等保2.0将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。作为新增的等级保护对象:
1.云计算平台开展等保工作时有什么常见误区?
2.云计算平台开展等保工作时有什么高频问题出现?
国康测评今天为您一一解读,助力云服务客户快速、高效地落实网络安全等级保护制度。
高频问题
在云计算环境中,将云计算平台作为基础设施、云租户系统作为信息系统,分别作为定级对象进行定级。对于大型云计算平台,当运管平台共用时,可将云计算基础设施与运管平台系统分开定级,责任分离,分别定级、各自备案。云计算基础设施的安全保护等级不低于其所支撑的业务系统的最高等级。针对私有云用户,也要按照云平台和云租户信息系统,分别进行定级。并且云平台的安全等级不低于其所支撑的业务系统的最高等级。对于云计算平台和云租户信息系统,则分别依据等保2.0基本要求中的通用要求和云计算安全扩展要求来开展等级保护工作。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。
3. 部署在公有云上的信息系统如何开展等级保护工作?
Setp1:依据等保2.0,在对公有云环境下开展等级保护工作应遵循如下原则:(1)应确保云计算平台不承载高于其安全保护等级的业务应用系统。(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。(4)云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
(1)云平台本身,在等保2.0里面明确提出:对于公有云定级流程为云平台先定级测评,再提供云服务。(2)云租户信息系统,比如政府单位门户网站系统,在迁入公有云平台后,还需要对这个门户网站独立定级备案、进行等保测评。其中,涉及云平台部分的内容可以不重复测评,测评结论直接引用即可。
Setp3:不同云计算服务模式需要采取不同职责划分方式:(1)对于IaaS(基础设施即服务)模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用数据。(2)对于PaaS(平台即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件。云租户的职责范围为应用和数据。(3)对于SaaS(软件即服务)模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。