云安全等保的前世今生.pdfVIP

  • 0
  • 0
  • 约2.72千字
  • 约 4页
  • 2021-10-21 发布于江苏
  • 举报
云安全等保的前世今生 传统等保大行其道 什么是等保?等保的作用是什么?其实勿需多言,等保及其 相关的政策 和标准自颁发之日起就已经在各行业有条不紊 的推进。可以说,政府、 金融、教育、国有大中型企业等相 关信息安全部门负责人都是耳熟能详。 从国家到地方,各层 级各纵向行业领域都有相应的机构负责等级保护相 关的工 作,包括安全咨询、测试评估、方案改造设计、后期服务运 维 等等,这其中有咨询机构、设备生产商、系统集成商、测试评估机构等 等,形成了一个完整的生态圈。一切走在有条 不紊的运转,直到有一天 云计算虚拟化技术的出现…… 遭遇云计算 云计算虚拟化的出现,颠覆 了整个 IT业界。 IT资产运维管 理的方式发生了翻天覆地的变化,以 政府行业为代表的各个 行业先锋开始试水云计算和虚拟化,以响应国家 “加强信息共享,厉行节约”的号召。就在大家为了这个崭新的技术欢 心雀跃时,信息安全问题却逐渐凸显。让我们来看看主要面 临的问题: •我们的业务应该选择上公有云还是私有云?什么样的业 务适合上公 有云?什么样的业务适合上私有云?哪种云能 保障业务安全? •云计算虚拟化技术使得计算、存储、网络等各类资源池 化,上层业务调度各类资源以满足各种应用或租户在云环境 下交付各 类业务。但也同时导致安全边界变得模糊。池化的 资源如何划分边 界?资源池内的业务流如何监管?资源共 享了,但是否合规? • 对于专有云(如政务云) ,从前大家的业务部署在本地, 各家自 扫门前雪,各过各的等保;现在都集中在一起,由一 个云平台统一调 度管理,谁来负责等保,谁是主体? • 对于非互联网业务,为了信息安全,原先直接采用物理 隔离即 可;现在统一资源池了,如何隔离? • 什么样的业务适合上云?上了云的业务如何与没有上云 的业务实 现业务交互? 云计算安全的困局 云计算实际上是一个新兴的技术领域,在这个领域内,各领 域的代表 机构和厂商百家争鸣、百花齐放,而且都在以自身 领域为依托向不同 的领域渗透。这表现在: 做公有云的厂商开始向私有云的市场渗透, 如阿里、 腾讯等; 做虚拟化软件的厂商向网络领域扩展,做网络的厂 商向虚拟 化和云平台领域延展,如 VMWare 、新华三等企业;原来 仅 仅服务企业内部的机构开始向混合云转变,如运营商及一些 行业领 域内的领军企业。而且各厂商提供的云计算虚拟化的 技术也不尽相 同,且各种技术还在不断演进,因此,如何在 这样的环境下,还能保 证我们搭建的云是安全的,实际上是 个让人挠头的问题。让我们来回 归技术,分析一下云计算环 境下的安全防护到底包含哪些方面。其实 云计算环境从整体 上来说可以算是一个大型的业务系统,这个业务系 统包含了 运营服务的云的平台,和在其上租赁资源的租户(或业 务) 。 那么安全问题就可以分以下两层来阐述。 云基础设施的安全防护。包括构建云计算环境所需的云操作 系统(云 业务及云基础设施管理) 、虚拟化层( Hypervisor)、 基础设施 (网络、计算、存储)的安全防护。云基础设施一旦被攻破将威胁到 云平台所承载的所有应用安全,此部分是 云平台的提供者在构建云平 台时所必须关注的安全风险,因 此需要云服务商部署对应的安全防护 措施以确保基础平台 的安全性。对于云平台的使用者来说,云基础设 施的安全防 护能力是选择云平台时所需要重点评估的内容。 云租户(应用)的安全防护。针对云计算环境中部署的租户 或应用进 行针对性的安全防护,不同的应用所需的安全服务 不同,可根据租户 或应用需求灵活定制对应的安全服务。这 样看来,结合云平台和租户 的安全,我们可以把问题聚焦在 以下几个方面: •云计算环境下的等级保护如何做?是否有相关的标准来 告诉我们什么样的云才是安全的?• 老的等级保护的标准 是否适用于云计算环境?• 如何界定云服务方和租户的责 权?•如何保障租户的个性化网络安全需求?• 在云计算 环境下遇到的新的安全问题如何解决? 这几个问题,是我们在考虑云计算方案和云安全技术时通常 面临的难 题,谁来为我解忧?当然,这个时候还是要求助政 府。 云计算环境下的等级保护 针对各行业面临的云计算安全的各种困扰,原等级保护标准 的主要起 草单位“公安部信息安全等级保护评估中心”开始 牵头制定云计算安 全相关的等级保护标准,这就是

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档