等保2.0之云租户合规指引 – 作者:IRONMAN娄大壮

 

互联网时代,网络安全已经成为了企业发展绕不开的问题。根据《网络安全法》的要求,网络运营者应当按照网络安全等级保护制度的要求,履行各项安全保护义务。网络安全等级保护制度(以下简称“等保”)的升级版——“等保2.0”已于2019年12月1日实施,其共包括《信息安全技术 网络安全等级保护基本要求》(以下简称“《基本要求》”)、《信息安全技术 网络安全等级保护测评要求》(以下简称“《测评要求》”)、《信息安全技术 网络安全等级保护安全设计技术要求》三个部分,其中新增了对云计算、大数据、物联网等保护对象的扩展性要求。

    

《RightScale 2018云服务报告》显示,在国外使用至少一种公共或私有云的受访者总体比例为96%。而根据中国信息通信研究院统计,同年在中国有云计算应用的企业占比为 54.7%,还有很大的提升空间。可以预计在未来,在政策刺激、云技术成熟和企业自身的需求等诸多因素影响下,越来越多的企业都将通过云计算平台(以下简称“云平台”)实现业务“上云”。

 

但是“上云”企业(以下称为“云租户”)在获得高效率云服务的同时,也在面临着新的风险。2018年媒体披露,北京清博数控科技有限公司(以下简称“前沿数控”)在使用腾讯云服务时平台数据全部丢失,且无法还原。这个事件中有一个重要的细节:前沿数控,作为云租户并未对自身的业务数据进行过任何备份,而是相信腾讯云已经代而行之——事实上双方签订的书面合同中亦并未规定腾讯云有主动备份的义务。腾讯云确实构成违约,违反了合同中约定的服务指标保证,但前沿数控也因为自身过失付出了惨重代价。

 

那么,广大使用云服务的云租户企业如何落实“等保2.0”?如何执行2.0版本中新增加的云计算安全扩展要求、如何处理云租户与云服务商的关系呢?以下我们便站在云租户企业的立场,就几个重要问题展开解读。

 

一、 云计算环境下等保2.0的定级原则

 

1. 在云计算环境中,应当将云平台作为基础设施,云租户企业业务系统作为信息系统,分别作为定级对象进行定级。

2. 对于大型云平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级。责任分离,分别定级,各自备案。

3. 针对私有云用户,也要按照云平台和业务系统,分别进行定级。定级流程为云平台先定级测评,再将已定级业务系统向云平台迁移。

 

二、 公有云环境下开展等保工作的主要原则

 

1. 应确保云平台不承载高于其安全保护等级的业务应用系统。

2. 应确保云计算基础设施位于中国境内。

3. 云平台的运维地点应位于中国境内,如需境外对境内云平台实施运维操作,应遵循国家相关规定。

4. 云平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。

 

等保2.0特别强调了云计算安全的本地化要求,包含了云计算基础设施本地化、运维地点本地化,以及数据本地化存储三个方面。

 

三、 云租户如何选择云服务商?

 

《基本要求》中,在等保第二至四级中均规定了应“保证云平台不承载高于其安全保护等级的业务应用系统”。因此作为云租户,不论是公有云还是私有云,其使用的云平台的安全等级均不得低于其所支撑的业务系统的等级,否则即是违规,不符合等保2.0的要求。

 

如果发现云平台的安全保护等级,与云租户的业务系统等级不匹配,则建议云租户敦促平台尽快升级保护等级,或者及时更换至与业务系统相适应的云平台,以免影响其自身的业务安全及开展等保工作。

四、 云服务商与云租户如何进行安全责任划分?

 

软件即服务(SaaS)、平台即服务(PaaS) 、基础设施即服务(IaaS)构成了三种基本的云计算服务模式。在不同的服务模式中,云服务商和云租户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。简而言之,SaaS、PaaS、laaS这三种模式中,云服务商的控制范围依次降低,而云租户的责任范围依次提高(如下图所示)。

 

 

 

基于不同云计算服务模式,需要采取不同职责划分方式:

1. 对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。

2. 对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。

3. 对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责

2017年公安部发布的《信息安全技术 网络安全等级保护基本要求 第2部分:云计算安全扩展要求》,则就云服务商与云租户的责任分担进行了更为细致的梳理(见下表),值得参考。云租户还应特别注意,除去明确规定由一方承担的以外,剩余的责任都是可由双方间签订协议进行划分的。

 

安全要求 IaaS PaaS SaaS
第一部分 管理要求
系统安全运维管理 双方共担 云服务商承担 云服务商承担
系统安全建设管理 双方共担 双方共担 双方共担
安全管理机构和人员 云服务商承担 云服务商承担 云服务商承担
第二部分 技术要求
应用和数据安全 双方共担 双方共担 双方共担
设备和计算安全 双方共担 云服务商承担 云服务商承担
网络和通信安全 双方共担 云服务商承担 云服务商承担
物理和环境安全 云服务商承担 云服务商承担 云服务商承担

 

五、 服务等级协议SLA中的合规要点

 

结合《基本要求》与《测评要求》中的规定,云平台与云租户双方所签订服务等级协议中必不可少的部分如下,云租户企业可以参考下列清单对云服务商提供的服务等级协议进行查阅。

1. 云服务的各项服务内容和具体的技术指标;

2. 云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任;

3. 整个服务供应链各方需履行的网络安全相关义务(包括云服务商、云租户的责任分担);

4. 服务合约到期时,完整提供云服务****,并将相关数据在云计算平台上清除的承诺(限于等保二至四级);

5. 保密协议或保密条款(限于等保三至四级)。

 

六、 安全意识层面的问题

 

需要注意的是,等保2.0的要求仅仅是网络安全的最基础要求,网络安全工作无止境。企业需要高度重视日常运维,并结合自身业务与技术发展,不断完善各项工作。

 

前文提到的案例暴露出一些云租户安全意识层面的问题:企业“上云”,本是解放自身生产力、提高网络安全能力的决策,却使得一些云租户过于依赖云平台的计算优势、安全能力和品牌背书,而降低了自身的安全意识,甚至默认将全部安全责任转移给了云平台。数据丢失给企业造成了无法弥补的损失,甚至可能直接导致公司倒闭,也再次给所有企业敲响了网络安全的警钟。

 

七、 云租户企业合规指南

 

综上所述,我们对云租户企业提出以下建议:

1. 等保2.0合规工作是网络安全的基础,必须高度重视并尽快落实;

2. 选择安全合规的云服务商;

3. 通过书面协议明确约定云服务商的权限和责任,特别是与己方的责任划分;

4. 应与云服务商签署保密协议;

5. 明确云租户自身的安全管理责任,及时做好数据备份等安全工作;

6. 建立完整的危机处理流程与制度,明确安全责任人,从组织结构与内控制度的层面加强安全能力;

7. 加强高管及普通员工的安全培训工作,培养公司的网络安全文化。

来源:freebuf.com 2020-02-13 18:28:53 by: IRONMAN娄大壮

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论