全部欧美A级在线播放,狠狠亚洲婷婷综合色香五月,国产国拍亚洲精品A∨一级,大杳焦伊人久久综合福利

湖北企業(yè)新聞網(wǎng),歡迎您!

幫助中心 廣告聯(lián)系

網(wǎng)站關鍵詞: 湖北企業(yè)新聞網(wǎng)

如何落實等保2.0云計算擴展要求,山石網(wǎng)科給出云安全建設合規(guī)方案

來源:時間:2022-09-27 11:00:28 閱讀:-

      云計算概念于2006年被Google公司正式提出,云計算模式在世界范圍內(nèi)已經(jīng)成為信息通信(ICT)行業(yè)的發(fā)展趨勢。從本質(zhì)上來說,云計算是一種以服務為特征的計算模式,它通過對各種計算資源進行抽象,以新的業(yè)務模式提供高性能、低成本的持續(xù)計算、存儲空間及各種軟件服務,支撐各類信息化應用,能夠合理配置計算資源,提高計算資源的利用率,降低成本,促進節(jié)能減排,實現(xiàn)真正理想的“綠色”計算。

      然而,云計算帶來諸多便利與優(yōu)勢的同時也給信息安全帶來了多個層面的沖擊與挑戰(zhàn)。云計算的服務計算模式、動態(tài)虛擬化管理方式以及多層服務模式等引發(fā)了新的信息安全問題;云服務級別協(xié)議所具有的動態(tài)性及多方參與的特點,對責任認定及現(xiàn)有的信息安全體系帶來了新的沖擊;云計算的強大計算與存儲能力被非法利用時,將對現(xiàn)有的安全管理體系產(chǎn)生巨大影響等。為有效應對上述安全風險,我國相關部門積極推進云計算安全標準體系的建設工作,并在各有關單位的共同努力下取得了顯著成果。


      1.等保2.0云計算安全擴展要求分析

      等級保護是我國在網(wǎng)絡安全領域?qū)嵤┑闹匾贫戎?,為使網(wǎng)絡安全等級保護系列標準能夠?qū)崿F(xiàn)與時俱進,適應新技術、新應用的發(fā)展所提出的安全需求,《網(wǎng)絡安全等級保護基本要求》2.0版本針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和大數(shù)據(jù)共5個技術領域提出了安全擴展要求。云計算安全擴展要求章節(jié)針對云計算的特點提出特殊保護要求,對云計算環(huán)境主要增加的控制點包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“云服務商選擇”、“供應鏈管理”、“云計算環(huán)境管理”等方面。以最典型和最重要的第三級安全要求為例,該標準在7個層面(5個技術層面和2個管理層面)對16個控制點提出了共46條云計算安全擴展要求項。

圖注:云計算安全擴展要求控制項目分布

      此外,云計算安全擴展要求附錄中針對應用場景進行了說明,明確指出:軟件即服務(SaaS)、平臺即服務(PaaS)、基礎設施即服務(IaaS)是三種基本的云計算服務模式。

圖注:云計算服務模式與控制范圍關系

      如上圖所示,在不同的服務模式中,云服務商和云服務客戶對計算資源擁有不同的控制范圍,控制范圍則決定了安全責任的邊界。在基礎設施即服務模式下,云計算平臺/系統(tǒng)由設施、硬件、資源抽象控制層組成;在平臺即服務模式下,云計算平臺/系統(tǒng)包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺;在軟件即服務模式下,云計算平臺/系統(tǒng)包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。不同服務模式下云服務商和云服務客戶的安全管理責任有所不同。當用戶在本地建設自己的私有云平臺,用戶需要負責設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺全部的安全保障。


      2.云計算安全建設需求分析

      由于云環(huán)境下網(wǎng)絡環(huán)境變得更加復雜、彈性和動態(tài)變化等特點,按照等保2.0標準要求,云計算安全建設需要關注并且滿足以下的需求:

      2.1 安全物理環(huán)境風險與需求分析

      由于云計算平臺的物理特性引起的網(wǎng)絡、設備和線路的不可使用,將會造成云計算平臺的不可使用,導致整個用戶云上業(yè)務的癱瘓。物理和環(huán)境安全包括機房選址、機房建設、設備設施的防盜防破壞、防火、防水、電力供應、電磁防護等,需要在數(shù)據(jù)中心機房的建設過程中嚴格按照國家相關標準進行機房建設、綜合布線、安防建設,并經(jīng)過相關部門的檢測和驗收,同時需確保云計算平臺所在位置位于中國境內(nèi)。

      2.2 安全通信網(wǎng)絡風險與需求分析

      首先云計算平臺不承載高于其安全保護等級的業(yè)務應用系統(tǒng)。云計算平臺在安全建設中需要保障云服務客戶虛擬網(wǎng)絡之間的隔離,并且根據(jù)云服務客戶需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。云計算平臺可以實現(xiàn)云服務客戶根據(jù)業(yè)務需求自主設置安全策略的能力,同時實現(xiàn)云安全管理與云計算管理的深度集成,以提供更好的用戶體驗。

      2.3 安全區(qū)域邊界風險及需求分析

      (1)訪問控制

      云服務客戶需要在虛擬化網(wǎng)絡邊界及不同的等級網(wǎng)絡區(qū)域邊界設置訪問控制機制,并設置訪問控制規(guī)則。

      (2)入侵防范

      在云計算平臺內(nèi)部能檢測云服務客戶之間、虛擬機與宿主機之間、虛擬機與虛擬機之間、虛擬網(wǎng)絡節(jié)點之間的攻擊進行告警,并且能記錄攻擊類型、攻擊時間、攻擊流量等信息。

      (3)安全審計

      云服務商和云服務客戶在遠程管理時執(zhí)行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟;云服務商對云服務客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務客戶審計。

      2.4 安全計算環(huán)境風險及需求分析

      (1)身份鑒別

      對遠程管理云計算平臺中設備時,管理終端和云計算平臺之間應建立雙向身份驗證機制。

      (2)訪問控制

      當云服務客戶虛擬機遷移時,訪問控制策略隨其遷移,云服務客戶設置不同虛擬機之間的訪問控制策略。

      (3)入侵防范

      云計算平臺安全建設應能檢測虛擬機之間的資源隔離失效,并進行告警,能檢測非授權新建虛擬機或者重新啟用虛擬機,并進行告警;能夠檢測惡意代碼感染及在虛擬機間蔓延的情況,并進行告警。

      2.5 安全管理中心風險及需求分析

      云計算平臺需要對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配。在安全建設中云計算平臺管理流量與云服務客戶業(yè)務流量分離。根據(jù)云服務商和云服務客戶的職責劃分,收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計。應根據(jù)云服務商和云服務客戶的職責劃分,實現(xiàn)各自控制部分,包括虛擬化網(wǎng)絡、虛擬機、虛擬化安全設備等的運行狀況的集中監(jiān)測。


      3.云計算安全建設方案設計

      云計算安全建設需要滿足等保2.0中通用建設部分并與云計算擴展要求相結合,建立“一個中心三重防護”的理念,即安全管理中心和安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境,以安全計算環(huán)境為基礎,以安全通信網(wǎng)絡、安全區(qū)域邊界為保障,以安全管理中心為核心的信息安全整體保障體系。

圖注:云計算安全標準體系框架

      3.1 安全通信網(wǎng)絡

      云計算平臺在服務器內(nèi)部出現(xiàn)了vSwitch層,這使得原本清晰的邊界模糊化,為此在安全設計中必須要考慮此挑戰(zhàn),確保安全解決方案的可落地。用戶業(yè)務在云計算平臺實際部署中,服務器內(nèi)部網(wǎng)絡之間安全防護挑戰(zhàn)會有兩個層級:

      第一個層級:在云計算平臺內(nèi)開啟VPC模式,根據(jù)用戶需求構建一個隔離的網(wǎng)絡環(huán)境,實現(xiàn)用戶內(nèi)不同業(yè)務部門或不同業(yè)務系統(tǒng)之間的網(wǎng)絡隔離。VPC之間的安全隔離可以采用虛擬防火墻的安全隔離能力。在云計算平臺VPC之間通過提供虛擬化防火墻、邏輯VPN等服務,將需要保護的虛擬機與外部網(wǎng)絡之間進行端口組隔離,實現(xiàn)虛擬化環(huán)境中網(wǎng)絡安全的需要。山石網(wǎng)科虛擬化下一代防火墻-云·界可以為云數(shù)據(jù)中心提供隔離功能的邏輯安全邊界,支持多租戶環(huán)境,并可安全地共享網(wǎng)絡資源,實現(xiàn)應用系統(tǒng)云服務器群組的安全隔離。

      第二個層級:根據(jù)等級保護要求,需要考慮用戶業(yè)務系統(tǒng)所在虛擬機之間隔離。此層級下在云計算平臺中部署山石云·格進行虛機之間安全防護。云·格提供的“虛機微隔離”技術為每個虛機提供了“貼身保鏢”式的安全防護,通過專利引流技術,山石云·格可將每個業(yè)務虛機的流量牽引至虛擬安全業(yè)務模塊,進行2-7 層的威脅檢測,從而發(fā)現(xiàn)并阻斷東西向流量的安全威脅。云服務客戶可以根據(jù)自己需求自主設置安全策略能力,提供更好的用戶體驗。

      3.2 安全區(qū)域邊界

      3.2.1訪問控制與入侵防范

      云服務客戶需要在虛擬化網(wǎng)絡邊界及不同的等級網(wǎng)絡區(qū)域邊界部署訪問控制機制,并設置訪問控制規(guī)則。在云計算平臺內(nèi)部,能檢測云服務客戶之間、虛擬機與宿主機之間、虛擬機與虛擬機之間、虛擬網(wǎng)絡節(jié)點之間的攻擊進行告警,并且能記錄攻擊類型、攻擊時間、攻擊流量等信息。

      實現(xiàn)云計算平臺內(nèi)VPC邊界防護和邊界訪問控制防護可以采用山石云·界提供邊界流量過濾、網(wǎng)絡層防護及應用層防護功能。針對虛擬機之間訪問控制與入侵防范,可部署山石云·格為虛擬化環(huán)境中構建一個強大且可信賴的“盾牌”。通過對系統(tǒng)流量與策略規(guī)則的統(tǒng)計,即每當經(jīng)過山石云·格的會話與某條策略規(guī)則相匹配時,會調(diào)用用戶自己配置的IPS/AV模板檢測是否存在威脅或攻擊行為,同時根據(jù)用戶自己的配置對存在威脅或攻擊的會話執(zhí)行相應的動作,提升云數(shù)據(jù)中心的防御能力,從而降低用戶安全風險。

      3.2.2 安全審計

      對云計算平臺中虛擬安全設備、業(yè)務系統(tǒng)進行安全審計也是等保安全建設重要的一部分。山石網(wǎng)科所有虛擬化安全產(chǎn)品自身提供豐富的信息日志,且所有日志均支持本地與syslog協(xié)議存儲。在關于“內(nèi)容”的日志類別中,支持針對用戶的識別,事件記錄包括日期和時間、用戶、事件類型、事件結果等,滿足“安全審計”中的相關要求。

      山石網(wǎng)科提供專業(yè)的虛擬化日志審計平臺,可對所有用戶訪問行為和安全事件進行審計,節(jié)點設備的日志數(shù)據(jù)可以通過syslog協(xié)議推送到日志審計平臺統(tǒng)一作保存與日志分析,日志保存時間要求不少于6個月,滿足等保及網(wǎng)絡安全法的要求。

      3.3 安全計算環(huán)境

      3.3.1身份鑒別

      遠程管理云計算平臺中設備,可以采用VPN技術實現(xiàn)管理終端和云計算平臺之間互聯(lián),并且可以實現(xiàn)雙向身份驗證機制。山石云·界支持開啟 VPN 功能,能夠?qū)崿F(xiàn)數(shù)據(jù)的加密傳輸,為用戶提供安全穩(wěn)定的連接,用戶能夠隨時隨地高效運維。

      在運維管理中采用堡壘機/虛擬堡壘機可實現(xiàn)賬號權限劃分以及雙因子認證,通過身份認證、權限控制、賬戶管理、操作審計等多種手段,完成云內(nèi)核心資產(chǎn)的統(tǒng)一認證、統(tǒng)一授權、統(tǒng)一審計,全方位提升運維風險控制能力。

      3.3.2訪問控制

      云服務客戶設置不同虛擬機之間的訪問控制策略,當虛擬機遷移時,訪問控制策略也隨其遷移。在虛擬化環(huán)境中,云·格安全策略可以隨虛擬機遷移安全策略也隨著遷移。

      3.3.3入侵防范

      在云計算平臺建設中需要檢測虛擬機之間的資源隔離失效,并進行告警,并且檢測非授權新建虛擬機或者重新啟用虛擬機進行告警。檢測惡意代碼感染及在虛擬機間蔓延的情況,并進行告警。

      ?針對于云計算平臺虛擬主機系統(tǒng),通過部署網(wǎng)絡版殺毒軟件或山石網(wǎng)科EDR 產(chǎn)品對終端主動防御型查殺,對惡意程序、免殺木馬、釣魚程序、挖礦程序、勒索程序、黑名單程序等進行檢測、攔截。

      ?針對部署在云計算平臺的WEB 應用安全,可以采用虛擬應用防火墻來防護對應用系統(tǒng)的攻擊;采用網(wǎng)頁防篡改實現(xiàn)WEB 頁面安全防護。

      ?針對數(shù)據(jù)庫信息存在的風險,為增強數(shù)據(jù)庫系統(tǒng)的安全,需要對數(shù)據(jù)庫進行防護??梢圆捎锰摂M數(shù)據(jù)庫防火墻對數(shù)據(jù)庫安全防護。

      ?山石網(wǎng)科虛擬化遠程安全評估系統(tǒng)可以對云中操作系統(tǒng)、業(yè)務系統(tǒng)進行安全掃描。協(xié)助運維人員高效、準確地對租戶內(nèi)部系統(tǒng)進行實時自檢,及時發(fā)現(xiàn)安全問題,并提供詳細、專業(yè)的安全建議和修補方案,有效提升整網(wǎng)的健壯性和安全性。

      ?山石網(wǎng)科云計算虛擬安全設備均可以將日志和流量信息發(fā)送到智能安全運營系統(tǒng),從而對云中安全事件進行告警及可視。

      3.4 安全管理中心

      云計算平臺建設中需要對物理資源和虛擬資源按照策略做統(tǒng)一管理調(diào)度與分配。在日常運營中,需對云計算平臺自身所涉及基礎設施進行安全配置、策略變更管理,定期進行配置核查;對云計算平臺涉及的物理服務器進行操作系統(tǒng)安全加固及配置核查;及時發(fā)現(xiàn)云計算平臺及其相關產(chǎn)品組件的安全漏洞,并提供修復;通過故障監(jiān)控、快速定位、自動化恢復、通知告警等一系列故障管控體系,保證云計算平臺及云產(chǎn)品的可用性;提供云計算平臺提供數(shù)據(jù)安全防護,幫助用戶保護其云端系統(tǒng)及數(shù)據(jù)的可用性、機密性和完整性;對云計算平臺數(shù)據(jù)實現(xiàn)集中審計,并對云計算平臺中虛擬化網(wǎng)絡,虛擬機、虛擬化安全設備的運行狀況的集中監(jiān)測。

      在等級保護中明確要求應具備集中管控能力,通過虛擬安全管理平臺的建設,真正實現(xiàn)安全技術層面和管理層面的結合,全面提升整網(wǎng)的安全保障能力,滿足等保中“集中管控”的相關要求。


      4.山石網(wǎng)科云計算安全產(chǎn)品

      山石網(wǎng)科自2015年推出了由山石云·格、山石云·界構成的云計算安全解決方案至今,已經(jīng)積累了大量云安全成功案例。伴隨等保2.0政策執(zhí)行的合規(guī)落地,山石網(wǎng)科致力于打造一整套云計算安全解決方案,用以滿足云計算安全擴展要求的合規(guī)執(zhí)行。方案覆蓋云計算安全擴展要求中的安全通信網(wǎng)絡-網(wǎng)絡架構,安全區(qū)域邊界-訪問控制與入侵防范,安全計算環(huán)境-訪問控制與入侵防范,安全管理中心-集中管控等大部分控制項安全措施。

圖注:山石網(wǎng)科云安全解決方案合規(guī)對應圖

      山石網(wǎng)科云計算安全解決方案圍繞山石云·界、山石云·格、山石云·池、虛擬化Web應用防火墻、虛擬化日志審計、虛擬化數(shù)據(jù)庫審計等云安全產(chǎn)品為核心,面向云服務商、云客戶,提供基于云平臺、租戶、微隔離、云數(shù)據(jù)庫、云安全管理等多種云計算應用場景的解決方案,全面滿足未來云計算安全合規(guī)落地執(zhí)行的需求。

推薦閱讀:葉紫網(wǎng)