云安全等保的前世今生
1. 传统等保大行其道
什么是等保?等保的作用是什么?其实勿需多言,等保及其相关的政策和标准自颁发之日起就已经在各行业有条不紊的推进。可以说,政府、金融、教育、国有大中型企业等相关信息安全部门负责人都是耳熟能详。从国家到地方,各层级各纵向行业领域都有相应的机构负责等级保护相关的工作,包括安全咨询、测试评估、方案改造设计、后期服务运维等等,这其中有咨询机构、设备生产商、系统集成商、测试评估机构等等,形成了一个完整的生态圈。所有的东西都在有序的运转,直到云计算虚拟化技术出现的那一天。
2. 遭遇云计算
云计算虚拟化的出现,颠覆了整个IT业界。IT资产运维管理的方式发生了翻天覆地的变化,以政府行业为代表的各个行业先锋开始试水云计算和虚拟化,以响应国家“加强信息共享,厉行节约”的号召,就在大家为了这个崭新的技术欢心雀跃时,信息安全问题却逐渐凸显。让我们来看看主要面临的问题:
我们的业务是选择上公有云还是私有云?什么样的业务适合上公有云?什么样的业务适合上私有云?哪种云能保障我的业务安全?云计算虚拟化技术使得计算、存储、网络等各类资源池化,上层业务调度各类资源以满足各种应用或租户在云环境下交付各类业务。但也同时导致安全边界变得模糊。池化的资源如何划分边界?资源池内的业务流如何监管?资源共享了,但是否合规?对于专有云(如政务云),原来大家的业务部署在本地,各家自扫门前雪,各过各的等保,现在都集中在一起,由一个云平台统一调度管理,谁来负责等保,谁是主体?原来为了信息安全,对于非互联网业务,直接物理隔离即可,现在统一资源池了,如何隔离?什么样的业务适合上云?上了云的业务如何与没有上云的业务实现业务交互?
3. 云计算安全的困局
云计算实际上是一个新兴的技术领域,在这个领域内,各领域的代表机构和厂商百家争鸣、百花齐放,而且都在以自身领域为依托向不同的领域渗透。这表现在,做公有云的厂商开始向私有云的市场渗透,如阿里、腾讯等;做虚拟化软件的厂商向网络领域扩展,做网络的厂商向虚拟化和云平台领域延展,如VMWare、H3C等企业;原来仅仅服务企业内部的机构开始向混合云转变,如运营商及一些行业领域内的领军企业。而且各厂商提供的云计算虚拟化的技术也不尽相同,且各种技术还在不断演进,因此,如何在这样的环境下,还能保证我们搭建的云是安全的,实际上是个让人挠头的问题。
让我们来回归技术,分析一下云计算环境下的安全防护到底包含哪些方面。其实云计算环境从整体上来说可以算是一个大型的业务系统,这个业务系统包含了运营服务的云的平台,和在其上租赁资源的租户(或业务)。那么安全问题就可以分成两层来阐述:
1) 云基础设施的安全防护
包括构建云计算环境所需的云操作系统(云业务及云基础设施管理)、虚拟化层(Hypervisor)、基础设施(网络、计算、存储)的安全防护。云基础设施一旦被攻破将威胁到云平台所承载的所有应用安全,此部分是云平台的提供者在构建云平台时所必须关注的安全风险,因此需要云服务商部署对应的安全防护措施以确保基础平台的安全性。对于云平台的使用者来说,云基础设施的安全防护能力是选择云平台时所需要重点评估的内容。
2) 云租户(应用)的安全防护
针对云计算环境中部署的租户或应用进行针对性的安全防护,不同的应用所需的安全服务不同,可根据租户或应用需求灵活定制对应的安全服务。
那么,这样看来,结合云平台和租户的安全,我们可以把问题聚焦在以下几个方面:
云计算环境下的等级保护如何做?是否有相关的标准来告诉我们什么样的云才是安全的?老的等级保护的标准是否适用于云计算环境?如何界定云服务方和租户的责权?如何保障租户的个性化网络安全需求?在云计算环境下遇到的新的安全问题如何解决?
这几个问题,是我们在考虑云计算方案和云安全技术时通常面临的难题,谁来为我解忧?当然这个时候还是要求助政府。
4. 云计算环境下的等级保护
针对各行业面临的云计算安全的各种困扰,原等保标准的主要起草单位“公安部信息安全等级保护评估中心”开始牵头制定云计算安全相关的等保标准,这就是《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》(下文简称“云计算安全技术要求”)。此标准是由公安部发布的国家级安全标准文件,是在国内参照执行度最高的安全标准。
同时需要说明的是,《信息安全技术 信息系统安全等级保护基本要求》目前规划了五个分册,第一分册是“通用安全要求”,第二个分册是“云计算安全技术要求”,其余分册的内容分别包含移动互联技术、物联网系统、工业控制系统等领域的的内容,第一分册是其他分册的基础,其他四个分册都是针对不同领域,对第一分册的更新和补充。
“云计算安全技术要求”分册针对云计算信息系统的特点,提出了云计算信息系统安全等级保护的安全要求,其中包括技术要求和管理要求,适用于指导分等级的云计算信息系统的安全建设和监督管理。
也就是说,万变不离其宗,云计算安全等保实际上是对原有等保标准在云计算方向上的补充。
5. 如何做到云安全的等保合规
随着云计算这几年的快速发展,IT建设逐步向云上迁移,在这个IT业务迁移的过程中,安全性始终是用户无法回避的问题,有了标准的指导,如何选择适合的建设方案是个考验眼力和技术水平的工作。正如前文所述,各厂商基于各种创新技术在云计算领域百花齐放,谁的好谁的差?
我们说,只要是符合等保标准,并且掌握长期技术演进优势的方案,就是适合的方案。