安全物理环境-基础办法位置
应保证云盘算基础设置位于中国境内。
该控制点是针对云盘算平台提出的安全要求,公有云服务商和自建私有云的企业或组织在规划设计时应同步思量此安全要求。无论是自建数据中心照旧租赁第三方基础办法,其数据机房及云盘算相干基础办法(包括通信链路、网络设备、安全设备、盘算设备、存储设备等)均应位于中国境内。 此处的“中国境内”指关境意义上的中国境内,不包罗香港特别行政区、澳门特别行政区和台湾地区(此三地在关境意义上属于境外)。
安全通信网络-网络架构
a)应保证云盘算平台不承载高于其安全掩护等级的业务应用系统;
b)应实现差别云服务客户虚拟网络之间的隔离;
c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的本领;
d)应具有根据云服务客户业务需求自主设置安全计谋的本领,包括定义访问路径、选择安全组件、设置安全计谋;
e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云盘算平台选择第三方安全服务。
该控制点下的全部条款均是针对云盘算平台提出的安全要求。
对于条款a),云服务商有任务告知云服务客户其云盘算平台可承载业务应用系统的最高安全掩护等级,并采取必要的措施(如与客户以合划一方式约定云服务客户的业务应用系统的安全掩护等级)来确保云盘算平台不承载高于其自身安全掩护等级的业务应用系统。
对于条款b),为确保云服务客户数据、资源不遭到来自其他云 服务客户及外部网络的非法访间,防止差别云服务客户间的相互影响 及恶意攻击,云服务商应在多云服务客户环境中实现差别云服务客户 虚拟网络之间的安全隔离,如采用 VXLAN技能为差别云服务客户实现 VPC,大概利用虚拟防火墙在虚拟网络间举行逻辑隔离。
条款c、d)相干安全产品或服务:虚拟防火墙、安全组、虚拟专用网络(VPN)、安全资源池(云安全服务平台)
条款e)是针对云盘算平台的开放性提出的安全要求,确保云服务客户能够根据自身需求自由选用云盘算平台自有安全防护服务大概第三方的安全产品(或服务)。
安全区域边界-访问控制
a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b)应在不划一级的网络区域边界部署访问控制机制,设置访问控制规则。
该控制点下的全部条款均适用于云盘算平台和云服务客户系统。 对于条款a),虚拟网络中的边界可分为以下几类:
(1)差别云服务客户的虚拟网络之间的边界;
(2)同一云服务客户虚拟网络中差别虚拟子网/区域之间的边界;
(3)云服务客户虚拟网络与云盘算平台外部网络之间的边界。
对于(1)类边界,差别的云服务客户系统通常分别属于差别的VPC,VPC之间默认是隔离的。当 VPC之间存在联通需求时,可通过云企业网、对等连接等方式建立连接,并在边界处采取访问控制措施保障安全访问。
对于(2)类和(3)类边界,本条款是“安全通用要求-安全区域边界-访问控制-条款a)应在网络边界或区域之间根据访问控制计谋设置访问控制规则,默认情况下除允许通信外受控接口拒绝全部通信”在云盘算环境中的具体化,明确虚拟网络也应落实控制措施。
条款b)进一步夸大了安全掩护等级差别的对象之间的访问控制。
安全区域边界-入侵防范
a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击范例、攻击时间、攻击流量等;
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击范例、攻击时间、攻击流量等;
c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的非常流量;
d)应在检测到网络攻击行为、非常流量情况时举行告警。
条款 a)适用于云盘算平台,要求其能检测到云服务客户发起的网络攻击行为。为满意该条款的要求,云盘算平台必要针对云服务客户的业务应用发起的访问举行入口流量镜像分析,对东西向、南北向的攻击行为举行深入分析,并联合相干的云安全产品对非常流量的处理实践,记录攻击范例、攻击时间、攻击流量等。
条款b)适用于云盘算平台和云服务客户系统。该条款是“安全通用要求-安全区域边界-入侵防范-条款b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”在云盘算环境中的扩展和细化要求,区别在于前者是面向物理节点的网络攻击行为检测,后者是面向虚拟网络节点的网络攻击行为检测。
对于云盘算平台,该条款可以通过在虚拟网络节点收支口部署应用层防火墙、入侵检测等边界防御设备(或服务)来实现网络攻击检测本领。对于云服务客户系统,可以通过购买云盘算平台的安全服务大概第三方安全服务来实现对其虚拟网络外部和内部节点的网络攻击检测。
条款 c)适用于云盘算平台和云服务客户系统。通常情况下,一个宿主机往往承载着多个虚拟机,这些虚拟机大概属于差别的云服务客户。为克制非常流量影响虚拟机与宿主机的正常运行及虚拟机与宿主机、虚拟机与虚拟机间的通信,应部署流量监测和入侵防范等设备/服务对虚拟机与宿主机、虚拟机与虚拟机间的流量举行及时监测。
对于云盘算平台,应对云上全部虚拟机与宿主机、虚拟机与虚拟机间的非常流量举行检测。前者偏重于发现虚拟机逃逸之类的网络攻击,后者偏重于发现平台自用虚拟机实例间(或私有云各虚拟机实例间)违背安全计谋的攻击行为。对于IaaS 模式下云服务客户单独租用(购买)整个宿主机服务器集群的情况,云服务客户应对虚拟机与宿主机、虚拟机与虚拟机间的非常流量举行检测。常见的IaaS 模式下的云服务客户必要对虚拟机实例间的非常流量举行检测。
条款d)适用于云服务商和云服务客户。对于云服务客户系统来说,如果其采购云盘算平台提供的入侵检测服务,则该服务在检测到网络攻击行为、非常流量情况时应将告警信息直接推送给云服务客户。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
