曹旭辉 发表于 2024-6-19 17:03:25

云计算体系等保测评对象和指标选取

1、云计算服务模式与控制范围关系
参考GBT22239-2019《根本要求》附录D 云计算应用场景说明。简要理解下图,重要是云计算体系安全保护责任分担原则和云服务模式适用性原则,指导后续的测评对象和指标选取。
https://img-blog.csdnimg.cn/direct/989002100b8f4ddc9a168d45832fd1a8.png
2、测评对象选择
测评对象
IaaS模式
PaaS模式
SaaS模式
大类
小类
平台
租户
I-平台
平台
租户
I-平台
P-平台
平台
租户
(1)设施
物理机房

NA
-

NA
-
-

NA
云计算基础设施部署的相干机房及基础设施

NA
-

NA
-
-

NA
(2)硬件
物理网络架构

NA
-

NA
-
-

NA
物理网络边界

NA
-

NA
-
-

NA
网络装备

NA
-

NA
-
-

NA
安全装备

NA
-

NA
-
-

NA
服务器

NA
-

NA
-
-

NA
宿主机

NA
-

NA
-
-

NA
云侧终端

NA
-

NA
-
-

NA
(3)资源抽象控制
云OS

NA
-

NA
-
-

NA
虚拟机监视器

NA
-

NA
-
-

NA
虚拟机镜像

NA
-

NA
-
-

NA
(4)虚拟化计算资源
虚拟网络架构




NA

-

NA
虚拟网络边界




NA

-

NA
虚拟机




NA

-

NA
虚拟网络装备




NA

-

NA
虚拟安全装备




NA

-

NA
(5)软件平台
数据库
NA





-

NA
中间件
NA





-

NA
容器
NA





-

NA
云应用开发平台
NA
NA


NA

-

NA
云产物/服务(P)
NA
NA


NA

-

NA
(6)应用软件
云产物/服务(S)
NA
NA
NA
NA
NA



NA
云产物/服务数据
NA
NA
NA
NA
NA



NA
业务应用体系
NA

NA
NA

NA
NA
NA

业务数据
NA

NA
NA

NA
NA
NA

(7)其他
云业务管理体系

NA


NA



NA
云运营控制体系

NA


NA



NA
云运维管理体系

NA


NA



NA
云安全管理平台








NA
云平台监控体系








NA
安全相干职员、介质、管理文档









3、测评指标选择
测评指标
IaaS模式
PaaS模式
SaaS模式
控制点
要求项
平台
租户
I-平台
平台
租户
I-平台
P-平台
平台
租户
基础设施位置
a)应保证云计算基础设施位于中国境内

NA
NA

NA
NA
NA

NA
网络架构
a)应保证云计算平台不承载高于其安全保护等级的业务应用体系

NA


NA



NA
b)应实现不同云服务客户虚拟网络之间的隔离

NA


NA



NA
c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的本领

NA


NA



NA
d)应具有根据云服务客户业务需求自主设置安全计谋的本领,包罗定义访问路径、选择安全组件、设置安全计谋

NA


NA



NA
e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产物或在云计算平台选择第三方安全服务

NA


NA



NA
f)应提供对虚拟资源的主体和客体设置安全标记的本领,保证云服务客户可以依据安全标记和逼迫访问控制规则确定主体对客体的访问









g)应提供通信协议转换或通信协议隔离等的数据互换方式,保证云服务客户可以根据业务需求自主选择边界数据互换方式

NA


NA



NA
h)应为第四级业务应用体系分别独立的资源池

NA


NA



NA
访问控制
a)应在虚拟边界部署访问控制机制,并设置访问控制规则







NA
NA
b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则







NA
NA
入侵防范
a)应能检测到云服务客户发起的攻击行为,并能记录攻击范例、攻击时间、攻击流量等

NA


NA



NA
b)应检测到虚拟网络节点的网络攻击行为,并能记录攻击范例、攻击时间、攻击流量等








NA
c)应检测到虚拟机和宿主机、虚拟机和虚拟机之间的异常流量




NA



NA
d)应在检测到网络攻击行为、异常流量时举行告警









安全审计
a)应对云服务商和云服务客户在长途管理时实行特权的下令举行审计,至少包罗虚拟机删除、虚拟机重启









b)应保证云服务商对云服务客户体系和数据的利用可被云服务客户审计









身份辨别
a)当长途管理云计算平台中装备时,管理终端和云计算平台之间应创建双向身份验证机制









访问控制
a)应保证当虚拟机迁徙时,访问控制计谋随其迁徙

NA


NA



NA
b)应允许云服务客户设置不同虚拟机之间的访问控制计谋

NA


NA



NA
入侵防范
a)应能检测虚拟机之间的资源隔离失败,并举行告警

NA
NA

NA
NA
NA

NA
b)应能检测到非授权新建虚拟机大概重新启用虚拟机,并举行告警

NA
NA

NA
NA
NA

NA
c)应能检测恶意代码感染及在虚拟机间蔓延的情况,并举行告警




NA

NA

NA
镜像和快照保护
a)应针对重要业务体系提供加固的利用体系镜像或利用体系安全加固服务

NA
NA

NA
NA
NA
NA
NA
b)应提供虚拟机镜像、快照完备性校验功能,防止虚拟机镜像被恶意篡改

NA
NA

NA
NA
NA
NA
NA
c)应采取密码技能或其他技能手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问

NA
NA

NA
NA
NA
NA
NA
数据完备性和保密性
a)应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵照国家相干规定









b)应保证只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限

NA


NA



NA
c)应使用校验技能或密码技能保证虚拟机迁徙过程中重要数据的完备性,并在检测到完备性受到粉碎时采取必要的恢复措施

NA


NA



NA
d)应支持云服务客户部署密钥管理办理方案,保证云服务客户自行实现数据的加解密过程

NA


NA



NA
数据恢复和备份
a)云服务客户应在当地保存其业务数据的备份









b)应提供查询云服务客户数据及备份存储位置的本领

NA


NA



NA
c)云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致

NA


NA



NA
d)应为云服务客户将业务体系及数据迁徙到其他云计算平台和当地体系提供技能手段,并帮忙完成迁徙过程

NA


NA



NA
剩余信息保护
a)应保证虚拟机所使用的内存和存储空间回收时得到完全清除

NA


NA



NA
b)云服务客户删除业务应用数据时,云计算平台应将云存储中全部副本删除

NA


NA



NA
集中管控
a)应对物理资源和虚拟资源按照计谋做同一管理调度与分配

NA


NA



NA
b)应保证云计算平台管理流量与云服务客户业务流量分离

NA


NA



NA
c)应根据云服务商和云服务客户的职责分别,网络各自控制部分的审计数据并实现各自的集中审计









d)应根据云服务商和云服务客户的职责分别,实现各自控制部分,包罗虚拟化网络、虚拟机、虚拟化安全装备等的运行状态的集中监控









云服务商选择
a)应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用体系提供相应等级的安全保护本领
NA


NA



NA

b)应在服务水平协议中规定云服务的各项服务内容和具体技能指标
NA


NA



NA

c)应在服务水平协议中规定云服务上的权限与责任,包罗管理范围、职责分别、访问授权、隐私保护、行为准则、违约责任等。
NA


NA



NA

d)应在服务水平协议中规定服务合约到期时,完备提供云服务客户数据,并承诺相干数据在云计算平台上清除。
NA


NA



NA

e)应与选定的云服务商签署保密协议,要求其不得泄露云服务客户数据。
NA


NA



NA

供应链管理
a)应确保供应商的选择符合国家有关规定

NA


NA



NA
b)应将供应链安全事件信息或安全威胁信息实时传到达云服务客户

NA


NA



NA
c)应保证供应商的重要变动实时传到达云服务客户,并评估变动带来的安全风险,采取措施对风险举行控制

NA


NA



NA
云计算情况管理
a)云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维利用应遵照国家相干规定。

NA


NA



NA


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页: [1]
查看完整版本: 云计算体系等保测评对象和指标选取