一手资料!等保2.0云计算安全与风险评估

一、等保2.0对云计算发展提出“新要求”

与等保1.0的标准体系相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云计算、物联网、工业控制系统等新技术的发展。如下表给出了等保2.0发生的重要变化。针对等保2.0标准提出的新要求,要在分析研究云计算面临的威胁的基础上,对云计算平台的安全风险加以有效评估,确保云计算平台安全。

表等保1.0与等保2.0的区别对比表

二、云计算面临的“主要威胁”

IaaS、PaaS、SaaS是云计算的三种服务模式。

1、 IaaS面临的主要威胁

采用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上部署自己的应用软件。客户不需要负责底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商负责实施外,位于其他层的安全措施由客户负责实施,需要对这些安全措施实施有效监管,其中包括镜像篡改、虚拟机隔离、资源迁移、虚拟机逃逸以及主机越权等。

2、PaaS面临的主要威胁

利用PaaS来开发和部署自己的软件,需要对应用的运行环境进行配置,控制自己部署的应用。客户需要对自己部署、自己使用的系统和应用负责,制定相应的安全策略,实施必要的安全措施。

3、 SaaS面临的主要威胁

SaaS是采用先进技术上云的最好途径,它消除了企业购买、构建和维护基础设施和应用程序的需要。但随着SaaS的日益普遍,关于SaaS的安全问题也随之而来,主要包括存储数据泄露、传输数据泄露和鉴别信息泄露等安全问题。

三、云计算平台的“风险评估”

为了确保客户实施的安全措施安全有效,客户可自行或委托第三方评估机构对自己实施的安全策略进行评估。

1、云安全标准体系

目前,国内外多个标准化组织和机构都在开展云计算安全标准化工作,除此之外,各国也开展了云安全管理和合规方面的工作。下图给出了国内外在云安全标准方面的成果。

云计算标准发布

2 、云平台风险评估

1) 评估框架

云计算平台安全风险评估关注云计算平台业务层面的风险,其评估对象为云服务业务流程涉及的组件及设备,评估范围覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联关系。云平台风险评估的框架如下图所示。

云平台风险评估模型

评估过程覆盖了基础设施、虚拟化控制、管理平台和安全防护等多种类型的对象,针对多种指标进行综合风险分析,并且在监管、业务和客户的要求下做出相应的调整。

2)云安全评估方法的特殊性

在对云平台开展风险评估工作时,需要结合多种评估方法,比如配置检查、漏洞扫描,但云平台引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评估方法要结合云计算的特征做出调整,主要包括问卷调查、现场访谈、安全渗透测试、安全漏洞扫描以及安全配置检查等五种常见评估方法。

云计算已有控制措施识别框架

四、结束语

本文在对云计算发展趋势及等保2.0的新要求进行分析的基础上,结合三种云计算服务模式的特点和传统的信息安全风险评估方法,对如何在云计算模式下进行信息安全风险评估进行了阐述,论述了云平台安全风险评估中对资产、威胁和脆弱性进行评估时,要考虑到的一些指标。相信随着云计算的深入发展,国内云计算安全标准化工作的推进,各种安全实践会不断成熟,将进一步丰富云计算平台及云服务风险评估理论。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190818A0BUNS00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券