等保2.0云计算安全与风险评估
一、等保2.0对云核算发展提出“新要求”
与等保1.0的规范系统相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云核算、物联网、工业控制系统等新技术的发展。如下表给出了等保2.0发生的重要改变。针对等保2.0规范提出的新要求,要在剖析研究云核算面对的要挟的基础上,对云核算渠道的安全危险加以有用评价,确保云核算渠道安全。
二、云核算面对的“首要要挟”
IaaS、PaaS、SaaS是云核算的三种服务模式。
1、 IaaS面对的首要要挟
选用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上布置自己的运用软件。客户不需求担任底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商担任施行外,位于其他层的安全措施由客户担任施行,需求对这些安全措施施行有用监管,其中包括镜像篡改、虚拟机隔离、资源搬迁、虚拟机逃逸以及主机越权等。
2、PaaS面对的首要要挟
利用PaaS来开发和布置自己的软件,需求对运用的运行环境进行配置,控制自己布置的运用。客户需求对自己布置、自己运用的系统和运用担任,制定相应的安全策略,施行必要的安全措施。
3、 SaaS面对的首要要挟
SaaS是选用先进技术上云的最好途径,它消除了企业购买、构建和保护基础设施和运用程序的需求。但跟着SaaS的日益遍及,关于SaaS的安全问题也随之而来,首要包括存储数据走漏、传输数据走漏和鉴别信息走漏等安全问题。
三、云核算渠道的“危险评价”
为了确保客户施行的安全措施安全有用,客户可自行或托付第三方评价安排对自己施行的安全策略进行评价。
1、云安全规范系统
目前,国内外多个规范化安排和安排都在开展云核算安全规范化作业,除此之外,各国也开展了云安全办理和合规方面的作业。下图给出了国内外在云安全规范方面的效果。
2 、云渠道危险评价
1) 评价框架
云核算渠道安全危险评价关注云核算渠道业务层面的危险,其评价对象为云服务业务流程触及的组件及设备,评价规模覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联联系。云渠道危险评价的框架如下图所示。
评价进程覆盖了基础设施、虚拟化控制、办理渠道和安全防护等多种类型的对象,针对多种指标进行综合危险剖析,并且在监管、业务和客户的要求下做出相应的调整。
2)云安全评价办法的特殊性
在对云渠道开展危险评价作业时,需求结合多种评价办法,比方配置检查、缝隙扫描,但云渠道引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评价办法要结合云核算的特征做出调整,首要包括问卷调查、现场访谈、安全渗透测验、安全缝隙扫描以及安全配置检查等五种常见评价办法。
四、结束语
在对云核算发展趋势及等保2.0的新要求进行剖析的基础上,结合三种云核算服务模式的特点和传统的信息安全危险评价办法,对如安在云核算模式下进行信息安全危险评价进行了阐述,论述了云渠道安全危险评价中对资产、要挟和脆弱性进行评价时,要考虑到的一些指标。相信跟着云核算的深入发展,国内云核算安全规范化作业的推进,各种安全实践会不断成熟,将进一步丰富云核算渠道及云服务危险评价理论。
与等保1.0的规范系统相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云核算、物联网、工业控制系统等新技术的发展。如下表给出了等保2.0发生的重要改变。针对等保2.0规范提出的新要求,要在剖析研究云核算面对的要挟的基础上,对云核算渠道的安全危险加以有用评价,确保云核算渠道安全。
二、云核算面对的“首要要挟”
IaaS、PaaS、SaaS是云核算的三种服务模式。
1、 IaaS面对的首要要挟
选用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上布置自己的运用软件。客户不需求担任底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商担任施行外,位于其他层的安全措施由客户担任施行,需求对这些安全措施施行有用监管,其中包括镜像篡改、虚拟机隔离、资源搬迁、虚拟机逃逸以及主机越权等。
2、PaaS面对的首要要挟
利用PaaS来开发和布置自己的软件,需求对运用的运行环境进行配置,控制自己布置的运用。客户需求对自己布置、自己运用的系统和运用担任,制定相应的安全策略,施行必要的安全措施。
3、 SaaS面对的首要要挟
SaaS是选用先进技术上云的最好途径,它消除了企业购买、构建和保护基础设施和运用程序的需求。但跟着SaaS的日益遍及,关于SaaS的安全问题也随之而来,首要包括存储数据走漏、传输数据走漏和鉴别信息走漏等安全问题。
三、云核算渠道的“危险评价”
为了确保客户施行的安全措施安全有用,客户可自行或托付第三方评价安排对自己施行的安全策略进行评价。
1、云安全规范系统
目前,国内外多个规范化安排和安排都在开展云核算安全规范化作业,除此之外,各国也开展了云安全办理和合规方面的作业。下图给出了国内外在云安全规范方面的效果。
2 、云渠道危险评价
1) 评价框架
云核算渠道安全危险评价关注云核算渠道业务层面的危险,其评价对象为云服务业务流程触及的组件及设备,评价规模覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联联系。云渠道危险评价的框架如下图所示。
评价进程覆盖了基础设施、虚拟化控制、办理渠道和安全防护等多种类型的对象,针对多种指标进行综合危险剖析,并且在监管、业务和客户的要求下做出相应的调整。
2)云安全评价办法的特殊性
在对云渠道开展危险评价作业时,需求结合多种评价办法,比方配置检查、缝隙扫描,但云渠道引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评价办法要结合云核算的特征做出调整,首要包括问卷调查、现场访谈、安全渗透测验、安全缝隙扫描以及安全配置检查等五种常见评价办法。
四、结束语
在对云核算发展趋势及等保2.0的新要求进行剖析的基础上,结合三种云核算服务模式的特点和传统的信息安全危险评价办法,对如安在云核算模式下进行信息安全危险评价进行了阐述,论述了云渠道安全危险评价中对资产、要挟和脆弱性进行评价时,要考虑到的一些指标。相信跟着云核算的深入发展,国内云核算安全规范化作业的推进,各种安全实践会不断成熟,将进一步丰富云核算渠道及云服务危险评价理论。