云計算服務大大節(jié)省了人力���,提高了工作效率�。目前越來越多的單位系統(tǒng)采用云上部署���。云模式逐漸成為很多企業(yè)的重要選擇��,如何保證云上業(yè)務系統(tǒng)的安全�,已經(jīng)成為每一個上云企業(yè)必須面對的問題���。目前我國實行網(wǎng)絡安全等級保護制度���,通過落實等級保護制度可以全面提升云上系統(tǒng)的安全水平����。
目前云計算主要分為三種服務模式:IaaS(基礎設施即服務)����、PaaS(平臺即服務)、SaaS(軟件即服務)����。
IaaS模式提供服務器、網(wǎng)絡���、磁盤存儲和數(shù)據(jù)中心等按需支付的計算資源����。比如:Amazon Aws Ec2云主機�,阿里云ECS服務器。
PaaS模式提供軟件和工具�����,讓開發(fā)人員更容易快速創(chuàng)建Web或移動應用����。比如:Microsoft Azure�����、Sina App Engine。
SaaS模式提供的是應用軟件�,SaaS云服務客戶通過網(wǎng)絡訪問、使用該軟件�����。比如:SaaS IM����、Office 365.
SaaS模式下租戶能管理的只有業(yè)務應用系統(tǒng)跟業(yè)務數(shù)據(jù),故SaaS模式下業(yè)務應用相關(guān)的安全配置���、用戶訪問��、用戶賬戶以及數(shù)據(jù)安全的防護��、云服務安全策略配置由云租戶負責���。其他部分由云平臺服務商提供等保測評報告等證據(jù)性材料進行佐證。
PaaS模式除了軟件開發(fā)平臺中間件以及應用和數(shù)據(jù)的安全防護���、云服務安全策略配置由云租戶負責外�,其他層面均由云平臺服務商負責,故Pass模式下云租戶方主要是關(guān)注系統(tǒng)開發(fā)�����、運維的安全�����,以及數(shù)據(jù)采集���、傳輸�、存儲等方面的安全����。其他部分由云平臺服務商提供等保測評報告等證據(jù)性材料進行佐證。
當然目前大部分企業(yè)采用的是IaaS服務模式����,即采購IaaS服務商提供的虛擬服務器、虛擬網(wǎng)絡����、磁盤存儲����,在此基礎上安裝數(shù)據(jù)庫�����、中間件����、應用程序�����,構(gòu)建本單位應用系統(tǒng)��。IaaS服務模式下���,虛擬機���、數(shù)據(jù)庫、中間件��、業(yè)務應用和數(shù)據(jù)的安全防護、云服務安全策略配置由部署在云平臺的系統(tǒng)責任單位(租戶)管理��,故此部分安全責任由租戶方負責��。IaaS服務模式的基礎架構(gòu)層硬件�、虛擬化以及云服務層由云服務提供商進行管理,故基礎設施層面的安全應由云服務提供商負責�����。
1.定級
在云計算環(huán)境中��,應將云服務商側(cè)的云計算平臺作為定級對象定級����,云服務租戶側(cè)的系統(tǒng)也需要作為等級保護對象單獨定級,同時云平臺定級應不低于其承載的等級保護對象的安全保護等級�����。比如:云平臺定為三級��,云平臺上只能承載一級到三級系統(tǒng)�。
2.備案
由于云平臺的實際物理地址往往和云租戶運營者不在同一地址,從方便屬地公安機關(guān)監(jiān)管的角度出發(fā)�,云租戶應在定級系統(tǒng)運維團隊所在地公安機關(guān)網(wǎng)安部門進行系統(tǒng)備案。
3.建設整改
云平臺需要按照等級保護基本要求跟云安全擴展要求進行建設,建立“一個中心三重防護”的理念�����。同時應關(guān)注“基礎設施的位置”��、“虛擬化安全保護”���、“鏡像和快照保護”��、“供應鏈管理”、“云計算環(huán)境管理”等云計算安全擴展要求�。以IaaS服務模式租戶為例,不管是計算資源還是安全資源����,都是按需分配。所以租戶方除了做好本身程序跟數(shù)據(jù)的安全配置����,還需要部署云平臺提供的虛擬安全服務,或者部署第三方安全服務����,以確保系統(tǒng)滿足等保安全要求。
4.等級測評
云平臺,特別是公有云平臺往往承載著各行各業(yè)的重要數(shù)據(jù)���,大部分云平臺安全級別均為三級或者三級以上��。云平臺在提供服務之前應先進行等級測評�����,確保系統(tǒng)滿足等級保護安全要求后���,再承接租戶應用的部署。部署在云上的租戶應用���,也應按照等級保護安全要求����,開展測評工作���。在開展測評工作過程中��,云服務商需給云租戶提供必要的支撐����,包括云服務商安全資質(zhì)、通過測評的證明材料等����。
5.監(jiān)督檢查
測評完成后,被測評單位應將等級保護測評報告遞交到當初備案的公安機關(guān)網(wǎng)安部門��。公安機關(guān)負責對備案系統(tǒng)的監(jiān)督����、檢查、指導工作�。
不管哪一種模式的云服務,在落實等級保護安全要求過程中�,均可以選擇專業(yè)的安全服務機構(gòu)進行安全咨詢與測評。確保系統(tǒng)能滿足等保相關(guān)要求����。
中國金融認證中心(CFCA)是一家以綜合網(wǎng)絡安全服務為核心的科技企業(yè)����,擁有國家認可的“網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書”。多年來�,服務客戶覆蓋金融、保險����、證券�����、政府機關(guān)��、教育等行業(yè)���,通過開展等級保護咨詢與測評工作,助力云平臺服務商����、云租戶滿足國家等級保護安全要求,全面提升網(wǎng)絡安全防護能力��。
