![等保2.0云计算扩展要求“大揭秘”]( "等保2.0云计算扩展要求“大揭秘”")
文章来源:等级保护测评
2017年6月1日《网络安全法》正式实施,网络安全等级保护进入有法可依的“等保2.0”时代。网络安全等级保护基于云计算的特性在网络安全等级保护通用要求的基础上进行了扩展,形成了云计算扩展要求。由于云计算的复杂性和不可见性,使得关于云计算扩展要求该如何应用成为当下各方面临的一大困难问题。本文通过“3W1H”对云扩展要求的使用方法进行大揭秘,帮助各方了解云扩展要求的应用方法。
基于云计算的特性(虚拟化和提供服务),网络安全等级保护基本要求在通用要求安全控制点的基础上增加了基础设施位置、镜像和快照保护、云服务商选择、供应链管理和云计算环境管理五个安全控制点,并对通用要求的部分控制点进行补充、扩展,形成了云计算扩展要求。
云计算扩展要求是针对云计算形态的等级保护对象在满足网络安全等级保护通用要求的基础上,需额外满足的要求。也就是说,当等级保护定级形态为云计算时,在安全建设整改或等级测评阶段出考虑安全通用要求外,还需应考虑云计算扩展要求。
关于云计算可能存在的定级形态情形在《等保2.0云计算定级对象如何确定》一文中已进行阐述,等级保护对象的云计算形态大致分为云计算平台、云服务客户业务系统和使用云计算技术的应用系统三类。在云计算环境中,对云计算系统/平台的定级大致可以分为下列几类:
当等级保护对象属于上表中的某一类云计算形态的定级对象时,使用云计算扩展要求,否则无需考虑。
云计算是一种共享技术模式,云服务商与云服务客户会承担实施和管理不同安全层面的责任,云计算平台/系统在不同服务模式和部署模式下,云服务商和云服务客户所划分的安全职责有所不同。
基于“权责一致”、“安全管理责任不变,数据归属关系不变”的原则,云服务商和云服务客户需根据各自承担的的安全责任考虑相应的云扩展要求,建设相应的安全防护能力。即,云扩展要求不仅仅面对云计算平台同时面向云服务客户系统。
云计算扩展要求是针对于云服务商和云服务客户提出的,那么关于云计算扩展要求条款项在云服务商和云服务客户的适用性该如何判定呢?基于对云计算扩展要求条款要求的安全能力的分析,本文总结了下列三大原则对云计算扩展要求条款的适用性进行说明。
云计算的本质是服务,云服务商在保障自身云平台安全的基础上,同时需为云服务客户提供全面的安全服务能力。即:云服务商需提供周到的安全服务能力以保障云服务客户可以搭建“安全稳固”的云上系统(“篱笆”)。针对云计算扩展要求中关于保障云平台自身安全和要求其提供安全服务能力的条款,适用于云服务商,即云计算平台。
云服务客户在选择云平台时,需考虑云平台的综合能力,合理选择云服务商,搭建安全的云上系统,即扎好自己的“篱笆”。针对云计算扩展要求中关于云服务商的选择类的条款,考虑到云服务客户具有自主选择权,因此该类条款适用于云服务客户,即云服务客户系统。
基于“权责一致”原则,云服务商和云服务客户各自对其承担安全责任主体的保护对象进行安全防护。针对云计算扩展要求中关于云服务商和云服务客户均有涉及保护对象的条款,因双方需对各自“篱笆”内的资产进行保护,所以这类条款适用于云服务商和云服务客户。
基于上述三原则对云计算扩展要求条款适用性的分析,有下列结论:
《等保2.0云计算定级对象如何确定》一文描述了云计算基本概念和云计算等级保护可能存在的定级情形,便于云服务商和云服务客户了解如何对自己运营的“云计算系统/平台”进行定级,方便指导测评师了解云计算等级保护;
《等保2.0云计算测评对象如何确定》一文描述了等级测评工作开展过程中关于云计算形态等级保护对象调研和测评时重点关注的资产,便于云服务商在日常运营中明确需重点安全防护的对象,方便测评师在调研和测评对象选取时进行参考;
《等保2.0云计算扩展要求“大揭秘”》一文侧重于云扩展要求的应用指导,便于云服务商和云服务客户了解自己运营的“云计算系统/平台”需建设那些安全能力,可以为测评师在测评指标选取时提供一定的帮助。
关于云计算等级保护的三篇文章告一段落,希望能帮助到各位对云计算等级保护感兴趣的同仁!
云计算扩展要求+安全通用要求仅仅是云计算安全的基本要求,云计算安全需考虑多方面的内容,如底层云计算涉及的技术安全、云计算接口安全等等,云上合规任重而道远!
联系/合作/投稿邮箱:[email protected]
![等保2.0云计算扩展要求“大揭秘”]( "等保2.0云计算扩展要求“大揭秘”")
评论