雲計算安全合規，這四個模型妳需要知道-推广动态-WING TAI YIK TECHNOLOGY HK LIMITED

雲計算安全合規，這四個模型妳需要知道

在傳統信息化環境下，談起安全合規問題，大家壹般會想到ISO 27001、等級保護、分級保護，以及針對具體行業環境下的第三方支付安全合規、支付卡行業 (PCI) 數據安全標準 (DSS)、非金融機構支付服務業務系統檢測規範、網絡借貸信息中介機構業務活動管理暫行辦法、移動金融檢測認證體系等等。

但隨著信息化環境由傳統向雲計算的演變，雲平臺的部署模式、服務模式、基礎資源的物理位置和資源的管理等方面，都呈現出不同的形態和消費模式，從而使雲計算具有不同的安全風險特征、不同的安全控制職責與安全控制範圍。

因此，迫切需要壹個新的安全模型來指導在雲環境下實現風險識別、風險分析以及風險處置的過程，實現雲服務架構到安全架構之間的映射，實現雲計算環境下的安全合規。下面，信服君就來介紹目前國際和國內最流行的四類雲計算安全合規模型。

CSA 雲計算關鍵領域安全指南

雲安全聯盟（Cloud Security Alliance，CSA）是業內最受認可的雲安全研究論壇。2009年12月17日，該聯盟發布了壹份雲計算服務的安全實踐手冊——《雲計算安全指南》。該指南根據資源或服務的管理權、所有權和資源位置的不同，提出了不同的雲部署模型下，實現方式達成壹致的可能方法。
該指南從12個方面突出了雲計算安全的關註領域，包括治理和運行兩部分。其中治理方面包括：治理和企業風險管理、法律和電子證據發現、合規和審計、信息生命周期管理、可移植性和互操作性；運行方面包括：傳統安全以及業務連續性和災難恢復、數據中心運行、應急響應以及通告和補救、應用安全、加密和密鑰管理、身份和訪問控制、虛擬化。
其中治理方面的內容主要解決雲計算環境的戰略和策略，運行方面的內容則更關註具體的安全架構的實現以及解決方案。
CSA 雲計算關鍵領域安全指南適用於指導組織開展雲計算安全治理和管理工作。

雲立方體模型

雲立方體模型從安全系統的角度，在數據的物理位置、雲相關技術和服務的所有關系狀態、應用資源和服務時的邊界狀態、雲服務的運行和管理者4個影響安全系統的維度上分成了16種可能的雲計算形態，如下圖所示：

緯度1：內部/外部，這個維度主要指的是數據物理位置相關的安全特性；維度2：隱私/開放，這個維度表達的是技術路線；維度3：便捷化/去便捷化架構，這個維度表達的是體系理念，即邊界的變化；維度4：自供/外包，這個維度表達的是運維管理；
雲立方體定義的雲形態維度主要用於商業決策，但對技術的概述還相對薄弱。

等級保護對采用雲計算技術的信息系統的擴展安全要求

談及雲計算安全標準就不能不探討壹下基於雲計算的等級保護工作。等級保護是我國對重要信息系統進行安全評估和建設的主要依據，從2014年起，公安部就陸續組織相關研究單位開始編寫針對雲計算的等級保護擴展要求標準，到現在為止，已經基本編寫完成，並下發到全國測評機構參考執行。
雲計算環境下的等級保護把實施對象分成了雲平臺和租戶業務系統兩個部分，雲平臺的等級不低於承載的租戶業務系統的等級。那麽對於雲平臺建設方、雲平臺運營方和租戶方分別要做哪些事情，來保障雲平臺和業務系統滿足等級保護的要求呢？

總體來說，雲平臺不僅需要建設自身符合要求的保護能力，還需要建設壹套能夠提供租戶業務系統相關要求的保護能力，當租戶需要時，可以向雲平臺運營方申請購買相關安全保護措施。
首先，雲平臺的建設方應該保障基礎設施和網絡架構滿足等級保護基本要求中的條款和雲計算擴展要求中的所有條款，比如供業務運行和數據處理及存儲的物理設備位於中國境內；登錄Hypervisor、雲管理平臺等的管理用戶進行相應等級身份鑒別；進行遠程管理時，管理終端和雲平臺邊界設備之間應建立雙向身份驗證機制等。
其次，雲平臺運營方應該建設壹套能夠提供租戶業務系統需要的保護能力，這包括可以讓租戶在虛擬化網絡邊界、不同等級的網絡區域邊界部署訪問控制機制，設置訪問控制規則；允許雲租戶設置不同虛擬機之間的訪問控制策略；租戶遠程管理時，管理終端和雲計算平臺邊界設備之間應建立雙向身份驗證機制；根據雲服務方和雲租戶的職責劃分，租戶能夠收集其自控制部分的審計數據，實現租戶控制部分的集中審計等。

最後，租戶應該根據其雲上業務系統的安全等級要求，向雲平臺運營方要求獲得相應的安全防護措施，這些安全措施應該能夠很好的滿足等級保護標準的具體要求，並要求雲平臺運營方協助租戶在本地保存其業務數據的備份。深信服不僅是業內領先的雲計算技術提供商，在雲安全方面也積極進行技術創新，同時結合業內最先進的雲安全模型和標準，提出了針對雲平臺和雲上業務系統的整體解決方案。針對雲平臺的基礎設施和網絡架構的安全要求，深信服提出了以下壹代防火墻、上網行為管理、應用交付、SSL VPN等產品為核心構建的整體解決方案，幫助雲平臺的建設方建設壹套滿足等級保護標準要求的雲計算數據中心；針對租戶業務系統的安全要求，深信服和雲平臺運營方共同建設的安全資源池可以向租戶提供滿足等級保護三級的安全保護措施，租戶只要根據自己的需求向雲平臺運營方申請即可。

等級保護2.0系列標準即將發布，等級保護將全面保障關鍵信息基礎設施安全，相信隨著這樣的變化，會有越來越多的實踐經驗出現。深信服將會在未來跟大家分享更多的雲計算環境下的等級保護實踐經驗。