傳統(tǒng)等保大行其道

什么是等保？等保的作用是什么？其實(shí)勿需多言，等保及其相關(guān)的政策和標(biāo)準(zhǔn)自頒發(fā)之日起就已經(jīng)在各行業(yè)有條不紊的推進(jìn)?？梢哉f，政府、金融、教育、國有大中型企業(yè)等相關(guān)信息安全部門負(fù)責(zé)人都是耳熟能詳。

從國家到地方，各層級各縱向行業(yè)領(lǐng)域都有相應(yīng)的機(jī)構(gòu)負(fù)責(zé)等級保護(hù)相關(guān)的工作，包括安全咨詢、測試評估、方案改造設(shè)計、后期服務(wù)運(yùn)維等等，這其中有咨詢機(jī)構(gòu)、設(shè)備生產(chǎn)商、系統(tǒng)集成商、測試評估機(jī)構(gòu)等等，形成了一個完整的生態(tài)圈。一切走在有條不紊的運(yùn)轉(zhuǎn)，直到有一天云計算虛擬化技術(shù)的出現(xiàn)……

遭遇云計算

云計算虛擬化的出現(xiàn)，顛覆了整個IT業(yè)界。IT資產(chǎn)運(yùn)維管理的方式發(fā)生了翻天覆地的變化，以政府行業(yè)為代表的各個行業(yè)先鋒開始試水云計算和虛擬化，以響應(yīng)國家“加強(qiáng)信息共享，厲行節(jié)約”的號召。就在大家為了這個嶄新的技術(shù)歡心雀躍時，信息安全問題卻逐漸凸顯。讓我們來看看主要面臨的問題：

· 我們的業(yè)務(wù)應(yīng)該選擇上公有云還是私有云？什么樣的業(yè)務(wù)適合上公有云？什么樣的業(yè)務(wù)適合上私有云？哪種云能保障業(yè)務(wù)安全？

· 云計算虛擬化技術(shù)使得計算、存儲、網(wǎng)絡(luò)等各類資源池化，上層業(yè)務(wù)調(diào)度各類資源以滿足各種應(yīng)用或租戶在云環(huán)境下交付各類業(yè)務(wù)。但也同時導(dǎo)致安全邊界變得模糊。池化的資源如何劃分邊界？資源池內(nèi)的業(yè)務(wù)流如何監(jiān)管？資源共享了，但是否合規(guī)？

· 對于專有云（如政務(wù)云），從前大家的業(yè)務(wù)部署在本地，各家自掃門前雪，各過各的等保；現(xiàn)在都集中在一起，由一個云平臺統(tǒng)一調(diào)度管理，誰來負(fù)責(zé)等保，誰是主體？

· 對于非互聯(lián)網(wǎng)業(yè)務(wù)，為了信息安全，原先直接采用物理隔離即可；現(xiàn)在統(tǒng)一資源池了，如何隔離？

· 什么樣的業(yè)務(wù)適合上云？上了云的業(yè)務(wù)如何與沒有上云的業(yè)務(wù)實(shí)現(xiàn)業(yè)務(wù)交互？

……

云計算安全的困局

云計算實(shí)際上是一個新興的技術(shù)領(lǐng)域，在這個領(lǐng)域內(nèi)，各領(lǐng)域的代表機(jī)構(gòu)和廠商百家爭鳴、百花齊放，而且都在以自身領(lǐng)域?yàn)橐劳邢虿煌念I(lǐng)域滲透。這表現(xiàn)在：

做公有云的廠商開始向私有云的市場滲透，如阿里、騰訊等；做虛擬化軟件的廠商向網(wǎng)絡(luò)領(lǐng)域擴(kuò)展，做網(wǎng)絡(luò)的廠商向虛擬化和云平臺領(lǐng)域延展，如VMWare、新華三等企業(yè)；原來僅僅服務(wù)企業(yè)內(nèi)部的機(jī)構(gòu)開始向混合云轉(zhuǎn)變，如運(yùn)營商及一些行業(yè)領(lǐng)域內(nèi)的領(lǐng)軍企業(yè)。而且各廠商提供的云計算虛擬化的技術(shù)也不盡相同，且各種技術(shù)還在不斷演進(jìn)，因此，如何在這樣的環(huán)境下，還能保證我們搭建的云是安全的，實(shí)際上是個讓人撓頭的問題。

讓我們來回歸技術(shù)，分析一下云計算環(huán)境下的安全防護(hù)到底包含哪些方面。其實(shí)云計算環(huán)境從整體上來說可以算是一個大型的業(yè)務(wù)系統(tǒng)，這個業(yè)務(wù)系統(tǒng)包含了運(yùn)營服務(wù)的云的平臺，和在其上租賃資源的租戶（或業(yè)務(wù)）。那么安全問題就可以分以下兩層來闡述。

云基礎(chǔ)設(shè)施的安全防護(hù)。包括構(gòu)建云計算環(huán)境所需的云操作系統(tǒng)（云業(yè)務(wù)及云基礎(chǔ)設(shè)施管理）、虛擬化層（Hypervisor）、基礎(chǔ)設(shè)施（網(wǎng)絡(luò)、計算、存儲）的安全防護(hù)。云基礎(chǔ)設(shè)施一旦被攻破將威脅到云平臺所承載的所有應(yīng)用安全，此部分是云平臺的提供者在構(gòu)建云平臺時所必須關(guān)注的安全風(fēng)險，因此需要云服務(wù)商部署對應(yīng)的安全防護(hù)措施以確?；A(chǔ)平臺的安全性。對于云平臺的使用者來說，云基礎(chǔ)設(shè)施的安全防護(hù)能力是選擇云平臺時所需要重點(diǎn)評估的內(nèi)容。

云租戶（應(yīng)用）的安全防護(hù)。針對云計算環(huán)境中部署的租戶或應(yīng)用進(jìn)行針對性的安全防護(hù)，不同的應(yīng)用所需的安全服務(wù)不同，可根據(jù)租戶或應(yīng)用需求靈活定制對應(yīng)的安全服務(wù)。這樣看來，結(jié)合云平臺和租戶的安全，我們可以把問題聚焦在以下幾個方面：

· 云計算環(huán)境下的等級保護(hù)如何做？是否有相關(guān)的標(biāo)準(zhǔn)來告訴我們什么樣的云才是安全的？

· 老的等級保護(hù)的標(biāo)準(zhǔn)是否適用于云計算環(huán)境？

· 如何界定云服務(wù)方和租戶的責(zé)權(quán)？

· 如何保障租戶的個性化網(wǎng)絡(luò)安全需求？

· 在云計算環(huán)境下遇到的新的安全問題如何解決？

這幾個問題，是我們在考慮云計算方案和云安全技術(shù)時通常面臨的難題，誰來為我解憂？當(dāng)然，這個時候還是要求助政府。

云計算環(huán)境下的等級保護(hù)

針對各行業(yè)面臨的云計算安全的各種困擾，原等級保護(hù)標(biāo)準(zhǔn)的主要起草單位“公安部信息安全等級保護(hù)評估中心”開始牽頭制定云計算安全相關(guān)的等級保護(hù)標(biāo)準(zhǔn)，這就是《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù) 第二分冊 云計算安全技術(shù)要求》（下文簡稱“云計算安全技術(shù)要求”）。該標(biāo)準(zhǔn)是由公安部發(fā)布的國家級安全標(biāo)準(zhǔn)文件，是在國內(nèi)參照執(zhí)行度最高的安全標(biāo)準(zhǔn)。

需要說明的是，《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》目前規(guī)劃了五個分冊，第一分冊是“通用安全要求”，第二個分冊是“云計算安全技術(shù)要求”，其余分冊的內(nèi)容分別包含移動互聯(lián)技術(shù)、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)等領(lǐng)域的的內(nèi)容，第一分冊是其他分冊的基礎(chǔ)，其他四個分冊都是針對不同領(lǐng)域，對第一分冊的更新和補(bǔ)充。

“云計算安全技術(shù)要求”分冊針對云計算信息系統(tǒng)的特點(diǎn)，提出了云計算信息系統(tǒng)安全等級保護(hù)的安全要求，其中包括技術(shù)要求和管理要求，適用于指導(dǎo)分等級的云計算信息系統(tǒng)的安全建設(shè)和監(jiān)督管理。

也就是說，萬變不離其宗，云計算安全等保實(shí)際上是對原有等保標(biāo)準(zhǔn)在云計算方向上的補(bǔ)充。后續(xù)將專門針對“云計算安全等級保護(hù)要求“做詳細(xì)解讀。

如何做到云安全的等保合規(guī)

隨著云計算這幾年的快速發(fā)展，IT建設(shè)逐步向云上遷移，在這個IT業(yè)務(wù)遷移的過程中，安全性始終是用戶無法回避的問題，有了標(biāo)準(zhǔn)的指導(dǎo)，如何選擇適合的建設(shè)方案是個考驗(yàn)眼力和技術(shù)水平的工作，正如前文所述，各廠商基于各種創(chuàng)新技術(shù)在云計算領(lǐng)域百花齊放，誰的好誰的差？

我們說，只要是符合等保標(biāo)準(zhǔn)，并且掌握長期技術(shù)演進(jìn)優(yōu)勢的方案就是適合的方案。在后續(xù)的系列文章中我們會陸續(xù)展開介紹和說明。