等保2.0三级要求解读及建设策略
等保2.0版本三级整体要求分为10个部分,其中1-5为基础设施、技术产品相关要求,包括物理环境、通讯网络、区域边界、计算环境、管理中心等,此部分主要需要配合测评机构登录相关系统和设备查看产品功能、策略配置等形式进行测评,本文将重点对这部分内容解读和提供建设策略建议。6-10为管理规章制度要求,包括管理制度、管理机构、管理人员、建设管理、运维管理等,此部分主要需要以制度文档、过程审计记录等形式提供证明,此部分不在本文中展开讨论,如有需要会以文档形式辅助提供支持。
一、安全物理环境
机房场地应具备
1,七防护:应防震、防水、防火、防盗(视频监控)、防雷击、防静电、防电磁干扰
2,两控制:机房具备温、湿度调节,出入口设置电子门禁
3,持续供电:冗余的电力电缆线路、备用电力
ER(Extended requirements , 扩展要求):IDC建设于中国境内
--建设策略:
建议选择4星级以上标准机房,级别越低,提供的服务可用性和标准越低,举个例子,电信5星机房承诺的故障次数是三年内50%以上服务器阻断30分钟以上故障不超过1次,2星级承诺的是三年内50%以上服务器阻断2个小时以上故障不超过1次,至于2个小时以内的故障几次不做承诺。对于公有云租户来说直接复用公有云物理环境等保测评结论即可。
二、安全通信网络
1,网络架构
关键网络设备要冗余,处理能力可以满足业务高峰期需求
ER:
a)具备虚拟网络拓扑结构图绘制功能,对虚拟化网络资源、网络拓扑进行实时更新;实现不同租户虚拟网络隔离;
b)为租户提供通信传输、边界防护、入侵防范等安全机制,具备租户自主设置安全策略的能力
c)应保证云计算平台管理流量与云服务客户业务流量分离;
d)应提供开放接口,允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务
2,通信传输
采用校验码技术或加解密技术保证通信过程中数据的完整性和保密性
3,可信验证
对通信设备的核心程序和配置参数具备动态可信验证方案,关键环节出现问题及时告警记录
--建设策略
满足租户流量隔离、自主设置安全策略的要求,辅以边界防火墙、WAF等设备实现边界防护。同时云平台系统间采用https协议交互,保证数据加密传输。
三、安全区域边界
1,边界防护
能够对非授权的设备从外到内及从内到外的网络行为进行限制或检查
2,访问控制
在网络区域边界设置访问控制规则,默认情况下除允许策略拒绝所有通信,控制粒度为端口级
ER: 在虚拟化网络边界、不同等级的网络区域边界部署访问控制机制,并设置访问控制规则。
3,入侵防范
在关键网络节点处检测、防止或限制从外部或内部发起的网络攻击行为;具备攻击行为分析能力;当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警
ER: 应能检测到云服务客户发起的网络攻击行为、对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量并进行告警。
4,恶意代码
在关键网络节点处对恶意代码、垃圾邮件检测和防护,并维护对应的防护机制升级
5,安全审计
在重要网络节点对重要的用户行为、安全事件进行行为记录,审计记录应定期备份,留存时间合规,记录应至少包含事件日期、用户、事件类型、是否成功等信息
ER: 应对云服务商和云服务客户远程管理时执行特权命令进行审计,至少包括虚拟机删除、虚拟机重启;应对云服务商对云服务客户系统和数据操作可被云服务客户审计
6,可信验证
对核心程序和配置参数具备动态可信验证方案,关键环节出现问题及时告警记录
--建设策略
1.推荐边界防火墙,对进出安全区域边界的访问链接进行控制,阻断非授权访问;推荐堡垒机对远程执行的命令进行审计回放,对高危命令进行阻断;
2.推荐VPN、证书管理服务,采取加密措施,防止数据在传输过程中遇到破坏;推荐VPC网络在租户数据传输过程中进行vxlan封装实现租户隔离,保证数据完整性和保密性。
3.推荐DDoS高防,云WAF服务,针对日渐增多的DDoS、Web攻击进行防御,精准有效地实现对流量型攻击和应用层攻击的全面防护
4,推荐日志审计服务对用户行为日志统一采集、存储、查询、分析、告警
5,推荐云平台在保证关键网络设备架构冗余的同时,支持划分特定管理区域,对安全资源池设备集中管控、监控、告警,另外金山云自研的肉鸡发现与防御系统可以有效识别肉鸡对内外部网络攻击行为并自动进行限速、告警处理。
四、安全计算环境
1,身份鉴别
用户密码策略具有复杂度要求并定期更换检测机制、限制非法登录次数,身份鉴别技术采用两种或两种以上组合,其中一种至少包含如动态口令、密码技术、指纹识别等。
ER: 当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制
2,访问控制
应进行角色划分,对登录的用户分配账户和默认最小权限;及时删除或停用过期账户;对敏感信息设置安全标记并可控制对有安全标记资源的访问
ER:
a) 应保证当虚拟机迁移时,访问控制策略随其迁移
b) 应允许云服务客户设置不同虚拟机之间的访问控制策略
3,安全审计
启动安全审计功能,覆盖到每个用户,对重要的用户行为和安全事件进行审计;对审计记录进行定期备份,审计记录存留时间合规;对审计程序有保护手段,防止未经授权的中断
4,入侵防范
能发现可能存在的漏洞,并及时修补漏洞;遵循最小安装原则,应关闭不需要的系统服务、高危端口;
能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
ER: 能够检测虚拟机之间的资源隔离失效、非授权新建虚拟机、恶意代码感染在虚拟机间蔓延等情况,并进行告警
5,恶意代码防范
能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警
6,可信验证
对核心程序和配置参数具备动态可信验证方案,关键环节出现问题及时告警记录
7,数据完整性
应采用校验码技术或密码技术保证重要数据在传输过程和存储过程中的完整性, 包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
8,数据保密性
应采用密码技术保证重要数据在传输过程和存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等
ER:
a) 应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限
b) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施
c) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程
9,数据备份恢复
应提供重要数据的本地数据备份与恢复功能;应提供异地实时备份功能;应提供重要数据处理系统的热冗余,保证系统的高可用性
ER:
a) 云服务客户应在本地保存其业务数据的备份
b) 应提供查询云服务客户数据及备份存储位置的能力
c) 云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致
d) 应为云服务客户将业务系统及数据迁移到其他云计算平台和本地系统提供技术手段,并协助完成迁移过程。
10,剩余信息保护
应保证存有敏感数据和鉴别信息所在的存储空间被释放或重新分配前得到完全清除
ER:
a) 应保证虚拟机所使用的内存和存储空间回收时得到完全清除
b) 云服务客户删除业务应用数据时,云计算平台应将云存储中所有副本删除
11,个人信息保护
应采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息
ER: 镜像和快照保护
a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务
b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改
c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源非法访问
--建设策略
1,云平台相关包括租户、运维、运营等系统设计应考虑至少2种身份认证机制,包括密码、动态口令等,用户密码长度、复杂度、更换周期等应符合标准要求,用户信息应加密存储;平台用户应具备角色管理模块,不同角色授予最小权限;重要的用户行为应具备审计功能;
2,推荐安全客户端产品通过植入主机系统提供入侵防范、恶意代码检测、防病毒等功能;
3,云平台提供迁移功能,支持业务系统迁移到其他平台;提供重要数据异地实时备份和恢复功能;提供镜像、快照功能并具备完整性校验,当租户删除业务数据时,对应存储空间的所有副本数据完全删除;提供租户侧自助密钥管理解决方案如AK/SK等。
4,云平台对相关组件、服务如openssh、mysql、apache、php等遵循最小安全原则,对已知漏洞具备发现和预先修补能力。
五、安全管理中心
1,集中管控
划分特定管理区域,对安全设备或组件集中管控;对审计数据集中汇总和分析;对安全策略、恶意代码、补丁升级相关事项集中管理;对网络、服务器、安全设备集中监控并对发生的安全事件进行识别、分析和报警。
ER:
a) 应能对物理资源和虚拟资源按照策略做统一管理调度与分配
b) 应保证云计算平台管理流量与云服务客户业务流量分离
c) 应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计
d) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测
--建设策略
推荐云平台基于公有云同源架构分别提供云服务商侧视角的underlay和租户侧视角的overlay的资源监控、审计数据、资源调度和流量分离方案。