云租戶網(wǎng)絡(luò)安全防護研究

1、云租戶網(wǎng)絡(luò)安全防護研究摘要：隨著云計算技術(shù)不斷發(fā)展與深化應(yīng)用，云平臺部署方式較傳統(tǒng)的IT系統(tǒng)部署已成為越來越多組織機構(gòu)更加傾向的IT系統(tǒng)部署解決方案。基于云計算虛擬化、資源池化、動態(tài)可擴展、服務(wù)可計量、按需自助服務(wù)和高可用性等特點，云平臺在給云租戶IT系統(tǒng)部署、升級優(yōu)化帶來極大的便利和運維成本顯著降低的同時，也在網(wǎng)絡(luò)安全防護方面引入了諸多安全隱患與挑戰(zhàn)。在等保2.0相關(guān)標(biāo)準(zhǔn)正式實施以來，有關(guān)部門高度重視云平臺和云租戶安全防護體系建設(shè)，本文將從云租戶角度對IT系統(tǒng)云化部署安全防護進行研究。關(guān)鍵詞：等級保護；云安全防護；云租戶安全策略；網(wǎng)絡(luò)安全體系近年來，隨著云計算技術(shù)與組織機構(gòu)信息化建設(shè)深入融合

2、，不斷推動云計算市場蓬勃發(fā)展，云計算更是被納入信息基礎(chǔ)設(shè)施中的新技術(shù)基礎(chǔ)設(shè)施建設(shè)，在組織機構(gòu)信息化轉(zhuǎn)型進程中的重要性日益突顯。云平臺在持續(xù)快速發(fā)展的同時，在巨大利益驅(qū)使下，使其成為黑客攻擊的重災(zāi)區(qū)。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計，2021年，我國云平臺網(wǎng)絡(luò)安全事件或威脅情況進一步加劇，DDoS攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的74.0%被植入后門鏈接數(shù)量占境內(nèi)全部被植入后門鏈接數(shù)量的86.3%被篡改網(wǎng)頁數(shù)量占境內(nèi)被篡改網(wǎng)頁數(shù)量的87.9%。由此可見，網(wǎng)絡(luò)安全已經(jīng)成為云計算發(fā)展的重要影響因素。同時，國家高度重視云計算行業(yè)安全、健康、穩(wěn)步發(fā)展，在等保2.0標(biāo)準(zhǔn)體系中，將云計算作為新技術(shù)新應(yīng)用

3、納入安全擴展要求，對第1頁共5頁云計算安全體系規(guī)劃建設(shè)、安全防護能力測評、安全責(zé)任落實監(jiān)管等環(huán)節(jié)提出更加規(guī)范、系統(tǒng)、全面的要求。受市場發(fā)展、安全形勢和政策監(jiān)管等多方面因素影響，一方面，云平臺供應(yīng)商不斷增加安全方面投入，在提升云平臺安全防護水平的同時，向云租戶提供的安全服務(wù)和產(chǎn)品也極大豐富。另一方面，云租戶對云上系統(tǒng)安全運行逐步重視，云安全需求日益增加。雖然云租戶將云安全作為云服務(wù)商選擇的重要條件，但對于云上IT系統(tǒng)的安全防護仍然存在一定的誤區(qū)，這就往往導(dǎo)致云租戶與云服務(wù)供應(yīng)商之間的安全責(zé)任真空地帶成為云上IT系統(tǒng)安全防護能力木桶效應(yīng)的短板。1具體表現(xiàn)(1)云服務(wù)供應(yīng)縱深延長，云租戶整體能力考察

4、不足由于云服務(wù)形式靈活多變，使得現(xiàn)階段云計算服務(wù)在實際研發(fā)、運營、維護過程中存在服務(wù)關(guān)系多層嵌套的現(xiàn)象，將云服務(wù)供應(yīng)鏈不斷延伸，從而導(dǎo)致云服務(wù)整體受攻擊面大大增加，安全風(fēng)險不斷滲透。云租戶在考察云服務(wù)商安全防護能力過程中，考察范圍大多局限于產(chǎn)生直接服務(wù)關(guān)系的云服務(wù)商，造成云服務(wù)供應(yīng)鏈整體能力考察深度不夠，反饋結(jié)果相對比較片面，無法真實反映云服務(wù)整體安全防護能力?；ハ嗲短?，相互依托的供應(yīng)鏈關(guān)系，可能會因為其中一環(huán)的安全問題，造成影響范圍擴大化，危害程度嚴(yán)重化。(2)云服務(wù)應(yīng)用場景復(fù)雜，云租戶安全責(zé)任劃分不清眾所周知，云服務(wù)分為IaaS、PaaS和SaaS三種服務(wù)模式，在不同的服務(wù)模式下各種應(yīng)用場

5、景存在差異，云安全責(zé)任劃分趨于復(fù)雜化。部分云租戶認(rèn)為“上云即安全”，對自身應(yīng)該承擔(dān)的安全責(zé)任認(rèn)識不夠明確，認(rèn)為IT系統(tǒng)只要部署于云平臺，安全責(zé)任就應(yīng)該由云供應(yīng)商負(fù)責(zé)，將云平臺安全等同為云上IT系統(tǒng)安全。更有云租戶在簽署云服務(wù)協(xié)議時，未明確規(guī)定雙方安全責(zé)任，甚至在未規(guī)定具體服務(wù)內(nèi)容和技術(shù)指標(biāo)的情況下進行IT系統(tǒng)上云。安全意識薄弱，安全責(zé)任劃分不清等因素會導(dǎo)致IT系統(tǒng)上云后，在安全防護方面對云服務(wù)商約束不夠，云租戶消極對待，出現(xiàn)安全責(zé)任真空現(xiàn)象，甚至造成安全事件責(zé)任糾紛。（3）云安全采購?fù)度朐黾樱谱鈶舭踩呗月鋵嵅粔蛟谱鈶魧υ瓢踩枨笕找嫫惹?，不斷加大云安全產(chǎn)品或服務(wù)的采購?fù)度耄糠衷谱鈶粝萑?/p>

6、了云安全產(chǎn)品堆疊即安全的誤區(qū)。認(rèn)為通過云安全產(chǎn)品/服務(wù)形式的多樣化采購，就可以滿足云上IT系統(tǒng)的安全防護需求，卻忽略了安全產(chǎn)品的協(xié)同運用和安全策略的落實，造成投入產(chǎn)出的嚴(yán)重不對等。安全策略落實不夠，一應(yīng)俱全的安全防護產(chǎn)品亦會對黑客攻擊束手無策，形同虛設(shè)，無法保障云上IT系統(tǒng)安全穩(wěn)定運行。2如何提升為了提升云上IT系統(tǒng)安全防護水平，云租戶應(yīng)注重云服務(wù)商整體能力考察、安全責(zé)任劃分和安全策略落實等工作。（1）云租戶要大力加強在云服務(wù)供應(yīng)商選擇方面的考察廣度和深度，對云服務(wù)供應(yīng)商從平臺安全能力、安全產(chǎn)品性能、安全運維水平、安全服務(wù)參數(shù)和供應(yīng)鏈安全等方面制定或委托第三方制定符合相關(guān)法律法規(guī)、政策文件、標(biāo)

7、準(zhǔn)規(guī)范和自身需求的評估指標(biāo)，進行全面考察評估。在確立服務(wù)關(guān)系后，更是要根據(jù)安全需求變化在服務(wù)期內(nèi)周期性或觸發(fā)性對云服務(wù)供應(yīng)商進行考察評估，確保其安全防護能力動態(tài)滿足云租戶IT系統(tǒng)在網(wǎng)絡(luò)安全方面的需求。（2）云租戶需清晰劃分與云服務(wù)供應(yīng)商之間的安全責(zé)任，并在云服務(wù)協(xié)議中明確規(guī)定雙方安全責(zé)任、云服務(wù)內(nèi)容、技術(shù)指標(biāo)和服務(wù)終止保障措施等，確保云租戶自身權(quán)益不受侵害。其中安全責(zé)任劃分可參考“云計算安全責(zé)任共擔(dān)模型”等相關(guān)依據(jù)，結(jié)合自身發(fā)展需要厘清應(yīng)該承擔(dān)的網(wǎng)絡(luò)安全責(zé)任。概括來說，在“云計算安全責(zé)任共擔(dān)模型”中將云計算安全責(zé)任劃分為：物理基礎(chǔ)設(shè)施、資源抽象和管理、操作系統(tǒng)、網(wǎng)絡(luò)控制、應(yīng)用、數(shù)據(jù)、身份識別和

8、訪問管理（IAM）七大類。其中，在SaaS服務(wù)模式下，云租戶對業(yè)務(wù)數(shù)據(jù)，身份鑒別和訪問管理等方面負(fù)有安全責(zé)任；在PaaS服務(wù)模式下，云租戶除SaaS服務(wù)模式下安全責(zé)任外還應(yīng)對應(yīng)用系統(tǒng)安全，云計算資源間或云計算資源與外部間的網(wǎng)絡(luò)通信等方面負(fù)有安全責(zé)任；在IaaS服務(wù)模式下，云租戶較PaaS服務(wù)模式，還應(yīng)承擔(dān)云主機操作系統(tǒng)安全、鏡像安全等責(zé)任。（3）云租戶應(yīng)根據(jù)等保2.0標(biāo)準(zhǔn)體系在云計算方面的要求，結(jié)合自身安全防護需求制定或委托第三方制定切合實際的安全防護策略和監(jiān)督機制，確保云租戶安全防護策略落實到位，使得云租戶采購并投入使用的安全產(chǎn)品/服務(wù)達到多點協(xié)同，縱深防御的安全防護目的。同時，云租戶應(yīng)以G

9、B/T22239-2021信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求為基本依據(jù)，積極落實等級保護責(zé)任，查找安全防護薄弱環(huán)節(jié)，對云租戶自身和云服務(wù)供應(yīng)商網(wǎng)絡(luò)安全工作落實情況形成閉環(huán)管理，從而不斷提升云租戶云上IT系統(tǒng)的安全防護水平。隨著云計算產(chǎn)業(yè)的蓬勃發(fā)展，云計算已經(jīng)深深融入民眾日常生活，組織機構(gòu)業(yè)務(wù)開展，國家經(jīng)濟發(fā)展等方方面面，其重要程度不言而喻。但在云計算安全能力建設(shè)得到高度重視，安全監(jiān)管機制不斷完善，安全技術(shù)應(yīng)用突飛猛進，安全防護水平有效提升的同時，仍然存在諸多問題。在云計算發(fā)展與應(yīng)用過程中，要清醒認(rèn)識到嚴(yán)峻的安全形勢，注重安全意識持續(xù)提升、安全責(zé)任有效落實、安全工作規(guī)范開展、安全監(jiān)管和政策制定與時俱進，確保云計算行業(yè)的健康發(fā)展。參考文獻：