《網絡安全法》出臺後,網絡安全等級保護制度上升到了法律層面,不做等保就“等於”違法早已深入人心。等保2.0最大的特點就是從原有傳統系統基礎上延伸到了雲計算、移動互聯、物聯網和大數據等新興領域,因此雲上用戶從12月1日正式迎來雲等保大考驗。
那麼,問題來了,等保條款那麼多,用戶在雲上看不見摸不着,對物聯網要求又一頭霧水,該測什麼?能測什麼?等保物聯網擴展要求怎麼做才能合規?用戶到底該關注哪些內容呢?在做等保過程中,雲服務商到底能幫助用戶做什麼呢?
面對大量的上述諮詢和疑惑,阿里雲發佈了全國首個《阿里公共雲用戶等保2.0合規能力白皮書》,針對等保通用安全要求、雲技術及物聯網擴展要求一一解答。
(一)擇“優”雲服務商才能得優
按照等保2.0定級指南要求,明確指出雲上用戶應用系統和雲服務商雲計算部分、物聯網部分要分別作爲單獨的定級對象。同時,等保2.0測評要求又有了更新變化,測評結論從原有等保1.0時代的“符合、基本符合、不符合”變成現在的“優、良、中、差”,低於70分就是差,70分以上纔算基本符合要求,因此及格分數調高了,測評要求也更嚴格了。
同時,對於用戶來說想要拿到“優”,必須同時滿足以下三個條件:(1)選擇的雲平臺等級測評結論爲優;(2)業務應用系統存在的問題中無中、高風險項;(3)得分高於90分(含90分)。也就是說,用戶的等保測評結論與雲平臺綁定,只有選擇測評結論爲“優”的雲平臺,用戶纔有可能拿到“優”。
作爲雲等保2.0時代的先行者和踐行者,阿里雲繼2016年成爲全國唯一一家雲計算等保新標準試點示範單位後,又再一次成爲全國首家以高分通過權威機構等保2.0測評的雲服務商,爲雲上用戶拿“優”奠定了良好基礎。
(二)公共雲上比雲下等保測評更輕鬆
除了選擇優質的雲平臺,如果用戶想要拿到較好的測評結論,還需要關注哪些點呢?白皮書中明確指出雲上用戶等保測評範圍和使用的雲服務模式緊密相關。
白皮書一方面根據IaaS、PaaS和SaaS服務模式對阿里雲全系雲產品進行了分類,讓用戶能夠快速定位到自己使用的雲產品到底屬於哪種服務模式;另一方面明確了三種服務模式下雲上用戶適用的等保2.0標準中的技術條款,讓用戶提前準備需要關注的測評指標和範圍。
圖1 不同服務模式下的雲上用戶等保2.0技術測評項數量
從圖1不同服務模式下的雲上用戶等保2.0技術測評項可以看出,如果用戶是自建雲平臺或傳統IDC託管,那麼等保中的所有技術條款都要進行測評。如果是IaaS用戶,只需關注涉及自身虛擬基礎環境和業務應用系統安全的83項技術指標,不需關注物理機房環境和雲平臺網絡等內容,測評條款數約是自建雲平臺的62.4%。如果是PaaS用戶則需要測評內容更少,只需要關注涉及產品配置以及自身業務應用系統安全的49項技術指標,測評範圍是自建雲平臺的36.8%。對於SaaS用戶來說,只需要關注涉及應用安全配置以及業務數據保護的45項技術指標,需要投入的人力和經費成本也最少。
綜合來講,雲時代因服務模式不同帶來的雲上用戶合規責任的變化,使得公共雲用戶比自建雲平臺或傳統IDC用戶在等保2.0中投入的合規成本大幅降低,並且在PaaS和SaaS服務模式下優勢更爲突出,可以讓用戶將更多精力聚焦自身的業務應用系統和數據安全保護上。
(三)物聯網擴展要求其實不難
根據等保2.0物聯網三級要求,物聯網場景用戶需關注包括感知節點設備物理防護、接入控制、入侵防範、感知節點設備安全、網關節點設備安全、抗數據重放、數據融合處理及感知節點管理這8大要求,共計20條要求項。
白皮書根據這8大要求,通過阿里雲IoT安全產品進行了合規性闡述,讓用戶能夠通過阿里雲快速定位到更安全、更便捷、更輕量的安全產品。
不論用戶是自建物聯網平臺或使用阿里雲物聯網平臺,用戶都需要關注涉及設備物理防護及感知節點管理相關的7條技術指標。
作爲物聯網領域的先驅者,阿里雲具備全面的物聯網安全基礎設施能力,包括具有自主知識產權的物聯網可信執行環境、設備身份認證、可信服務管理,並結合阿里雲大數據強大的安全情報、風險檢測和分析能力及人工智能構建物聯網安全運營中心,爲用戶提供設備全生命週期安全管理服務,爲用戶通過物聯網擴展要求奠定了堅實的基礎。
(四)阿里雲助力雲上用戶通過等保2.0考驗
白皮書依照雲計算等保2.0合規能力技術體系,結合阿里雲安全技術和管理優勢,詳細闡述了用戶等保合規體系,需要依賴雲平臺安全、雲產品安全、雲安全產品以及只能由用戶自建的四項安全能力。
其中,雲平臺安全能力由阿里雲自行承擔,用戶無需關注;雲產品安全能力則是利用雲計算優勢雲平臺自帶的原生安全能力以及雲產品默認的安全屬性,用戶只需負責安全配置;雲安全產品能力是基於阿里巴巴集團多年的安全實踐以及雲平臺常態化的攻防實踐,爲雲上用戶提供專業的安全產品和服務。
圖2 阿里雲IaaS服務模式下用戶等保2.0安全能力組成
白皮書從最典型的IaaS服務模式場景出發,通過上述四項安全能力,爲用戶提供了最佳安全合規實踐指引。從圖2可以看出,用戶在依賴雲平臺安全能力基礎之上,利用雲原生安全優勢和產品默認安全屬性,直接實現66項(佔79.1%)技術控制點安全能力。同時,如果用戶還可以選擇配套的阿里雲安全產品,實現55項(佔65.1%)技術控制點安全能力,我們也面向不同需求用戶提供了等保2.0安全套餐,爲用戶順利通過等保2.0保駕護航。
等保2.0已正式實施,雲等保作爲等保2.0時代的重要創新,用戶需要了解雲上等保與傳統雲下等保的區別,也要充分利用雲計算、物聯網服務模式帶來的技術優勢,更好的複用雲基礎設施的合規能力,讓自己更聚焦於自身的業務應用系統和數據安全保護。
