涵盖了所有可能的在线服务,但是当企业参考云采购时,通常会考虑三种云服务模式,即基础架构即服务(laaS),平台即服务(PaaS)和软件即服(SaaS)。由于云系统自身的复杂性和混合模式的组合需要大量理论技巧,在不同应用场景下,也会存在各种具体的使用模式。 https://maimai.cn/article/detail?fid=643775149&efid=9LRlfmp2PjUGjGd6uZ7_CQ