網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求之云擴(kuò)展要求
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求
云計(jì)算安全擴(kuò)展要求
等級(jí)保護(hù)對(duì)象形態(tài)的不同,面臨的威脅與風(fēng)險(xiǎn)也不同,安全防護(hù)需求也存在一定的差異。便于對(duì)等級(jí)保護(hù)對(duì)象共性和個(gè)性化的保護(hù),網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求分為通用要求和擴(kuò)展要求。
云計(jì)算擴(kuò)展要求覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心以及云計(jì)算安全管理方面。
01
安全物理環(huán)境
基礎(chǔ)設(shè)施位置
應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。
云服務(wù)商為云服務(wù)客戶提供的云計(jì)算基礎(chǔ)設(shè)施服務(wù)所涉及的硬件設(shè)備、數(shù)據(jù)中心均位于中國(guó)境內(nèi)。
02
安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu)
a)應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng);
b)應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離;
c)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力; d)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略;
e)應(yīng)提供開放接口或開放性安全服務(wù),允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù);
云服務(wù)商對(duì)云計(jì)算平臺(tái)確定安全防護(hù)等級(jí),在明確云計(jì)算平臺(tái)安全防護(hù)等級(jí)的情況下,不允許在云平臺(tái)上部署高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng),如云平臺(tái)安全保護(hù)等級(jí)為第三級(jí),此時(shí)云平臺(tái)只能承載3級(jí)及3級(jí)以下系統(tǒng),不能承載4級(jí)及以上系統(tǒng)。
云上部署眾多的業(yè)務(wù)系統(tǒng),為保證業(yè)務(wù)系統(tǒng)的安全性,首先確保不同用戶間的網(wǎng)絡(luò)是隔離的,如常見的專有網(wǎng)絡(luò)VPC;為保證云上業(yè)務(wù)應(yīng)用系統(tǒng)的安全、有效的運(yùn)行,云平臺(tái)在為云服務(wù)客戶提供基礎(chǔ)服務(wù)(網(wǎng)絡(luò)、計(jì)算、存儲(chǔ))的同時(shí),需為云服務(wù)客戶提供網(wǎng)絡(luò)通信服務(wù)和安全防護(hù)手段,如云防火墻、流量監(jiān)控、入侵檢測(cè)、防病毒等,且允許用戶根據(jù)業(yè)務(wù)需求自主設(shè)置訪問控制策略,保證用戶的自主選擇性;為進(jìn)一步提升云上業(yè)務(wù)系統(tǒng)的安全性,云服務(wù)商應(yīng)支持云服務(wù)客戶根據(jù)需求選擇第三方安全產(chǎn)品的接入,以提升業(yè)務(wù)系統(tǒng)的安全防護(hù)措施。
03
安全區(qū)域邊界
訪問控制
a)應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制,并設(shè)置訪問控制規(guī)則;
b)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制,設(shè)置訪問控制規(guī)則。
虛擬化是云計(jì)算的一大特性,網(wǎng)絡(luò)虛擬化在幫助用戶節(jié)省資源利用的同時(shí),應(yīng)保證不同用戶虛擬網(wǎng)絡(luò)的安全,如虛擬網(wǎng)邊界安全防護(hù),在虛擬網(wǎng)絡(luò)邊界配置恰當(dāng)?shù)脑L問控制策略,有效避免非法訪問,越權(quán)訪問;基于傳統(tǒng)系統(tǒng)的分區(qū)分域的安全防護(hù)思想,在虛擬網(wǎng)絡(luò)中劃分不同的安全防護(hù)區(qū)域,并在不同的區(qū)域邊界配置訪問控制規(guī)則,如在VPC中,基于ACL規(guī)則劃分邏輯區(qū)域,并制定恰當(dāng)?shù)脑L問控制規(guī)則。
入侵防范
a)應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等;
b)應(yīng)能檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等;
c)應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量;
d)應(yīng)在檢測(cè)到網(wǎng)絡(luò)攻擊行為、異常流量情況時(shí)進(jìn)行告警。
通用的安全邊界防護(hù)只能有效的解決南北向流量安全防護(hù),而云計(jì)算環(huán)境下,虛擬網(wǎng)絡(luò)的“無邊界化”,使得虛擬網(wǎng)中的東西向流量呈快速增長(zhǎng)勢(shì)態(tài),東西向流量的“不可視化”使得安全防護(hù)變得尤為困難。為有效保證虛擬網(wǎng)絡(luò)中流量安全,可對(duì)全網(wǎng)流量進(jìn)行集中監(jiān)測(cè)及流量牽引監(jiān)測(cè)、清洗等方式進(jìn)行安全防護(hù)。從網(wǎng)絡(luò)安全等級(jí)保護(hù)的角度出發(fā),云服務(wù)商應(yīng)能檢測(cè)到云服務(wù)客戶的非法攻擊,并進(jìn)行攻擊行為收集、異常行為告警等。
安全審計(jì)
a)應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì),至少包括虛擬機(jī)刪除、虛擬機(jī)重啟;
b)應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。
安全審計(jì)有助于系統(tǒng)運(yùn)維方對(duì)安全事故的審查和恢復(fù)能力,在執(zhí)行一些重要的操作時(shí),必須進(jìn)行安全審計(jì),以便出現(xiàn)安全事故時(shí)進(jìn)行恢復(fù)和問題追溯。云服務(wù)商原則上絕不允許觸碰云服務(wù)客戶數(shù)據(jù),但在一些特殊情形下,又不得不幫助用戶處理一些疑難問題,為確保云服務(wù)商對(duì)云服務(wù)客戶數(shù)據(jù)操作的安全性,云服務(wù)商應(yīng)向云服務(wù)客戶提供相關(guān)的操作審計(jì)記錄。
04
安全計(jì)算環(huán)境
身份鑒別
當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí),管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。
在進(jìn)行遠(yuǎn)程管理時(shí),需進(jìn)行雙向認(rèn)證,保證接入云平臺(tái)的管理終端的有效性、合法性。
訪問控制
a)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí),訪問控制策略隨其遷移;
b)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。
虛擬資源的動(dòng)態(tài)擴(kuò)展,在虛擬機(jī)遷移時(shí),訪問控制策略應(yīng)進(jìn)行同步遷移,云服務(wù)商應(yīng)支持云服務(wù)客戶在不同的虛擬機(jī)間基于業(yè)務(wù)需求配置訪問控制策略。
入侵防范
a)應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效,并進(jìn)行告警;
b)應(yīng)能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī),并進(jìn)行告
云計(jì)算安全擴(kuò)展要求
等級(jí)保護(hù)對(duì)象形態(tài)的不同,面臨的威脅與風(fēng)險(xiǎn)也不同,安全防護(hù)需求也存在一定的差異。便于對(duì)等級(jí)保護(hù)對(duì)象共性和個(gè)性化的保護(hù),網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求分為通用要求和擴(kuò)展要求。
云計(jì)算擴(kuò)展要求覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心以及云計(jì)算安全管理方面。
01
安全物理環(huán)境
基礎(chǔ)設(shè)施位置
應(yīng)保證云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。
云服務(wù)商為云服務(wù)客戶提供的云計(jì)算基礎(chǔ)設(shè)施服務(wù)所涉及的硬件設(shè)備、數(shù)據(jù)中心均位于中國(guó)境內(nèi)。
02
安全通信網(wǎng)絡(luò)
網(wǎng)絡(luò)架構(gòu)
a)應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng);
b)應(yīng)實(shí)現(xiàn)不同云服務(wù)客戶虛擬網(wǎng)絡(luò)之間的隔離;
c)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力; d)應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力,包括定義訪問路徑、選擇安全組件、配置安全策略;
e)應(yīng)提供開放接口或開放性安全服務(wù),允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù);
云服務(wù)商對(duì)云計(jì)算平臺(tái)確定安全防護(hù)等級(jí),在明確云計(jì)算平臺(tái)安全防護(hù)等級(jí)的情況下,不允許在云平臺(tái)上部署高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng),如云平臺(tái)安全保護(hù)等級(jí)為第三級(jí),此時(shí)云平臺(tái)只能承載3級(jí)及3級(jí)以下系統(tǒng),不能承載4級(jí)及以上系統(tǒng)。
云上部署眾多的業(yè)務(wù)系統(tǒng),為保證業(yè)務(wù)系統(tǒng)的安全性,首先確保不同用戶間的網(wǎng)絡(luò)是隔離的,如常見的專有網(wǎng)絡(luò)VPC;為保證云上業(yè)務(wù)應(yīng)用系統(tǒng)的安全、有效的運(yùn)行,云平臺(tái)在為云服務(wù)客戶提供基礎(chǔ)服務(wù)(網(wǎng)絡(luò)、計(jì)算、存儲(chǔ))的同時(shí),需為云服務(wù)客戶提供網(wǎng)絡(luò)通信服務(wù)和安全防護(hù)手段,如云防火墻、流量監(jiān)控、入侵檢測(cè)、防病毒等,且允許用戶根據(jù)業(yè)務(wù)需求自主設(shè)置訪問控制策略,保證用戶的自主選擇性;為進(jìn)一步提升云上業(yè)務(wù)系統(tǒng)的安全性,云服務(wù)商應(yīng)支持云服務(wù)客戶根據(jù)需求選擇第三方安全產(chǎn)品的接入,以提升業(yè)務(wù)系統(tǒng)的安全防護(hù)措施。
03
安全區(qū)域邊界
訪問控制
a)應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制,并設(shè)置訪問控制規(guī)則;
b)應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制,設(shè)置訪問控制規(guī)則。
虛擬化是云計(jì)算的一大特性,網(wǎng)絡(luò)虛擬化在幫助用戶節(jié)省資源利用的同時(shí),應(yīng)保證不同用戶虛擬網(wǎng)絡(luò)的安全,如虛擬網(wǎng)邊界安全防護(hù),在虛擬網(wǎng)絡(luò)邊界配置恰當(dāng)?shù)脑L問控制策略,有效避免非法訪問,越權(quán)訪問;基于傳統(tǒng)系統(tǒng)的分區(qū)分域的安全防護(hù)思想,在虛擬網(wǎng)絡(luò)中劃分不同的安全防護(hù)區(qū)域,并在不同的區(qū)域邊界配置訪問控制規(guī)則,如在VPC中,基于ACL規(guī)則劃分邏輯區(qū)域,并制定恰當(dāng)?shù)脑L問控制規(guī)則。
入侵防范
a)應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等;
b)應(yīng)能檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型、攻擊時(shí)間、攻擊流量等;
c)應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量;
d)應(yīng)在檢測(cè)到網(wǎng)絡(luò)攻擊行為、異常流量情況時(shí)進(jìn)行告警。
通用的安全邊界防護(hù)只能有效的解決南北向流量安全防護(hù),而云計(jì)算環(huán)境下,虛擬網(wǎng)絡(luò)的“無邊界化”,使得虛擬網(wǎng)中的東西向流量呈快速增長(zhǎng)勢(shì)態(tài),東西向流量的“不可視化”使得安全防護(hù)變得尤為困難。為有效保證虛擬網(wǎng)絡(luò)中流量安全,可對(duì)全網(wǎng)流量進(jìn)行集中監(jiān)測(cè)及流量牽引監(jiān)測(cè)、清洗等方式進(jìn)行安全防護(hù)。從網(wǎng)絡(luò)安全等級(jí)保護(hù)的角度出發(fā),云服務(wù)商應(yīng)能檢測(cè)到云服務(wù)客戶的非法攻擊,并進(jìn)行攻擊行為收集、異常行為告警等。
安全審計(jì)
a)應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì),至少包括虛擬機(jī)刪除、虛擬機(jī)重啟;
b)應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。
安全審計(jì)有助于系統(tǒng)運(yùn)維方對(duì)安全事故的審查和恢復(fù)能力,在執(zhí)行一些重要的操作時(shí),必須進(jìn)行安全審計(jì),以便出現(xiàn)安全事故時(shí)進(jìn)行恢復(fù)和問題追溯。云服務(wù)商原則上絕不允許觸碰云服務(wù)客戶數(shù)據(jù),但在一些特殊情形下,又不得不幫助用戶處理一些疑難問題,為確保云服務(wù)商對(duì)云服務(wù)客戶數(shù)據(jù)操作的安全性,云服務(wù)商應(yīng)向云服務(wù)客戶提供相關(guān)的操作審計(jì)記錄。
04
安全計(jì)算環(huán)境
身份鑒別
當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí),管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。
在進(jìn)行遠(yuǎn)程管理時(shí),需進(jìn)行雙向認(rèn)證,保證接入云平臺(tái)的管理終端的有效性、合法性。
訪問控制
a)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí),訪問控制策略隨其遷移;
b)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。
虛擬資源的動(dòng)態(tài)擴(kuò)展,在虛擬機(jī)遷移時(shí),訪問控制策略應(yīng)進(jìn)行同步遷移,云服務(wù)商應(yīng)支持云服務(wù)客戶在不同的虛擬機(jī)間基于業(yè)務(wù)需求配置訪問控制策略。
入侵防范
a)應(yīng)能檢測(cè)虛擬機(jī)之間的資源隔離失效,并進(jìn)行告警;
b)應(yīng)能檢測(cè)非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī),并進(jìn)行告