2019年5月10日发布的信息安全技术网络安全等级条例,又称等保2.0,该条例将于2019年12月1日正式实施。等保2.0中专门针对云计算进行了相关技术要求。做为云从业者,作者对该标准的安全设计技术要求部分(GB/T25070—2019)的此部分内容进行了拆解,与大家进行共享。
关于安全级别的定义
在标准中定义:“等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级”。
不同级别的等级保护对象要求的保护能力也不同,级别也是依次升高的。
具体内容见下表:
| 等保级别 | 能力要求 |
| 第一级安全保护能力 | 应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。 |
| 第二级安全保护能力 | 应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。 |
| 第三级安全保护能力 | 应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。 |
| 第四级安全保护能力 | 应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。 |
| 第五级安全保护能力 | 略 |
在标准中,对云计算从一级到四级都给出了非常具体的技术要求。
云计算等级保护安全计算设计框架
在等保2.0专门针对云计算等级保护安全给出了要求的安全技术设计框架。
图 1 云计算等级保护安全计算设计框架
在标准中,明确规定:“用户通过安全的通信网络以网络直接访问、API接口访问和WEB服务访问等方式安全地访问云服务商提供的安全计算环境,其中用户终端自身的安全保障不在本部分范畴内。安全计算环境包括资源层安全和服务层安全。其中,资源层分为物理资源和虚拟资源,需要明确物理资源安全设计技术要求和虚拟资源安全设计要求,其中物理与环境安全不在本部分范畴内。服务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件,根据服务模式不同,云服务商和云租户承担的安全责任不同。服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求,并且云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力。云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计,同时通过服务层安全支持对不同等级云租户端(业务系统)的安全设计。”
由于篇幅限制,我们仅就第三级的安全要求进行介绍。其他级别有增减。
第三级系统安全保护设计中对云计算的要求
1、云安全计算环境设计技术要求
标准中要求:“
a) 用户身份鉴别
应支持注册到云计算服务的云租户建立主子账号,并采用用户名和用户标识符标识主子账号用户身份。
b) 用户账号保护
应支持建立云租户账号体系,实现主体对虚拟机、云数据库、云网络、云存储等客体的访问授权。
c) 安全审计
应支持对云服务商和云租户远程管理时执行的特权命令进行审计。
应支持租户收集和查看与本租户资源相关的审计信息,保证云服务商对云租户系统和数据的
访问操作可被租户审计。
d) 入侵防范
应能检测到虚拟机对宿主机物理资源的异常访问。应支持对云租户进行行为监控,对云租户
发起的恶意攻击或恶意对外连接进行检测和告警。
e) 数据保密性保护
应提供重要业务数据加密服务,加密密钥由租户自行管理;应提供加密服务,保证虚拟机在迁
移过程中重要数据的保密性。
f) 数据备份与恢复
应采取冗余架构或分布式架构设计;应支持数据多副本存储方式;应支持通用接口确保云租户
可以将业务系统及数据迁移到其他云计算平台和本地系统,保证可移植性。
g) 虚拟化安全
应实现虚拟机之间的CPU、内存和存储空间安全隔离,能检测到非授权管理虚拟机等情况,并
进行告警;应禁止虚拟机对宿主机物理资源的直接访问,应能对异常访问进行告警;应支持不同云租户虚拟化网络之间安全隔离;应监控物理机、宿主机、虚拟机的运行状态。
h) 恶意代码防范
物理机和宿主机应安装经过安全加固的操作系统或进行主机恶意代码防范;虚拟机应安装经
过安全加固的操作系统或进行主机恶意代码防范;应支持对Web应用恶意代码检测和防护的能力。
i) 镜像和快照安全
应支持镜像和快照提供对虚拟机镜像和快照文件的完整性保护;防止虚拟机镜像、快照中可能
存在的敏感资源被非授权访问;针对重要业务系统提供安全加固的操作系统镜像或支持对操
作系统镜像进行自加固。“
2、云安全区域边界设计技术要求
标准中要求:“
a) 区域边界结构安全
应保证虚拟机只能接收到目的地址包括自己地址的报文或业务需求的广播报文,同时限制广播攻击;应实现不同租户间虚拟网络资源之间的隔离,并避免网络资源过量占用;应保证云计算平台管理流量与云租户业务流量分离。
应能够识别、监控虚拟机之间、虚拟机与物理机之间的网络流量;提供开放接口或开放性安全服务,允许云租户接入第三方安全产品或在云平台选择第三方安全服务。
b) 区域边界访问控制
应保证当虚拟机迁移时,访问控制策略随其迁移;应允许云租户设置不同虚拟机之间的访问控制策略;应建立租户私有网络实现不同租户之间的安全隔离;应在网络边界处部署监控机制,对进出网络的流量实施有效监控。
c) 区域边界入侵防范
当虚拟机迁移时,入侵防范机制可应用于新的边界处;应将区域边界入侵防范机制纳入安全管
理中心统一管理。
应向云租户提供互联网内容安全监测功能,对有害信息进行实时检测和告警。
d) 区域边界审计要求
根据云服务商和云租户的职责划分,收集各自控制部分的审计数据;根据云服务商和云租户的职责划分,实现各自控制部分的集中审计;当发生虚拟机迁移或虚拟资源变更时,安全审计机制可应用于新的边界处;为安全审计数据的汇集提供接口,并可供第三方审计。“
3、云安全通信网络设计技术要求
标准中要求:“
- 通信网络数据传输保密性
应支持云租户远程通信数据保密性保护。
应对网络策略控制器和网络设备(或设备代理)之间网络通信进行加密。
b) 通信网络可信接入保护
应禁止通过互联网直接访问云计算平台物理网络;应提供开放接口,允许接入可信的第三方安全产品。
c) 通信网络安全审计
应支持租户收集和查看与本租户资源相关的审计信息;应保证云服务商对云租户通信网络的访问操作可被租户审计。“
4、安全管理中心设计技术要求
标准中要求:“
(1)系统管理
在进行云计算平台安全设计时,安全管理应提供查询云租户数据及备份存储位置的方式;云计算平台的运维应在中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。
(2)安全管理
在进行云计算平台安全设计时,云计算安全管理应具有对攻击行为回溯分析以及对网络安全事件进行预测和预警的能力;应具有对网络安全态势进行感知、预测和预判的能力。
(3)审计管理
在进行云计算平台安全设计时,云计算平台应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计;应通过运维审计系统对管理员的运维行为进行安全审计;应通过租户隔离机制,确保审计数据隔离的有效性。“