云等保:等保2.0框架下新事物的擴展與延伸
云計算是數(shù)字化轉(zhuǎn)型和信息化建設的重要組成部分,因其開放性和復雜性,在網(wǎng)絡安全建設中面臨著前所未有的挑戰(zhàn),所以等保2.0中特別添加了云計算擴展要求,對企業(yè)云計算平臺建設起到很好的指導作用。
云等保對等保2.0的擴充,也是國內(nèi)知名安全廠商一直在關(guān)注的事情。在看來,等級保護2.0的另一個重大發(fā)展就是對云計算等新型基礎架構(gòu)出了額外的擴展要求,更加能夠適應新計算架構(gòu)的結(jié)構(gòu)特征。而安全等級保護2.0標準的一個核心變化就是從邊界防御的思維模式走向了全網(wǎng)協(xié)同防御的整體安全觀,是從以黑名單為主要防御技術(shù)走向以白名單為核心特征的零信任安全體系。零信任的思想在等保2.0標準中隨處可見,這也對云等保狀態(tài)下的網(wǎng)絡安全管理者提出了前所未有的新挑戰(zhàn)。
面對云等保2.0的安全要求,挑戰(zhàn)與應對
安全通用要求:8.2.3安全區(qū)域邊界 8.2.3.2入侵防范
c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量;
等保2.0的挑戰(zhàn):本條的核心挑戰(zhàn)在于如何識別虛機間流量(容器間流量),基于傳統(tǒng)的防火墻或者其他流量分析產(chǎn)品都無法對虛擬流量做有效的捕捉與分析。
等保2.0的應對:通過工作負載上部署的輕代理,可以對虛機間流量做有效分析,并且是國內(nèi)唯一可以對容器間流量做可視化分析的產(chǎn)品。
等保2.0應對策略
8.2.4安全計算環(huán)境 8.2.4.2訪問控制
a)應保證當虛擬機遷移時,訪問控制策略隨其遷移;
等保2.0的挑戰(zhàn):云計算的一個重要特征就是經(jīng)常發(fā)生虛擬機漂移,因此必須確保當虛擬機漂移時策略能夠隨之遷移,否則就會造成業(yè)務的中斷或者安全的失控。
等保2.0的應對:自適應策略計算引擎,能夠?qū)崟r捕捉虛機漂移、虛擬機上下線、克隆擴展等事件,并進行自動化策略重算,始終保持策略有效性。
b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略;(點到點訪問控制)
等保2.0的挑戰(zhàn):本條要求明確提出云計算環(huán)境應該具備點到點訪問控制能力,而實際上目前的云計算環(huán)境基本只能提供VPC、安全組等邊界防御產(chǎn)品,用這種產(chǎn)品進行虛機間訪問控制不具備可行性和可擴展性,部署和運維的成本極高。
等保2.0的應對:自適應微隔離允許用戶以軟件定義隔離的形式,方便的對大規(guī)模網(wǎng)絡設置虛機間訪問控制策略。
等保2.0應對策略
面對云時代下的等保2.0,將繼續(xù)依托專業(yè)的技術(shù)和服務力量,持之以恒地為用戶提供專業(yè)的安全產(chǎn)品和服務,滿足用戶的合規(guī)等保2.0需求。