400-0909-166
分享行业最新动态
面向采用云计算技术的等级保护对象的个性化保护需求,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)以云计算安全扩展要求的形式针对云计算特征要素提出安全要求。限于篇幅和描述方式,标准条款并未明确区分云计算平台和云服务客户业务系统,以及服务模式,实际测评工作中通常需要在作业指导书中加以识别。本文将以提供IaaS服务模式的第四级公有云为例,探讨和分析云计算安全扩展要求指标对云计算平台和其承载的云服务客户业务系统的不同适用性。
1. 区分原则
综合考虑云计算安全扩展要求关注的安全目标和实现方式,提出以下四个区分原则:
原则一:仅关注云计算平台自身安全防护(如基础设施位置的要求条款),或云计算平台向云服务客户提供的基础安全服务相关的安全要求(如不同云服务客户虚拟网络隔离的要求条款),只适用于云计算平台。
原则二:关注云计算平台为云服务客户提供且需要客户“自操作”的安全服务相关的安全要求(如确保云服务商对云服务客户的操作可审计的安全条款),同时适用于云计算平台和云服务客户业务系统。
原则三:分别关注云计算平台和云服务客户业务系统各自安全防护需求的安全要求(如虚拟网络边界访问控制的要求条款),同时适用于云计算平台和云服务客户业务系统。
原则四:仅关注云服务客户安全需求的安全要求(如“云服务商选择”控制点中安全要求),只适用于云服务客户业务系统。
2. 适用性结果
根据以上分析原则,以第四级测评指标为例,针对提供IaaS服务的公有云平台和云服务客户业务系统的指标适用性如下表。
表1 云计算安全扩展要求测评指标适用性(IaaS)
