等保 2.0 云計算定級對象如何確定
作者丨山志
出品丨等級保護測評
2017年6月1日《網絡安全法》正式實施,網絡安全等級保護進入有法可依的“等保2.0”時代。網絡安全等級保護2.0較1.0最大的特點是等級保護對象在原有的傳統系統上增加了云計算、大數據、物聯網等新技術的應用。云計算看不見、也摸不著,使得關于如何開展云計算等級保護工作成為當下面臨的重要問題之一。
網絡安全等級保護2.0時代,落實等級保護制度的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。
定級是開展網絡安全等級保護工作的 “基本出發點”,虛擬化技術使得云計算環境的網絡邊界變得模糊,使得使用云計算系統在定級時如何合理進行邊界拆分顯得困難。那么等保2.0云計算定級對象究竟該如何確定?本文對其進行簡要分析。
云計算定級基本方法
網絡安全等級保護2.0時代,網絡運營者在開展、落實網絡安全等級保護工作時依據《GB/T 22240—2020信息安全技術 信息系統安全等級保護定級指南》(以下簡稱“定級指南”)對其運營的等級保護對象開展定級工作。定級指南關于云計算的定級對象給出云計算平臺/系統,且規定:
○ 云計算環境中,云服務客戶側的等級保護對象和云服務商側的云計算平臺/系統需分別作為單獨的定級對象定級,并根據不同服務模式將云計算平臺/系統劃分為不同的定級對象。
○ 對于大型云計算平臺,宜將云計算基礎設施和有關輔助服務系統劃分為不同的定級對象。
網絡安全等級保護2.0基本的定級流程如下圖:
明確定級對象是開展定級工作的首要內容,針對云計算等級保護定級工作,確定云計算定級對象時,需明確云計算形態、云安全責任邊界以及云計算的架構。
云計算形態
在確定云計算定級對象時,首先需明確定級的等級保護對象的形態為云計算形態,否則不應該當做云計算系統/平臺來定級。
根據GB/T 31167—2014《信息安全技術 云計算服務安全指南》對云計算的定義:“以按需自助獲取、管理資源的方式,通過網絡訪問可擴展的、靈活的物理或虛擬共享資源池的模式。”因此,在判斷是否為云計算形態時,可根據是否同時滿足下列五大特征:
| 云計算特征 | 描 述 |
|---|---|
| 按需自助 | 無需人工干預,客戶能根據需要獲得所需計算資源,如自主確定資源占用時間和數量等。 |
| 泛在網絡訪問 | 無處不在的網絡接入、從任何UF接入,云計算的泛在接入特征使客戶可以在不同的環境下訪問服務,增加了服務的可用性。 |
| 資源池化 | 集中化的設備,對資源進行集中池化后,這些物理的、虛擬的資源根據客戶的需求進行動態分配或重新分配。 |
| 快速彈性 | 動態的業務性能彈性,客戶可以根據需要快速、靈活、方便地獲取和釋放計算資源,能夠在任何時候獲得所需資源量。 |
| 可度量的服務 | 云提供商提供控制和監控資源,指導資源配置優化、容量規劃和訪問控制等任務,同時可以監視、控制、報告資源的使用情況。 |
此外,需注意云計算的本質是服務,如果不能將計算資源規模化/大范圍的進行共享,如果不能真正以服務的形式提供,就根本算不上云計算。
在針對云計算系統/平臺作為定級對象時,需注意:
○ 云服務商側的云計算平臺/系統作為定級對象時,首先需滿足云計算形態,能夠為云服務客戶提供云計算服務;
○ 云服務客戶側的等級保護對象作為定級對象時,需使用了云計算平臺提供的服務。
注意:云計算涉及多類角色,在等級保護2.0中僅包括云服務商和云服務客戶,其中云服務商指提供云計算服務的參與方,云服務商管理、運營、支撐云計算的計算基礎設施及軟件,通過網絡交付云計算的資源。
云服務客戶,即云服務消費者(云租戶),消費云計算平臺提供的服務。
云計算架構及安全責任劃分
根據定級指南對云計算系統/平臺的定級規定,在確定云計算定級對象時,需根據不同服務模式將云計算平臺/系統劃分為不同的定級對象。因此,如何進行合理的劃分,必須明確云服務客戶與云服務商的安全責任邊界,了解云平臺架構,確定云服務商和云服務客戶各自需保護的對象。
1) 云計算架構
云計算架構可分為服務類和管理類,其中服務類基于云平臺提供的云服務分為基礎設施資源層(iaas服務)、數據和開發平臺層(Pass服務)以及應用服務層(SaaS服務),管理類包括云服務運維控制和云服務運營管理。
在服務類方面,PaaS基于IaaS實現,SaaS的服務層次又在PaaS之上,三者分別面對不同的需求。從用戶角度而言,這三層服務間的關系相互獨立(提供的服務完全不同,且面對的用戶也不盡相同)。但從技術角度而言,云服務這三層之間的關系并不是獨立的,存在一定依賴關系,比如一個SaaS層的產品和服務不僅需要使用到SaaS層本身的技術,而且還依賴PaaS層所提供的開發和部署平臺或者直接部署于IaaS層所提供的計算資源上,還有,PaaS層的產品和服務也很有可能構建于IaaS層服務之上。
云計算總體架構可描述為下圖。
2) 云安全責任劃分
不同的云計算服務模式(IaaS、PaaS、SaaS)下,云服務商和云服務客戶安全責任存在一定差異,云服務商在不同的服務模式下承擔的安全責任如下圖:
在基礎設施即服務(IaaS)模式下,云服務商基礎設施包括支撐云服務的物理環境、云服務商自研的軟硬件以及運維運營包括計算、存儲、數據庫以及虛擬機鏡像等各項云服務的系統設施,同時云服務商還需負責底層基礎設施和虛擬化技術,并與云服務客戶共同分擔網絡訪問控制策略的防護;
在平臺即服務(PaaS)模式下,云服務商除防護底層基礎設施安全外,還需對其提供的虛擬機、云應用開發平臺及網絡訪問控制等進行安全防護,并對其提供的數據庫、中間件進行基礎的安全加固;
在軟件即服務(SaaS)模式下,云服務商需對整個云計算環境提供安全防護責任。
云計算定級對象
在云計算環境下,基于云計算形態、云安全責任邊界以及云計算的架構,云計算等級保護對象有:
1) 云計算平臺 ,即云服務商提供的云基礎設施及其上的服務層軟件的組合;
考慮到云計算的本質是服務,不同的云平臺為云服務客戶提供不同的云服務,所以云服務商可根據不同的云計算服務模式將云計算平臺劃分為不同的定級對象。有云計算基礎服務平臺(IaaS平臺)、 云計算數據和開發平臺(PaaS平臺)以及云計算應用服務平臺(saas平臺)。
*2) 云服務客戶業務應用系統 *
云服務客戶側的等級保護對象,利用云計算平臺提供的云計算服務,根據其部署的云計算平臺模式,確定定級對象邊界。通常情況云服務客戶業務應用系統包括云服務客戶部署在云計算平臺上的業務應用和云服務商為云服務客戶通過網絡提供的應用服務。
3)云計算技術構建的業務應用系統
存在一類系統為云計算形態,但無租戶概念,對于此類系統應將業務應用和為此業務應用獨立提供底層云計算服務、硬件資源的組合打包定級。
此外,對于大型的云平臺(公有云)可將輔助服務系統(如CDN系統、運維、運營系統)進行單獨的定級,該類系統可能為傳統信息系統,也可能為云服務客戶業務應用系統。
綜上,在云計算環境中,對云計算系統/平臺的定級大致可以分為下列幾類:
表中A、D類系統,大致情形如下:
假設某云服務商L的云平臺為云服務客戶提供基礎設施服務(或數據和開發服務),此時可確定其定級對象為云計算基礎服務平臺(IaaS)服務平臺,T單位將業務系統部署在云服務商L提供的基礎設施服務上,T單位的業務應用系統為A類云客戶應用系統;
假設某云服務商L的云平臺為云服務客戶提供數據和開發服務,此時可確定其定級對象為云計算數據和開發平臺(PaaS平臺),T單位利用云服務商L提供的數據和開發服務,部署其業務系統,此時T單位的業務應用系統為A類云客戶應用系統;
假設某云服務商L的云平臺為云服務客戶提供應用服務,此時可確定其定級對象為云計算應用服務平臺(SaaS平臺),T單位使用云服務商L提供的應用,擁有業務和數據管理權限,此時T單位的業務應用系統為D類云客戶應用系統;
表中的B、C、D三類系統,大致情形如下:
假設某云服務商L的云平臺為云服務客戶提供基礎設施服務,此時可確定其定級對象為云計算基礎服務平臺(IaaS)服務平臺,X單位和G單位分別利用云服務商L提供的基礎設施,搭建云平臺,并為客戶M提供PaaS、SaaS服務。
注意該情形中:
① 對于云服務商L來講,X單位和G單位為其云服務客戶;
② 對于客戶M來講,此時X單位和G單位的角色變為云服務商。
X單位的系統定級類型為表中的B類系統,而G單位的系統定級類型為表中的C類系統。
客戶M的系統可能為表中的A類系統或D類系統。D類系統是客戶N直接使用云服務商云平臺提供的SaaS服務,該類系統是否作為定級對象,需根據使用場景進行判定,若客戶N僅使用該SaaS服務,無管理權限、未對數據進行處理,則無需定級,該類系統定級情形可參見郵件系統。
表中云計算技術構建的業務應用系統,情形如下:
P單位自建或購買第三方云計算技術,自行搭建云計算平臺,單獨為其業務系統提供服務,此時P單位的定級對象為云計算技術構建的業務應用系統。
典型案列
常見的云計算定級場景:A云服務商為云服務客戶B提供基礎設施服務(計算/網絡/存儲),常見的A為阿里云、華為云、電信云等公有云廠商。
集團或大型企業為B,在購買了公有云服務商A的基礎資源后,利用A提供的IaaS服務為客戶C提供SaaS服務。SaaS化應用系統的安全責任主體為B。
C可能為個人用戶,也可能為B的分支機構或服務個體。
此場景中:
A 類:云服務商的IaaS平臺為定級對象;
B類:面向用戶提供SaaS服務,定級為云服務客戶業務系統B;
C 類:根據用戶場景進行定級。若C為B的分支機構或其他企業用戶,數據安全責任主體為C,此時,C需對業務應用進行定級,且級別不得高于B對業務系統確定的安全等級,否則C無需定級。
注意:在實際關于云計算平臺/系統的定級時,要合理區分SaaS云計算平臺和SaaS云服務客戶系統。
