全国首个《阿里公共云用户等保2.0合规能力白皮书》解析
来源:本站
作者:中联信科
日期:2021-10-25 17:38:00
浏览:
982
目前,我国已正式迈入等保2.0时代。相较于等保1.0,等保2.0对于保护对象做了扩展,云计算、移动互联、物联网和大数据等新兴领域被涵盖进来,云等保也因此面临着更高的挑战。
不过,虽然等保2.0相关法规都已陆续出台,但不少用户还是一头雾水,无数的问题困扰着他们:
云等保要测一些什么?
等保物联网扩展要求怎么做才能合规?
云服务商在云等保过程中起着什么作用?
……
幸运的是,这些问题都可以得到妥善的解答。2019年,阿里云发布了全国首个《阿里公共云用户等保2.0合规能力白皮书》,等保通用安全要求、云技术及物联网扩展要求等相关问题都能在里面得到解答。一起来看看吧!
一、择“优”云服务商才能得优
按照等保2.0定级指南要求,明确指出云上用户应用系统和云服务商云计算部分、物联网部分要分别作为单独的定级对象。同时,等保2.0测评要求又有了更新变化,测评结论从原有等保1.0时代的“符合、基本符合、不符合”变成现在的“优、良、中、差”,低于70分就是差,70分以上才算基本符合要求,因此及格分数调高了,测评要求也更严格了。
同时,如果想要拿到“优”,必须同时满足以下三个条件:(1)选择的云平台等级测评结论为优;(2)业务应用系统存在的问题中无中、高风险项;(3)得分高于90分(含90分)。也就是说,用户的等保测评结论与云平台绑定,只有选择测评结论为“优”的云平台,用户才有可能拿到“优”。
简而言之,等保2.0从机制上鼓励云服务方努力加强云平台自身的安全防护,这也使得云租户在选择云平台的时候不能只考量经济成本,要尽量选择安全防护更好的云计算平台。
二、公共云上比云下等保测评更轻松
除了选择优质的云平台,如果用户想要拿到较好的测评结论,还需要关注哪些点呢?白皮书中明确指出,云上用户等保测评范围和使用的云服务模式紧密相关。
白皮书一方面根据IaaS、PaaS和SaaS服务模式对阿里云全系云产品进行了分类,让用户能够快速定位到自己使用的云产品到底属于哪种服务模式;另一方面明确了三种服务模式下云上用户适用的等保2.0标准中的技术条款,让用户提前准备需要关注的测评指标和范围。
从上图可以看到:
①如果用户是自建云平台或传统IDC托管,那么等保中的所有技术条款都要进行测评。如果是IaaS用户,只需关注涉及自身虚拟基础环境和业务应用系统安全的83项技术指标,不需关注物理机房环境和云平台网络等内容,测评条款数约是自建云平台的62.4%;
②如果是PaaS用户,需要测评的内容更少,只需要关注涉及产品配置以及自身业务应用系统安全的49项技术指标,测评范围是自建云平台的36.8%;
③对于SaaS用户来说,只需要关注涉及应用安全配置以及业务数据保护的45项技术指标,需要投入的人力和经费成本也最少。
综合来讲,云时代因服务模式不同带来的云上用户合规责任的变化,使得公共云用户比自建云平台或传统IDC用户在等保2.0中投入的合规成本大幅降低,并且在PaaS和SaaS服务模式下优势更为突出,可以让用户将更多精力聚焦自身的业务应用系统和数据安全保护上。
三、物联网扩展要求其实不难
根据等保2.0物联网三级要求,物联网场景用户需关注包括感知节点设备物理防护、接入控制、入侵防范、感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理及感知节点管理这8大要求,共计有20条要求项。
白皮书根据这8大要求,通过阿里云IoT安全产品进行了合规性阐述,让用户能够通过阿里云快速定位到更安全、更便捷、更轻量的安全产品。
不论用户是自建物联网平台或使用阿里云物联网平台,用户都需要关注涉及设备物理防护及感知节点管理相关的7条技术指标。
作为物联网领域的先驱者,阿里云具备全面的物联网安全基础设施能力,包括具有自主知识产权的物联网可信执行环境、设备身份认证、可信服务管理,并结合阿里云大数据强大的安全情报、风险检测和分析能力及人工智能构建物联网安全运营中心,为用户提供设备全生命周期安全管理服务,为用户通过物联网扩展要求奠定了坚实的基础。
四、阿里云助力云上用户通过等保2.0考验
白皮书依照云计算等保2.0合规能力技术体系,结合阿里云安全技术和管理优势,详细阐述了用户等保合规体系,需要依赖云平台安全、云产品安全、云安全产品以及只能由用户自建的四项安全能力。
其中,云平台安全能力由阿里云自行承担,用户无需关注;云产品安全能力则是利用云计算优势云平台自带的原生安全能力以及云产品默认的安全属性,用户只需负责安全配置;云安全产品能力是基于阿里巴巴集团多年的安全实践以及云平台常态化的攻防实践,为云上用户提供专业的安全产品和服务。