云等保变化大盘点

让人云里雾里的云等保,其实不是新鲜事物,只是从基本要求扩展而来,根据云计算的特性衍生出一些新的变化。根据GB/T22239.2《网络安全等级保护基本要求第二部分:云计算扩展要求》,总结变化如下:


变化一:责任主体一分为二

云定级对象至少包括两部分:

  • 云平台本身,需要平台服务商独立定级备案、过等保测评;

  • 云租户信息系统,此系统即便迁移到云平台,仍需要单独定级备案。

另外云上开发的业务系统也应该独立定级备案、过等保测评,当然涉及云平台端不需要重复测评,测评结论直接引用即可。


变化二:不同模式责任不同

IaaS模式下物理机房、物理服务器、物理网络和云平台软件的安全由云服务商负责,租户需要对业务系统安全、虚拟机OS安全、数据安全、虚拟网络安全等负责。说直白点IaaS就是毛胚房,不能直接拎包入住,一定要先装修再入住,所以系统上云属于IaaS模式,一定要先做好安全开发、安全部署、安全加固。


IaaS模式下云服务与云租户的责任划分

层面

安全要求

安全组件

责任主体

物理安全和环境安全

物理位置选择

数据中心及物理设施

云服务方

网络和通信安全

网络结构、访问控制、入侵防范、安全审计

物理网络及附属设备、虚拟网络管理平台

云服务方



云租户虚拟网络安全域

云租户

设备和计算安全

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护

物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等

云服务方



云租户虚拟网络设备、虚拟安全设备、虚拟机等

云租户

应用和数据安全

安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复

云管理平台(含运维和运营)、镜像和快照等

云服务方



云租户相关系统及软件组件、应用系统配置、相关业务数据

云租户


SaaS模式下,安全责任大多是云服务商,云租户的安全责任很小,仅需要对内容安全、账号安全负责。

PaaS模式下,根据《安全通用要求》和《扩展要求》的规定,客户虚拟机保护、硬件及虚拟层保护由云服务方负责,应用及数据保护、中间件层保护由云租户负责。


变化三:等保级别必须匹配

云平台建成后上线运行1个月内必须向公安机关提交定级备案手续,同一云平台可以承载不同等级的信息系统,但云平台的安全保护等级不能低于所承载信息系统的安全保护等级,即云平台只能承载等保同级别或低级别的租户系统,安全保护等级为2级的云平台不能承载3级信息系统,3级平台不能承载4级系统,这是云等保的基本要求。


变化四:测评对象适当增加

除了基本要求的测评对象之外,扩展要求增加了云计算属性相关测评对象。

云计算平台及云租户业务应用系统

与传统信息系统保护对象差异

2018年,无论传统IT还是云计算,网络安全等级保护的相关要求对最终用户来说不会有任何弱化,面对新技术和新环境,我们应该多对新标准新要求做到充分解读,在这个云起云涌的时代,充分享受云计算带来的便利,又很好地保障自己的安全。

本文部分内容来自【孙维的信息安全札记】


在线客服
 
 
 工作时间
周一至周五 :8:30-17:30
 联系方式
云桥信息:85553879