云等保的概念分析：云等保如何搭建和整改的流程

目前我国已经正式迈入了等保2.0时代，国家对等保工作的要求越来越严格。随着云计算技术被越来越多地应用于国家关键信息基础设施领域，云计算安全(云等保)的扩展要求也越来越受到关注。

为使大家对云等有更深入、更具体的理解，本文将对云等保相关概念的定义、云等保构建流程和要点做归纳总结。

一、云等保相关概念的定义。

①云计算：云计算本质上是一种服务模式，在这种服务模式下，用户按需提供，管理各种计算资源。

云计算又分为三种云服务模式：laaS、PaaS和SaaS。laaS：基础架构即服务。IaaS公司目前比较著名的是亚马逊，Bluelock,CSC,GoGrid,IBM等等；PaaS：平台即服务。如Google和MicrosoftAzure;SaaS：软件即服务。更著名的SaaS公司有Salesforce,workday,Slack等等。

②云服务提供商：各种云服务，例如各种公共云、行业云的服务商。

③云租户：正在租用或使用云计算资源的客户。

④云计算平台：云服务商提供的云计算基础设施和服务软件的集合。

⑤云环境系统：一个云租户在该平台上部署的软件和相关组件集合。

云平台与云环境系统共同构成了云计算环境。

二、云等保施工流程。

按照等保2.0的相关规定，云计算架构下的等级保护工作仍然需要落地，定级、备案、建筑整改、等级测评、监督检查五个规定动作仍然必不可少。然而，基于原等保框架的具体内容，将对等保框架下增加的新要素进行扩展和统一。

还有必要澄清：

①云服务和云服务的客户的控制范围不同，其安全责任界限也不同。云计算和云计算服务的用户应根据各自的安全责任，建立相应的安全防护能力。

②当云服务提供商进行安全架构时，应向云服务客户提供安全产品或服务，然而云计算平台/系统，特别是私有云部署方式，只提供基础安全功能，无法满足云服务等级保护的需求。它要求云服务提供商能够提供第三方安全产品/服务，或者允许用户访问第三方安全产品或服务，而且云服务的用户可以自行设置安全策略。

③在测量方面：

常规系统的等保测评以“安全通用要求”为基础，以“安全通用要求”+“云计算安全扩展要求”为基础；

在测云服务商的云计算平台上进行分级系统时，应选取安全要求+云计算安全扩展要求中所有适用于云计算平台的指标；

在测云租户业务应用系统时，应选取适用于云租户业务系统的所有安全要求和云计算安全扩展要求的所有指标。

三、云等保施工要点。

1、物理定位要求。

对大型云计算平台来说，很难确定它具体的物理地址，但是根据云计算的定义，云客户(云租户)通常不需要知道和控制资源的确切物理位置，但是应该能够在更高的抽象级别(例如国家、州或数据中心)指定资源位置。

有有关的等级保护制度：

①基础设施位于国内：云计算基础设施位于中国境内；

②在国内存储数据：云等保数据保密要求从第二级开始加入“确保云用户账户信息、识别、系统信息存储在中国境内”。

2、云平台的安全要求。

云计算平台的安全是云计算环境安全稳定运行的基础，对于云平台的安全要求，云保主要有三个方面：

①满足了保密性的通用要求：云计算基础设施、云管理平台(云操作系统，Hypervisor)的组件自身安全应遵循“安全通用要求”；

②身份识别和权限控制需要做好：登录到云管理平台(Hypervisor)等管理用户进行相应级别的身份识别，确保云平台运行管理员和云服务管理员权限分离；

③远程管理实现双向认证：对登录到云管理平台(Hypervisor)等的用户进行相应级别的身份识别，确保将云平台运维管理员和云服务管理员权限分开。

3、资源隔离要求。

云应用虚拟化等技术对资源进行重新分配和向用户传递，有效地隔离资源显得尤为重要。在云计算环境中，云等保资源隔离的需求总结如下：

①应对虚拟机的逃逸行为进行探测和报警；

②禁止虚拟实例直接访问宿主主机的物理硬件；

③在不同虚拟机之间隔离了虚拟CPU指令；

④保证分配给虚拟机的内存空间只供虚拟机使用；

⑤根据租户业务系统的重安全等级划分网络安全区域，并设置区域间接入控制规则；

⑥保证云平台的管理流量与云租户的业务流量相分离；

⑦保证虚拟机只能迁移到具有相同保护级别的资源池。

4、存取控制。

①根据访问控制策略控制虚拟机之间的访问；

②实现云平台管理用户权限分离机制，建立系统管理员、系统管理员帐户并分配相应权限；

③确保云服务方或第三方仅在云租户授权下拥有对云租户数据的管理权限；

④云计算平台应提供开放的接口或开放的安全服务，允许云用户访问第三方安全产品或在云平台上选择第三方安全服务。

5、审核和监督。

①审核是按职责划分实施：对云服务方和云租户的职责划分，实现各自控制部分的集中审计；

②审核云服务方所有操作：应确保云服务人员对云租户系统的操作和数据的操作可以由云租户审核；

③全面审计：等保2.0对安全审计提出了全新的要求，审计要覆盖每一个用户，审计重大用户行为和重大安全事件。云保保也不例外，云保对保的安全性审计应该能够监控虚拟机与主机之间、虚拟机和主机之间的通信流量；

④支持第三方审计：为收集安全审计数据提供接口，以便第三方审计。

6、资料安全。

数据安全是网络安全的永恒课题，云计算环境下数据存储在云平台上，对数据的感知、迁移和数据保密性、可用性、完整性等方面有着较高的要求：

①用户感知：提供对云租户数据的查询和备份存储位置的方法；

②用户可迁移性：应保证云用户的业务和数据可以移植到其他云平台或本地信息系统；

③虚拟机安全：在虚拟机迁移期间确保完整性保护和信息不泄露。

④镜像安全性：对虚拟机镜像文件进行完整性保护，并能检测到非授权修改；

⑤快照安全性：虚拟机快照文件的保密保护。

七、安全管理。

①根据系统安全防护等级，选择能提供相应安全等级保障的云服务商；

②对云服务供应商的权限和责任进行书面约定，包括管理范围、职责划分、权限授权、隐私保护、行为规范、违约责任等；

③签署服务级别协议SLA，签署隐私保护协议，并向第三方提供相关的证明。