数字经济时代,大众对于个人身份信息、网络通信记录、财产征信信息、个人健康医疗信息等数据的安全意识越来越高。近年来,全球范围内频发数据安全事件,更是将数据安全问题上升到国家公共安全层面。
今年5月16日,在公安部主办的网络安全等级保护制度2.0国家标准宣贯会上发布了《GB/T22239-2019网络安全等级保护基本要求》等标准(以下简称:等保2.0),并将于下月1日正式实施,可谓实施在即。
UCloud一直坚守“安全第一准则”,并致力于为用户构建一个安全可信赖的云平台。2019年5月,UCloud高分通过了国家网络安全等级保护三级复评,并深入分析等保2.0云计算安全扩展要求,为云平台客户提供云等保2.0通关指南。
云平台和平台用户,共担安全责任
结合《网络安全法》的相关规定,关系国计民生的金融、医疗、教育等重点行业,以及云计算、物联网、大数据等新技术应用企业,均须开展网络安全等级保护工作。
实际上,等保2.0标准针对云计算的安全责任边界进行了划分,并非用户将业务系统迁移至云端就可满足等保2.0的要求,安全责任需要云平台和平台用户共同承担。对于云计算平台用户而言,如何与云平台共担安全责任?
1. 如何共担责任?
在等保2.0标准中,安全责任主体一分为二,云平台和云平台客户共担安全责任,同时云平台可辅助平台用户完成等保测评。UCloud现已通过等保2.0三级测评,可为客户提供《UCloud平台通过三级等保的报告关键页及证明》文档资料,辅助平台客户完成等保测评工作。
2. 如何分别定级?
根据等保2.0标准,云平台和平台上承载的客户业务系统是分别定级的,云平台不应承载高于其安全保护等级的业务应用系统。也就是说,UCloud公有云平台通过的等保三级测评,可承载三级/二级的云客户业务系统。
3. 如何划分边界?
就IaaS模式来说,云服务平台的基础设施、硬件、资源抽象控制的安全责任在云平台,也就是UCloud需承担云平台的安全,而用户需自身负责云平台之上的虚拟计算资源、软件平台、业务应用平台的安全责任。
构建云平台安全基础
UCloud高分通过了权威测评机构——上海市网络技术综合应用研究所的国家网络安全等级保护三级复评,这意味着UCloud在基础设施安全、虚拟化安全、数据安全、安全管理中心等方面均满足安全要求。
1. 基础设施安全
UCloud数据中心在物理位置、访问控制、防火、防水、防雷、防盗、防静电、温湿度控制、电力供应及电磁防护等方面,全面符合等保三级要求。与此同时,数据中心设立安全专区,采用边界防火墙、DPI检测、网络流量清洗、DDoS攻击防护、WAF应用防护等多项安全手段组合,打造云平台安全基础。
2. 虚拟化安全
在云平台核心的虚拟化安全领域,UCloud采用OpenFlow技术实现了物理宿主机和云客户虚拟机网络隔离,保障了平台上各租户间的隔离;同时,利用网络包分析等手段实时检测云平台虚拟机的DDoS OUT风险;此外,采用完整性校验机制来进行虚拟机迁移,确保迁移安全。
3. 数据安全
对于数据传输,UCloud均采用HTTPS等加密协议或安全专线传输;对于数据存储,UCloud采用强加密、分类分级进行保护,并利用分布式存储保障数据的可用性;对于废弃数据删除,UCloud采用擦除清零及消磁等手段,做到不可复原的安全删除。
4. 安全管理中心
遵循《网络安全法》,UCloud在网络、主机、应用各层面均做到日志审计,运维操作由堡垒机录屏审计,且确保审计记录均保存6个月以上;同时构建了云安全管理中心,通过大数据分析手段实时检测、防御、管控安全事件;此外,安全管理采取三权分立机制,划分网络管理、系统管理、审计管理及安全管理团队,以此帮助客户严控操作风险、安全管理云平台。
8重保护,提供一站式等保2.0方案
针对用户自身负责的云平台之上的虚拟计算资源、软件平台、业务应用平台的安全工作,UCloud依托云平台基础设施环境已通过的等保三级优质保障推出了 “一站式”的安全合规方案,提供了丰富、全面的云安全产品服务,可帮助云平台客户快速完成等保2.0测评工作。
1. 边界防护
UCloud等保2.0合规解决方案为云平台客户免费提供了一定流量的DDoS攻击基础防护,若攻击超过免费阈值时,客户可一键开通高防防护,支持防护ACK、SYN、连接耗尽等各类常见攻击,最高扛住1Tbps的攻击防护。
2. Web防护
UCloud等保2.0合规解决方案提供了UWAF应用防火墙和UWS Web漏洞扫描系统两款Web防护产品。
UWAF应用防火墙可完成CC防护及常见Web漏洞检测和拦截,具备网页防篡改功能,并隐藏源站,防止对源站的直接攻击,从而降低停机、篡改和数据失窃的风险,保障网站业务的可用性、完整性。
UWS Web漏洞扫描系统可对网站域名进行一键扫描,主动及时发现漏洞,自动生成报告,避免漏洞被黑客利用影响网站安全。
3. 入侵防护
UCloud等保2.0合规解决方案提供的主机入侵检测系统能够实时检测正在发生的入侵行为,包括暴力破解、木马后门等行为,对主机风险进行评估,识别不安全配置、弱口令及安全漏洞等。
4. 虚拟网络隔离
在网络访问控制方面,UCloud等保2.0合规解决方案提供了“外网防火墙+VPC+ACL”的组合模式,客户通过该产品组合可实现对网络边界访问控制、各网络区域安全隔离以及访问规则设置等,为云平台和用户户的网络边界防护和隔离提供了安全保障。
5. 通信保密性/完整性
UCloud等保2.0合规解决方案提供了SSL数字证书服务,云平台客户使用SSL数字证书服务,可实现HTTPS安全传输,使网站安全可信,防劫持、防篡改、防监听。
6. 安全审计
UCloud等保2.0合规解决方案提供的“堡垒机+数据库审计+云日志审计”的审计组合可实现云主机、云数据库及云安全事件的审计功能,完成运维审计、数据审计、安全审计的全面审计,并提供双因子鉴别、权限管控等安全功能,满足等级保护、企业内控等审计要求。
7. 安全管理中心
UCloud等保2.0合规解决方案提供了态势感知系统,通过大数据分析和深度机器学习来发现潜在的入侵和高隐蔽性攻击,从而提高攻击行为的可见性、可溯源性和可防御性。
8. 容灾和冗余
UCloud等保2.0合规解决方案提供了负载均衡ULB,采用分布式架构,可为用户实现热备切换,保证系统业务高可用性。
深入行业,解析最佳等保2.0实践
对于绝大多数的行业客户来说,UCloud一站式等保2.0方案已能满足等保2.0测评要求,但仍有部分行业存在特殊安全内容需要重点关注,如金融、游戏、政府、医疗和教育行业。
1. 金融行业
金融企业对数据安全性、业务连续性、容灾备份具有较高的要求,因此上云通常采用“两地三中心”的部署模式,利用专线进行异地数据传输,实时热备应用负载均衡。
针对金融企业,UCloud推出了混合云部署方案,金融企业可选择【自建IDC/托管专区+UCloud公有云】上云方案,构建两地三中心,以此保障同城/异地容灾能力,从而满足等保2.0的测评要求。
2. 游戏行业
游戏行业是网络攻击的重灾区,往往面临DDoS等攻击的安全威胁。对此,UCloud的DDoS攻击防护产品和WAF企业防火墙产品能够帮助游戏客户轻松应对网络攻击,保障游戏业务可用性。值得关注的一点是,实名游戏用户达到百万以上的企业,则应满足等保三级的安全要求。
3. 政府/医疗/教育行业
政府、医疗和教育行业因为涉及大量公民个人敏感数据,对于数据安全的要求也非常高。通常,这些企业上云时应重视网络隔离与分区。UCloud公有云的VPC子网方案能够保障核心网络区域与互联网区域间通信受控,并使用堡垒机严控运维操作,采用数据库审计保护敏感信息,更好地确保数据的安全。
UCloud等保2.0合规解决方案通过遵从“一个中心、三重防护”的安全架构设计,能够更好的帮助用户满足等保2.0和《网络安全法》的合规要求。
除了等保三级测评外,UCloud还获得了ISO 27001/20000/9001、CSA STAR云安全、PCI DSS支付卡数据安全等多项安全认证。这一系列国际认证的获得,表明UCloud无论是自身管理体系,还是保证客户数据安全方面,均符合国际公认的权威标准。