等保2.0时期,云等保安全合规要求解读
发布时间:2021-11-26 03:47:22 所属栏目:云计算 来源:互联网
导读:伴随着《网络安全法》出台,等级保护制度上升到法律层面。在此背景下孕育出来等保2.0相比之前的等保要求,在等级保护的对象、保护的内容、保护的体系都大不相同。 当然,云等保不是新鲜的事物,而是在原等保框架下的扩展要求。云等保的各环节与传统等保相同
|
伴随着《网络安全法》出台,等级保护制度上升到法律层面。在此背景下孕育出来等保2.0相比之前的等保要求,在等级保护的对象、保护的内容、保护的体系都大不相同。 当然,云等保不是新鲜的事物,而是在原等保框架下的扩展要求。云等保的各环节与传统等保相同,包括定级、备案、建设整改、测评、监督检查等,因此只需要对原有等级保护相关工作的具体内容进行扩充并统一。 传统信息系统的网络架构伴随业务变化而变化,系统各组件功能与硬件紧耦合,在安全防护上强调分区域和纵深防御。直观上来说,就像铁路局各管一段,信息系统通常以物理网络或者安全设备为边界进行划分。 云计算系统边界划分 云计算系统边界划分基本场景包括两个类型: 第一类场景:存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况,这时定级系统的边界应划在虚拟边界处,这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源,通常是虚拟机。如下图所示: 在上图场景中有3个业务应用,通过对业务应用的梳理,业务应用1单独成为一个定级系统,业务应用2和业务应用3组成另一个定级系统。这两个定级系统共用底层服务,因此我们把底层服务连同硬件一起作为一个定级系统C,即云计算平台。定级系统A和定级系统B就是云平台上承载的业务应用系统。 第二类场景:业务应用对应的系统模块存在相对独立的底层服务和硬件资源,因此可以将整个系统边界划分到硬件物理设备,从而确定两个定级系统,如下图所示。如果这个场景对应的是对外提供服务的云计算系统,那么定级系统A就是一个使用了云计算技术的应用系统,而顶级系统B是另一个使用了云计算技术的应用系统。同理,我们依然可以在定级系统B上嵌套场景1,此时定级系统B这个云计算平台就会承载更多的业务应用系统。 云等保责任共担与定级 在对云计算系统进行测评时应同时满足安全通用要求和云计算安全扩展要求部分的相关要求。在这个过程中根据云上系统的责任分担不同,要对安全通用要求和云计算安全扩展要求做拆分,云服务商和云服务客户针对应要求采取对应安全保护措施。 这时我们要考虑几方面因素,首先要确定被测系统是云计算平台还是业务应用系统。其次,确定被测系统使用哪种服务模式,以此来确定保护责任。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号