云安全已成“十四五”重點工作之一
如何更好地落地云安全解決方案,結(jié)合云計算模式下的業(yè)務(wù)需求、合規(guī)需求,為云服務(wù)商及用戶提供完整的云安全方案,成為了“十四五”重點工作之一。傳統(tǒng)模式下,由于信息系統(tǒng)通常遵照“誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)”的原則,安全責(zé)任相對清晰。但在云計算模式下,云平臺的運營主體與數(shù)據(jù)安全的責(zé)任主體往往不同,不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性都導(dǎo)致云服務(wù)商與客戶之間安全責(zé)任難以清晰界定。對于云服務(wù)商和用戶,需要充分考慮自身的安全需求,分別進(jìn)行安全規(guī)劃和建設(shè),從而更為清晰地區(qū)分雙方的安全責(zé)任邊界。
2019年12月1日,等保2.0開始實施,其新標(biāo)準(zhǔn)也面向云計算技術(shù)提出了云計算安全擴展要求,它與等級保護(hù)的“通用”部分形成一個整體,來約束云計算平臺的等級保護(hù)建設(shè),為云計算平臺網(wǎng)絡(luò)安全建設(shè)設(shè)立基線。云服務(wù)商和用戶依據(jù)合規(guī)要求,確定相應(yīng)等級,通過完善的云安全解決方案,確保云平臺及云上業(yè)務(wù)能夠滿足網(wǎng)絡(luò)安全等級保護(hù)基本要求(通用要求+云計算擴展要求)。
基于云上業(yè)務(wù)系統(tǒng)的安全,可通過如云安全資源池、CWPP、容器安全等防護(hù)方案,通過網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全及數(shù)據(jù)安全等安全能力的加持,構(gòu)建業(yè)務(wù)安全監(jiān)測體系、業(yè)務(wù)安全防御體系與業(yè)務(wù)安全審計體系,涵蓋云上業(yè)務(wù)的事前監(jiān)測、事中防御和事后審計,并互相協(xié)同工作,形成一個完整的云安全防護(hù)閉環(huán)。