当今社会云计算的发展可谓是一路狂奔,飞速发展,从最早的服务器虚拟化到桌面虚拟化,到各类云应用,再到各大云平台,亚马逊云、阿里云、腾讯云、京东云以及运营商自己搞的电信云平台,移动云平台等,以及各种行业云,再到目前如火如荼的电子政务云,各地市都在搞政务云,应用大集中。确实越来越多的用户单位将自己的服务器或者应用托管到各类云平台中。托管完之后很多人认为终于把包袱扔出去了,省了很多事,不用再担心系统出问题了,出了问题也不是自己的事。其实不然,根据等保里面“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,只要这个应用需要你进行一定的维护,我们都需要对这个应用系统负责,对这个系统的安全负责,该做等保的还是得做等保。
云定级对象一般包括两部分,一是云平台本身,像我们各地市政府搞的政务云平台;行业客户搞的云平台,税务云,国土云之类;阿里云平台;电信的云平台;这几种平台需要平台运营方对这个平台单独进行定级备案、单独进行等保测评;在等保2.0里明确提出:对于公有云,定级流程为云平台先定级测评,再提供云服务。对于私有云,定级流程为云平台先定级测评,再将已定级应用系统向云平台迁移。二是云租户信息系统,比如某政府单位的门户网站系统,它迁移到市政务云平台后,还是需要该单位对这个门户网站独立定级备案,进行等保测评。当然涉及云平台端的内容可以不重复测评,测评结论直接引用即可,前提是建立在这个平台做了等保。
在等保2.0《网络安全等级保护测评要求第2部分:云计算安全扩展要求》中明确提出:云计算系统定级时,云服务商的云平台和云租户的应用系统应分别定级,云平台等级应不低于应用系统的安全保护等级。这就说明所有云平台下的系统都需要进行定级备案。云平台系统定级的重点在于定级对象管理职责的划分,职责的划分根据不同云计算服务模式采取不同划分方式。
(一) 对于IaaS基础设施服务模式,云服务商的职责范围包括虚拟机监视器和硬件,云租户的职责范围包括操作系统、中间件和应用等。
(二) 对于PaaS平台即服务的服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统和中间件,云租户的职责范围为应用。
(三) 对于SaaS软件服务模式,云服务商的职责范围包括硬件、虚拟机监视器、操作系统、中间件和应用,云租户的职责范围包括部分应用职责及用户使用职责。
通过上面的管理职责划分,可以看出在IaaS和PaaS模式下,云租户的职责范围比较明确,至少都要对自己的应用负责。在SaaS模式下,云租户需要对部分应用职责及用户使用职责负责,更多的时候可能只是对使用职责负责,那么这种情况下实际用户可以做的工作很少。不得不等建议大家:如果你们的云平台是IaaS和PaaS模式请及时开展等保工作,如果你们的云平台是SaaS模式,可以暂缓开展等保工作,当然条件允许你们也可以做。
最后就是各类云平台,不论是公有云的还是私有云的,请先把各自的云平台等保工作及时开展起来,通过等保测评后才能对外提供服务,平台都不安全,如何保证平台上的应用安全呢?如果云平台开展过测评了,云平台上的应用就参照上段所述的,IaaS和PaaS模式请及时开展等保工作,SaaS模式可暂缓开展等保工作。
