云服务商和云服务客户的责任如何划分?
云环境下哪些建设对象需要通过等级保护测评?
如何进行云平台安全建设使其符合等级保护的要求?
云平台自身满足等级保护是不是就足够了?
等保2.0扩展了云计算安全要求,云等保合规也成为了组织单位上云必须完成的基本要求。然而云等保涉及的责任、范围、建设方法等均与通用等级保护建设存在较大区别。
以某省政务云等保建设为例,其云平台按照等级保护第三级标准进行建设,但由于提供的安全措施无法满足厅委办局的需求导致无法通过等级保护测评。众多业务系统无法“上云”。在这个案例中,可以将政务云平台运营者类比为“云服务商”,厅委办局类比为“云服务客户”,各自角色该如何进行等级保护建设,成为双方共同的难题。本文基于IaaS模式对以上云等保常见的四个问题进行解答。
责任划分
在传统计算形式中,运营、使用单位承担从设备到应用全部的安全责任。但在云计算环境中根据角色的不同,安全责任由云服务商和云服务客户分担。
其中,云服务商主要安全责任是保障云平台基础设施的安全,同时提供各项基础设施服务以及各项服务内置的安全功能。在IaaS模式下,云服务商需保证云计算环境基础设施(物理环境、服务器、网络设备、安全设备),物理网络及链路,依托于虚拟化技术实现的网络、计算、存储的安全。同时需要对云服务管理平台、云服务监控系统、云操作系统等负有完全的安全责任。
▲云服务商安全责任
云服务客户则需对云上各类可控的资源(如虚拟机、安全组、云平台提供的安全功能)等进行配置,需对自行部署在云上的业务应用、操作系统、数据库、中间件、数据等负有完全的安全责任。
▲云服务客户安全责任
云等保建设对象及定级备案
在等级保护中,将云等保涉及的建设对象分为两类:云计算平台(以下简称云平台)以及云服务客户的业务应用系统(以下简称业务系统)。两种建设对象分别由云服务商以及云服务客户负有安全责任以及开展等级保护工作。
首先是云平台的定级备案。云服务商应负责云平台备案,备案地点为运维管理端所在地,同时关键信息基础设施云平台保护等级应不低于三级。
在云平台通过等级保护测评后,云上的业务系统需要通过等级保护测评。用户可在工商注册地或实际运营地的公安机关进行备案,等级保护的级别可参照《GA/T 1389-2017 信息安全技术 网络安全等级保护定级指南》(最新国家推荐性标准GB/T 22240正在修订中)。但需要注意的是,业务系统不能运行在低于自身安全保护等级的云平台中。并且业务系统只有在完成并通过等级保护测评后方可投入正式使用。
云平台等保建设
由于在云计算环境中,安全能力的提供主要依托于云平台。因此需重点说明云平台的等级保护建设。云平台等保建设一般分为三个步骤:明确保护对象、分解安全措施、分析安全能力&对标基本要求。
1、明确保护对象
基于安全责任模型,分析得到云服务商需要保护的范围。一般认为云服务商负责云计算基础设施、云操作系统、云产品(服务)、虚拟机监视器、虚拟网络/安全设备、虚拟机镜像以及管理数据的安全。具体保护对象如下图:
▲云平台保护(测评)对象
2、分解安全措施
在明确保护对象的前提下,需对当前云平台提供的安全措施进行分解。在《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(以下简称“基本要求”)中对云平台需提供的安全措施进行了明确,如下图所示:
▲云平台安全防护措施
在物理环境方面,云平台应提供物理隔离、电力保障、外来人员访问控制、火灾检测、视频监控等措施。
在通信网络方面,云平台应在物理通信网络的基础上对虚拟通信网络提供安全措施。如提供物理网络及虚拟网络的区域划分、虚拟网络隔离、设备及链路的冗余、通信加密等措施。
在区域边界方面,云平台应在物理区域边界安全措施的基础上增加对虚拟网络边界、虚拟机与宿主机之间的边界的安全措施。
在计算环境方面,云平台应提供安全加固的操作系统及镜像、虚拟机隔离、双因素身份验证以及访问控制、安全审计等措施。
在安全管理中心方面,云平台应提供权限划分、授权、审计日志的集中收集与分析、时钟同步等措施。
整体可将以上安全措施分为两类:
原生的安全措施:云平台自身具备或可提供的安全措施。
引入的安全措施:在云平台无法满足的情况下,需要采用解耦方式为平台提供安全措施。
3、分析安全能力&对标基本要求
在分解安全措施后,分析出当前云平台为云平台及云服务客户具体提供了哪些安全技术能力,并将这些能力与基本要求进行对标。进而识别出当前云平台及云服务客户面临的脆弱性、威胁性,并据此进行安全加固,实现云平台及云服务客户的等保建设。
云平台应为云服务客户提供安全能力
前面将云平台的安全措施分解为原生的安全措施、引入的安全措施两类。
其中云平台原生的安全措施仅能够覆盖云平台自身的安全以及云服务客户的部分需求如虚拟机隔离、镜像快照/完整性校验等。但受云平台开发商在安全方面技术能力以及平台功能的限制,云平台对于在等级保护中如基线核查、安全审计、恶意代码检测、Web防护等方面的措施要求无法提供完整的解决方案。此外,基本要求中云计算安全扩展要求明确要求云平台“应具有根据云服务客户业务需求自主设置安全措施的能力,包括定义访问路径、选择安全组件、配置安全策略”。
因此,云平台在自身无法满足云服务客户需求的情况下,应采用如云安全服务平台等解耦的方式提供可自主设置的安全措施,进而为云服务客户提供完整的、合规的安全能力及服务。
整体而言,IaaS模式下云计算平台与云服务客户的业务应用系统均需开展等级保护工作。在云等保的建设过程中,应采用“权责分离,两级建设”的原则,在明确云服务商与云服务客户的安全责任前提下,对云平台的安全措施进行分解。作为云平台的服务商,有义务也有责任为后期迁到云平台上的业务系统提供其所需的安全能力。在云平台自身提供部分安全措施的基础上,对于云平台自身无法提供的安全措施应通过云安全服务平台等方式提供,共同实现云等保的安全合规建设。
IT解决方案:
移动办公安全解决方案 移动应用安全解决方案
在线业务优化解决方案 在线业务安全解决方案
企业数据安全解决方案
分支组网优化解决方案
业务容灾备份解决方案
互联网安全管控解决方案
新型智慧城市解决方案
政务数据中心建设方案 政务专网建设解决方案
互联网安全优化方案 政务移动安全接入方案
业务全网等级保护三级整改建设案例 业务内网等级保护三级整改建设案例
电子政务专网应用加速及传输优化解决方案
政府信息中心上网行为管理解决方案
企业办公无线解决方案 电子商务网站优化解决方案
企业办公桌面云解决方案 数字校园解决方案
桌面云解决方案 数字图书馆解决方案
业务与支撑系统安全 随势而变的ICT
云资源池安全与优化 广电网络解决方案
网络安全等级保护(等保2.0)解决方案
等保一体机解决方案 云安全解决方案
产品应用场景:
终端安全建设 办公网安全建设 数据中心安全建设
移动安全建设 构建网端云敏捷安全架构
关键业务上云 涉密虚拟化建设 私有云建设
分支云建设 容器云建设 托管专属云建设 同架构混合云建设
数据中心容灾备份 云数据中心建设 改善网络访问体验
服务器负载均衡 双活数据中心 IPv6改造
替换传统PC终端 云数据中心统一存储 海量非结构化数据存储
多分支组网 全球访问加速
企业级数据中心新建/改造
业务系统新建/改造
关键应用上云 容灾备份云
开发测试云 容器云
IT价值:
运维 稳定 安全
安全品类:
边界安全 云安全 终端安全 威胁检测
身份与访问安全 安全审计与运营
云产品HCI超融合一体机:
配置管理
资源监控
分布式防火墙
异构虚拟化管理
CDP及数据备份
集成docker
集成aSEC
产品方向:
安全类
云镜YJ 下一代防火墙NGAF 上网行为管理AC SSL VPN 终端检测响应EDR 合规类产品 EMM 安全感知平台 XSEC WEB应用防火墙WAF 云眼/云盾 /云图 上网安全服务平台ISSP 等级保护 安全服务
云计算类
超融合 HCI 超融合云管平台aCMP 监控中心aMC 涉密虚拟化sCloud
基础架构类
桌面云aDesk 应用交付AD SDWAN-WOC SDWAN-MIG 集中管理平台SC&BBC SDWAN-aBOS SD-WAN 企业级分布式存储EDS SDW-R
云产品核心优势:
架构更简单
扩容更便捷
应用部署更简单
数据更可靠
稳定高效承载关键业务
多维度的安全防护能力
更高效的安全策略管理
可视化极简运维
产品:国行原装正品, 深信服科技官网
深信服官网:sangfor.com , 深信服科技官网
产品分类:
企业级安全
边界安全 下一代防火墙AF
云安全 信服云盾 信服云眼
重构入云业务安全边界 威胁检测 安全感知平台SIP
安全解决方案
网络安全等级保护(等保2.0)解决方案 云安全解决方案
网端云敏捷安全架构
终端安全
终端检测响应平台EDR 企业移动管理EMM
身份与访问安全
上网行为管理AC SSL VPN 硬件VPN EasyConnect
行为感知系统BA
安全审计与运营
数据库安全审计DAS
云计算
企业级云aCloud 超融合aCloud
新型智慧城市解决方案 服务器虚拟化
云管平台aCMP 大数据智能平台
超融合软件 超融合一体机
基础架构
桌面云aDesk 应用交付AD
软件定义统一存储系统EDS
一体化网关MIG 广域网优化WOC 安全SD-WAN2.0
深信服总代理(深信服经销商/深信服代理商):
四川深信服:德阳深信服 绵阳深信服,攀枝花深信服,西昌深信服,雅安深信服,内江深信服,资阳深信服,南充深信服,眉山深信服,乐山深信服,自贡深信服 泸州深信服 广元深信服 遂宁深信服 宜宾深信服 广安深信服 达州深信服 雅安深信服 巴中深信服 资阳深信服 攀枝花深信服 凉山彝族自治州深信服 甘孜藏族自治州深信服 阿坝藏族羌族自治州深信服
企业级无线方案适用机型:
无线AC控制器
千兆无线控制器NAC-6100
千兆无线控制器NAC-6200
千兆无线控制器NAC-6300
千兆无线控制器NAC-6380
千兆无线控制器NAC-6600
万兆无线控制器NAC-7100
万兆无线控制器NAC-7200
万兆无线控制器NAC-7300
万兆无线控制器NAC-7600
小型无线控制器HG-2005-P
软件控制器SAC-1000
室内无线AP
11n型SMB无线接入点NAP-1500
11ac型无线接入点NAP-1600
11ac wave2型无线接入点NAP-1700
11n型SMB无线接入点NAP-2400-S
11ac wave2双频无线NAP-3600(MU)
11ac wave2双频无线接入点NAP-3700
11ax 高性能无线接入点NAP-3720-X
11ac蓝牙无线接入点NAP-4650
11ac wave2智能天线无线NAP-5600
11ax 高性能无线接入点NAP-5820-X
11ac wave2智能天线无线接入点SDU-1800
室外无线AP
11ac无线接入点NAP-8000
11ac无线接入点NAP-8000(L)内置天线
11ac无线接入点NAP-8000(L)外置天线
11ac wave2无线接入点NAP-8100
11ac wave2无线NAP-8100(L)内置天线
11ac wave2无线NAP-8100(L)外置天线
11ax 高性能无线接入点NAP-8220-X
面板无线AP
802.11n面板NAP-2800-P
802.11ac面板NAP-3500-P
802.11ac wave2面板NAP-3560-P
802.11ac wave2面板NAP-3600-P(MU)
特殊无线AP
NAP-1720-LTE室内wave2无线接入点
室外4G全网通无线接入点NAP-8100(L)-LTE
NAP-4100V全网通移动车载无线AP
NAP-3620电子书包场景专用无线AP
NAP-3620(R3)高密环境专用三频无线AP
NAP-3680医疗场景零漫游无线AP
11ac wave2高密定向无线NAP-3700(D)
NAP-8100工业级防爆无线AP
无线网络相关配件:
网口防雷器
天馈防雷器
室内专用美化天线
室外专用定向天线
室外专用全向天线
超远距离中继天线
四川 成都 深信服 代理:
深信服成都渠道代理商有哪些;深信服渠道代理商有哪些;深信服nat代理上网;深信服代理商资质查询;深信服总代怎么样;深信服的渠道有哪些;深信服金牌代理;深信服成都金牌经销商;深信服四川金牌经销商;深信服金牌代理商;深信服金牌 成都深信服科技有限公司
深信服科技成都分公司 深信服成都区主管是谁 深信服成都
深信服成都办事处 深信服成都网络安全
深信服成都代理商有哪些 深信服成都防火墙
深信服 防火墙 上网行为管理 具体型号:
深信服 AC-1000-A400 深信服 AF-1520 深信服 AC-1000-B400
深信服 AC-1000-C600 深信服 NGAF-1000-D420
深信服 VPN-2050 深信服防火墙NGAF-1000 深信服 AC-1400
深信服 AF-1300 深信服 NGAF-1000-D440 深信服 AC-1000-D600 深信服 NGAF-1020
深信服 NGAF-1120 深信服 AC-1700 深信服 VPN-2150 深信服 VPN-1100 深信服VPN-6050
深信服 AC-1000-A200 深信服 AC-1000-A300
深信服 NGAF-1000-B400 深信服 防火墙 NGAF-1020
深信服SANGFOR AC-550 深信服 AC-1000-B400
深信服 NGAF-1000-E800 防火墙 深信服AF-1800
深信服维修(sanfor维修),以及更多产品和详情请咨询:
成都科汇科技有限公司 — 专业企业级安全、云计算与IT基础架构服务商
无论您是解决企业级安全、云计算,还是IT基础架构,都可以使您的IT更简单、更安全、更有价值
成都科汇科技有限公司(深信服官方授权代理商)
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
QQ: 1325383361
手机:180 8195 0517(微信同号)
