云计算系统等保测评实践
(一)系统边界划分
我们在做等级测评时,首先面对的问题是如何合理对云计算系统进行准确划分,只有合理的对云计算系统准确划分、找出系统的边界,才能通过测评判断业务应用系统的安全防护措施是否与系统重要性等级向匹配。因此我们依然要从业务应用的角度出发来寻找系统边界。
一个典型的云计算系统架构。
这是一个典型云计算系统架构,基本上是一个二层架构,路由器下面接交换机,交换机下面接的全部是通用服务器。相当一部分网络访问控制功能是由软件和策略实现的,不再完全依赖网络访问控制硬件设备。在这样的架构中,应用系统可以快速的部署、快速迭代和快速调整。但是网络访问控制功能和硬件呈现松耦合状态,我们再用传统信息系统划分找物理边界的方法已经无法实现。
面对这样的云计算系统,如果依然用传统从物理设备的划分上找系统边界就容易忽略系统定级划分的“初心”,这个“初心”是对系统的业务信息和服务的重要性等级的确定。如果仅仅从物理设备的划分上找系统边界,我们无法将云计算系统与其承载的业务应用的信息和服务的重要性等级相对应。
因此,在这样的架构下寻找系统边界,我们依然要“不忘初心”。也就是说我们要从业务应用出发,搞清楚云计算系统承载了多少个业务应用、这些业务应用使用哪些系统模块,系统模块彼此间依赖关系是什么、有没有多个业务应用公共用的模块,再往下看这些模块有没有相对独立硬件资源池。只有这样层层向下,抽丝剥茧,才能最终确定系统边界。
云计算系统边界划分有两种基本场景。
在场景1中,存在业务应用不独占硬件物理资源或硬件物理资源上运行的基础服务系统是所有业务应用公用的情况,这时定级系统的边界应划在虚拟边界处,这个虚拟边界就是运行业务应用所用到的最底层独占虚拟资源,通常是虚拟机。在这个场景中有3个业务应用,通过对业务应用的梳理,业务应用1单独成为一个定级系统,业务应用2和业务应用3组成另一个定级系统。这两个定级系统公用底层服务,因此我们把底层服务连同硬件一起作为一个定级系统。当这个场景提供的是一种云计算服务时,定级系统C就是云计算平台了,定级系统A和定级系统B就是云平台上承载的业务应用系统。
在场景2中,我们依然从业务应用梳理,找到与业务应用对应的系统模块,进一步梳理发现这些业务模块存在相对独立的底层服务和硬件资源,因此我们可以将整个系统边界划分到硬件物理设备,就像切蛋糕一样可以一刀切到底,从而确定出两个定级系统。如果这个场景对应的是对外提供服务的云计算系统,那么定级系统A就是一个使用了云计算技术的应用系统,而顶级系统B是另一个使用了云计算技术的应用系统。同理,我们依然可以在定级系统B上嵌套场景1的情况,那么定级系统B这个云计算平台有可能也会承载多个业务应用系统,这里就不重复赘述了。
以上是云计算系统边界划分方法。云计算系统定级过程中还有几点注意:
1.应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级
2.国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级
3.在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云服务客户侧的等级保护对象也应作为单独的定级对象定级
4.对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象
(二)测评指标与测评对象选择
下面我们再来看看在应用新标准过程中如何确定测评指标和测评对象。
首先对云计算系统进行测评时应同时使用安全通用要求部分和云计算安全扩展要求部分的相关要求。不能只是用云计算安全扩展要求。
在这个过程中根据云上系统的责任分担不同,要对安全通用要求和云计算安全扩展要求做拆分,抽取条款形成适用于云服务商和云服务客户的安全保护需求。
这时我们要考虑几方面因素,首先要确定被测云计算系统是云服务商的云计算平台还是云服务客户的业务应用系统。其次还要确定被测系统使用哪种服务模式,以此来确定保护责任。再次,我们还要根据保护责任的不同选择不同的对象,这里面就包括云计算系统较传统系统引入的新的测评对象类别。
(三)报告打分
云计算系统打分方法与传统系统一样,需要注意的是,在对云服务客户业务应用系统测评时打分是不需要与云计算平台的单项得分结果共同计算,只需将云服务客户业务应用系统侧可测评项打分后带入公式计算,云服务客户业务应用系统侧不可测项做“N/A”处理。新版测评报告打分公式是支持这种处理方式的。
那么是否完全不考虑云平台的得分结果呢?也不是,我们在做云服务客户业务应用系统测评前首先就要看云计算平台是否完成等级测评,然后索要云平台测评报告结论盖章页。在我们出具云服务客户业务应用系统报告时,将云平台测评得分一并放在最终得分一栏。如:云服务客户业务应用系统测评得分为85分,云计算平台得分为90分,则云服务客户业务应用系统等级测评报告得分栏填写“(85,90)”。