近几年随着云计算技术的快速发展,云计算系统作为新拓展的保护对象已纳入等级保护工作范围。
云服务模式及安全责任主体
云服务的服务模式包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS),具体如下:
基础设施即服务(IaaS)模式
云服务客户需对其部署在云上的各类可控的资源进行安全配置:对虚拟网络资源安全防护,对其云资源账户进行安全策略配置,对运维人员实施权限管理及职责分离,并对云产品合理的安全策略配置。此外,对于云服务客户自行部署在云上的业务应用、数据库及中间件等均需云服务客户进行安全管理;
平台即服务(PaaS)模式
云服务客户需保证其部署在云平台上的业务应用和数据的安全性,并对云产品进行安全配置,云资源账户安全管理;
软件即服务(SaaS)模式
云服务客户仅需对其选用的应用进行安全配置,并对自身业务数据做好安全防护工作。
基础设施即服务(laaS)、平台即服务(PaaS)、软件即服务(SaaS)
“因为信任,所以选择”,云服务客户选择将业务系统部署在云上,在应用云服务商提供的便捷、高效的云服务同时,应与云服务商”划”清安全责任边界,了解清楚业务系统“上云”后需面对的安全责任,而不是对安全责任进行“甩锅”。关于云计算安全责任,在不同的云计算服务模式下,云服务客户分担的责任也有所不同。
网络安全等级保护基本要求包括通用要求和扩展要求,对于云服务客户而言,无论是通用要求还是扩展要求,均需满足,但考虑到部分条款的特殊性与针对性,部分基本要求条款可能在云服务客户侧不适用。如部署在公有云平台(IaaS)上的云服务客户业务系统,安全通信网络、安全区域边界及安全管理中心这几个安全类主要针对虚拟网络、虚拟网络架构、虚拟网络边界,而不应将其安全责任归属于云平台。
云服务方在等保测评工作中,应对其提供云服务的云计算平台的物理基础设施、网络(含物理网络及虚拟网络)环境及设备(含网络通信及安全防护设备)、承载云服务的物理/虚拟主机、云管理应用业务平台、数据安全保护(含备份恢复)、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据,并分析评估输出正式的《测评报告》。
云租户在等保测评工作中,应重点对其运行在云服务方提供的云计算平台上的信息系统的网络(主要是虚拟网络)环境及设备(含虚拟网络通信及虚拟安全防护设备资源)、承载业务应用的虚拟主机、云租户的应用系统及相关软件组件、安全策略及管理制度、安全管理机构及人员、安全建设管理、安全运维管理等方面开展等保测评获取相应的测评数据,并分析评估输出正式的《测评报告》。
在云租户开展等保测评工作中有涉及到需要获取云服务方的测评数据的,云租户应与云服务方协调并签署相应的《保密协议》后,再云服务方将其相应的测评数据进行提供给云租户。
云计算扩张要求是针对云计算特性提出的要求,云服务客户将业务应用系统部署在公有云平台上,自然云平台需为云服务客户承担部分安全责任(如物理环境安全),但是绝不是全部责任。
