蒋多多| 等保2.0中云计算安全扩展要求(二级系统) 干货-e安在线
蒋多多“
之前和大家分享过公共安全行业网络安全等级保护标准中云计算安全扩展要求三级信息系统的具体技术和管理要求,今天将二级信息系统相关的技术和管理要求也分享出来,虽然不是国标,但基于的行业标准应该和国标差距不大,供大家研究等保2.0中关于云计算安全应该如何去做。”
1
技术要求
1.1物理和环境安全
应确保云计算基础设施位于中国境内。
1.2 网络和通信安全
网络架构
网络架构应符合以下要求:
a) 确保云计算平台不承载高于其安全保护等级的业务应用系统;
b) 绘制与当前运行情况相符的虚拟化网络拓扑结构图;
c) 实现不同云租户虚拟网络之间的隔离;
d) 保证虚拟机只能接收到目的地址包括自己地址的报文。
访问控制
访问控制应符合以下要求:
a) 禁止云租户虚拟机访问宿主机;
b) 在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
c) 保证当虚拟机迁移时,访问控制策略随其迁移;
d) 允许云租户设置不同虚拟机之间的访问控制策略。
入侵防范
入侵防范应符合以下要求:
a) 应能监测到云租户的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
b) 能检测到虚拟机与宿主机之间的异常流量。
安全审计
对云服务方和租户远程管理时执行特权命令进审计,至少包括虚拟机删除、重启。 对云服务方和租户远程管理时执行特权命令进审计,至少包括虚拟机删除、重启。
1.3 设备和计算安全
身份鉴别
在网络策略控制器和设备(或代理)之间建立双向验证机。 在网络策略控制器和设备(或代理)之间建立双向验证机。
访问控制
确保只有在云租户授权下,服务方或第三才具数据的管理限。
安全审计
安全审计应符合以下要求:
a) 根据云服务方和云租户的职责划分,收集各自控制部分的审计数据;
b) 保证云服务方对云租户系统和数据的操作可被云租户审计。
入侵防范
入侵防范应能够检测以下内容:
a)虚拟机对宿主机资源的异常访问;
b)虚拟机之间的资源隔离失效,并进行告警。
资源控制
资源控制应符合以下要求:
a) 屏蔽虚拟资源故障,某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机;
b) 对物理资源和虚拟资源按照策略做统一管理调度与分配;
c) 确保云计算平台具有虚拟机内存隔离措施。
镜像和快照保护
镜像和快照保护应符合以下要求:
a) 提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
b) 采取加密或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问;
c) 针对重要业务系统提供加固的操作系统镜像。
1.4 应用和数据安全
安全审计
安全审计应符合以下要求:
a) 根据云服务方和云租户的职责划分,收集各自控制部分的审计数据;
b) 保证云服务方对云租户系统和数据的操作可被云租户审计。
资源控制
资源控制应符合以下要求:
a) 能够对应用系统的运行状况进行监测,并在发现异常时进行告警;
b) 保证不同云租户的应用系统及开发平台之间的隔离。
接口安全
保证云计算服务对外接口的安全性。
数据完整性
确保虚拟机迁移过程中,重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施。
数据保密性
数据保密性应符合以下要求:
a) 确保云租户账户信息、鉴别信息、系统信息存储于中国境内;
b) 确保运维过程产生的配置数据、日志信息等不出境。
数据备份恢复
应提供查询云租户数据及备份存储位置的方式。
剩余信息保护
应保证虚拟机所使用的内存和存储空间回收时得到完全清除。
管理要求
2
2.1 安全管理机构和人员
授权
保证云服务方对云租户业务数据的访问或使用必须经过云租户的授权,授权必须保留相关记录。
人员录用
应对运维人员进行背景审查,包括国籍、违法犯罪记录等。外籍人员和具有境外永久居留权的人员不得具有超级管理员权限。
2.2 安全建设管理
测试验收
应对云计算平台及云租户业务应用系统进行安全性测试验收。
云服务商选择
本项要求包括:
a) 确保云服务商的选择符合国家有关规定;
b) 选择安全合规的云服务商,其所提供的云平台应具备与信息系统等级相应的安全保护能力;
c) 满足服务水平协议(SLA)要求;
d) 在服务水平协议(SLA)中规定云服务的各项服务内容和具体技术指标;
e) 在服务水平协议(SLA)中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等;
f) 在服务水平协议(SLA)中规定云计算所能提供的安全服务的内容,并提供安全声明;
g) 在服务水平协议(SLA)中规定服务合约到期时,完整地返还云租户信息,并承诺相关信息均已在云计算平台上清除。
供应链管理
供应链管理应符合以下要求:
a) 确保供应商的选择符合国家有关规定;
b) 确保供应链安全事件信息或威胁信息能够及时传达到云租户。
2.3 安全运维管理
环境管理
云计算平台的运维地点应位于中国境内,禁止从境外对境内云计算平台实施远程运维。
监控和审计管理
监控和审计管理应符合以下要求:
a) 确保信息系统的监控活动符合关于隐私保护的相关政策法规;
b) 确保提供给云租户的审计数据的真实性和完整性;
c) 制定相关策略,对安全措施有效性进行持续监控;
d) 云服务方应将安全措施有效性的监控结果定期提供给相关云租户;
e) 应委托第三方机构对运维过程中的数据安全行为进行审计。
本文来源:等保测评公众号 作者 :不得不等