云安全等保的前世今生.pdfVIP

云安全等保的前世今生 传统等保大行其道 什么是等保？等保的作用是什么？其实勿需多言，等保及其 相关的政策 和标准自颁发之日起就已经在各行业有条不紊 的推进。可以说，政府、 金融、教育、国有大中型企业等相 关信息安全部门负责人都是耳熟能详。 从国家到地方，各层 级各纵向行业领域都有相应的机构负责等级保护相 关的工 作，包括安全咨询、测试评估、方案改造设计、后期服务运 维 等等，这其中有咨询机构、设备生产商、系统集成商、测试评估机构等 等，形成了一个完整的生态圈。一切走在有条 不紊的运转，直到有一天 云计算虚拟化技术的出现…… 遭遇云计算 云计算虚拟化的出现，颠覆 了整个 IT业界。 IT资产运维管 理的方式发生了翻天覆地的变化，以 政府行业为代表的各个 行业先锋开始试水云计算和虚拟化，以响应国家 “加强信息共享，厉行节约”的号召。就在大家为了这个崭新的技术欢 心雀跃时，信息安全问题却逐渐凸显。让我们来看看主要面 临的问题： •我们的业务应该选择上公有云还是私有云？什么样的业 务适合上公 有云？什么样的业务适合上私有云？哪种云能 保障业务安全？ •云计算虚拟化技术使得计算、存储、网络等各类资源池 化，上层业务调度各类资源以满足各种应用或租户在云环境 下交付各 类业务。但也同时导致安全边界变得模糊。池化的 资源如何划分边 界？资源池内的业务流如何监管？资源共 享了，但是否合规？ • 对于专有云（如政务云） ，从前大家的业务部署在本地， 各家自 扫门前雪，各过各的等保；现在都集中在一起，由一 个云平台统一调 度管理，谁来负责等保，谁是主体？ • 对于非互联网业务，为了信息安全，原先直接采用物理 隔离即 可；现在统一资源池了，如何隔离？ • 什么样的业务适合上云？上了云的业务如何与没有上云 的业务实 现业务交互？ 云计算安全的困局 云计算实际上是一个新兴的技术领域，在这个领域内，各领 域的代表 机构和厂商百家争鸣、百花齐放，而且都在以自身 领域为依托向不同 的领域渗透。这表现在： 做公有云的厂商开始向私有云的市场渗透， 如阿里、 腾讯等； 做虚拟化软件的厂商向网络领域扩展，做网络的厂 商向虚拟 化和云平台领域延展，如 VMWare 、新华三等企业；原来 仅 仅服务企业内部的机构开始向混合云转变，如运营商及一些 行业领 域内的领军企业。而且各厂商提供的云计算虚拟化的 技术也不尽相 同，且各种技术还在不断演进，因此，如何在 这样的环境下，还能保 证我们搭建的云是安全的，实际上是 个让人挠头的问题。让我们来回 归技术，分析一下云计算环 境下的安全防护到底包含哪些方面。其实 云计算环境从整体 上来说可以算是一个大型的业务系统，这个业务系 统包含了 运营服务的云的平台，和在其上租赁资源的租户（或业 务） 。 那么安全问题就可以分以下两层来阐述。 云基础设施的安全防护。包括构建云计算环境所需的云操作 系统（云 业务及云基础设施管理） 、虚拟化层（ Hypervisor）、 基础设施 （网络、计算、存储）的安全防护。云基础设施一旦被攻破将威胁到 云平台所承载的所有应用安全，此部分是 云平台的提供者在构建云平 台时所必须关注的安全风险，因 此需要云服务商部署对应的安全防护 措施以确保基础平台 的安全性。对于云平台的使用者来说，云基础设 施的安全防 护能力是选择云平台时所需要重点评估的内容。 云租户（应用）的安全防护。针对云计算环境中部署的租户 或应用进 行针对性的安全防护，不同的应用所需的安全服务 不同，可根据租户 或应用需求灵活定制对应的安全服务。这 样看来，结合云平台和租户 的安全，我们可以把问题聚焦在 以下几个方面： •云计算环境下的等级保护如何做？是否有相关的标准来 告诉我们什么样的云才是安全的？• 老的等级保护的标准 是否适用于云计算环境？• 如何界定云服务方和租户的责 权？•如何保障租户的个性化网络安全需求？• 在云计算 环境下遇到的新的安全问题如何解决？ 这几个问题，是我们在考虑云计算方案和云安全技术时通常 面临的难 题，谁来为我解忧？当然，这个时候还是要求助政 府。 云计算环境下的等级保护 针对各行业面临的云计算安全的各种困扰，原等级保护标准 的主要起 草单位“公安部信息安全等级保护评估中心”开始 牵头制定云计算安 全相关的等级保护标准，这就是