云计算环境下的等保2.0应用实践

云计算数据中心等保2.0解决方案目录1建设原则 (3)2等保相关要求 (3)3安全架构 (6)4云平台安全 (7)5网络安全 (7)6WEB 应用安全 (18)7主机安全 (20)8数据安全 (23)9安全系统间联动要求 (25)1 建设原则云平台按网络安全等级保护第三级要求进行建设。

根据云平台数据中心不同业务功能区域之间的隔离需求，将数据中心的网络按照功能的不同分成多个业务区域，各业务区域之间实现网络的不同程度隔离。

考虑整体的安全防护时，整体安全策略需要遵循下列原则：（1）最小授权原则依据“缺省拒绝”的方式制定防护策略。

防护策略在身份鉴别的基础上，只授权开放必要的访问权限，并保证数据安全的完整性、机密性、可用性。

（2）业务相关性原则在保证业务正常运行、保证效率的情况下分别设置相应的安全防护策略。

（3）策略最大化原则当存在多项不同安全策略时，安全域防护策略包含这些策略的合集，并选取最严格的防护策略，安全域的防护必须遵循策略最大化原则。

在云平台总体安全架构建设方面，按纵深防御思想进行设计：第一层防护：外部单位至云数据中心的物理边界防护，即云平台南北向的安全防护；第二层防护：数据中心不同业务区之间的安全防护；第三层防护：数据中心内部，不同租户间的东西向防护采用V PC 中虚拟防火墙进行访问控制，同一租户内的业务隔离采用安全组的方式进行控制；第四层防护：在数据中心，部署安全资源池，各租户根据其需求调用安全资源池中的防护能力，用于满足租户的安全需求。

2 等保相关要求根据等保2.0 相关要求，本期部署相应的安全产品，具体等保重点要求内容如下表：安全管理中心管理应通过审计管理员对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等日志审计系统集中管控应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求日志审计系统3 安全架构（4）计算存储区安全资源池本身是将多种安全设备、安全功能及安全服务统一起来，提供灵活的应用接口，为租户提供安全资源服务。

等级保护2.0——云计算安全扩展要求（上）概述云计算安全扩展要求是在安全通⽤要求的基础上针对云计算的特点提出特殊保护要求。

也就是说，在云计算环境中为了满⾜等保2.0的保准要求，既要满⾜安全通⽤要求，也要满⾜针对云计算提出的特殊保护要求。

云计算安全扩展要求也分为技术要求和管理要求两⼤类。

安全物理环境云计算安全扩展要求安全物理环境中的基础设施位置要求云计算基础设施位于中国境内。

这是对提供云计算服务的云服务商提出的要求，由于在云计算环境中，数据的实际存储位置往往是不受客户控制的，客户的数据可能存储在境外数据中⼼，这就改变了数据和业务的司法管辖关系，需要注意的是，有些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中⼼的途径，甚⾄要求云服务商提供位于他国数据中⼼的数据。

这使得客户的业务和数据隐私安全不能得到有效的保障。

安全通信⽹络——⽹络架构应保证云计算平台不承载⾼于其安全保护等级的业务应⽤系统】解读：云计算环境中云服务商提供的云平台与客户的业务系统是需要分别单独定级的，那么云计算平台的等级保护等级必然不能低于其承载的客户业务系统的安全保护等级。

【应实现不同云客户虚拟⽹络之间的隔离】解读：除私有云外，整个云计算平台是由多个客户共享的，因此云服务商提供的云计算平台应具备隔离不同客户系统的能⼒，使得客户的虚拟⽹络在逻辑上实现独享。

【应具有根据云服务客户业务需求提供通信传输、边界防护、⼊侵防范等安全机制的能⼒】解读：云服务商在保证云计算平台达到相应等级的安全防护⽔平外，还应将相应的安全防护机制提供给客户。

【应具有根据云服务客户业务需求⾃主设置安全策略的能⼒，包括定义访问路径、选择安全组件、配置安全策略】解读：客户的业务系统也是根据其对应的安全保护级别来部署安全防护措施，因此云计算平台应将相应的安全能⼒提供给客户，使⽤户可以根据需求进⾏⾃主选择、部署、配置。

【应提供开放接⼝或开放性安全服务，允许云服务客户接⼊第三⽅安全产品或在云计算平台选择第三⽅安全服务】解读：这⾥是对云计算平台的兼容性提出的要求，有些客户可能根据其特殊的安全需求，需要引⼊云平台提供的安全防护之外的安全技术或产品，云计算平台应提供相应的开放接⼝供产品或服务的接⼊。

等保2.0与云安全方案目录一、等保2.0时代安全内外环境发生变化 (3)二、全面布局应对云安全挑战 (4)一、等保2.0时代安全内外环境发生变化今年《网络安全法》颁布实施，新修订的网络安全等级保护标准也陆续出台，以适应新技术变化的应用环境，标志着等级保护工作进入到了2.0时代。

与等保 1 . 0 时代不同，当前的信息系统架构更加复杂，新技术不断得到应用，安全威胁也更加强大。

因此，2.0版本的等级保护标准采取了更加灵活的模式，通用要求与面向云计算、工业控制、物联网、移动互联网等新技术的扩展要求相结合，为不同的应用场景提供差异化的安全防护最佳实践。

在安全能力方面，等级保护2.0标准也提出了更高的要求。

一方面，检测深度进一步加强，增加了对未知攻击、内部攻击的检测要求；另一方面，防护能力进一步提升，增加了对无线安全、邮件安全等的防护要求。

总之，等级保护2.0是应对当前主要网络安全威胁的重要指导方针。

云计算安全是等级保护2.0的核心内容之一。

等级保护2.0对云计算技术的主要安全风险做了分析，并提出了相应的防护要求。

可以说，云计算技术正在或已成为当前数据中心建设的核心技术。

如何识别云计算技术的安全风险，并将其纳入到数据中心整体风险管理体系，通过一系列的安全治理将其控制到一个可以接受的范围，是当前数据中心建设运营团队的重要关注点。

这样的应用环境对网络安全厂商而言，既是机遇也是挑战。

Gartner市场预测提出，全球云安全服务将保持强劲增长势头，整体增速高于信息安全总体市场，一方面是安全合规需求，另一方面就是高端数据泄漏的压力。

如何把握时代新需求，调整产品和服务策略，即是当前各网络安全厂商重点考虑的工作重心。

二、全面布局应对云安全挑战作为国内网络安全的领军企业，绿盟积极参与等级保护2.0标准的制定工作，将自己在云安全方面的实践经验展现出来，为标准的最终形成贡献了自己的力量。

同时，结合等级保护2.0云计算标准的防护要求，绿盟也形成了自己对云安全的理解，围绕云计算的安全需求打造预警、防护、检测、响应闭环的自适应防御能力体系。

[键入文档标题] [键入文档副标题]目录1. 1..................................................................................................... 云计算安全威胁与关键技术 (2)1.1云计算模型与应用模式 (2)1.2云计算安全威胁与挑战 (3)1.3云计算安全技术体系框架 (5)2. 2....................................................................................................................................解决方案 (7)云计算基础设施脆弱性管理 (7)虚拟网络及应用安全防护 (9)云管配平台 (10)1.云计算安全威胁与关键技术云计算具有按需服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务、多用户等特征，为信息系统的安全保障提出了新的挑战。

云计算环境催生了新的信息安全技术，包括：虚拟机隔离、多用户隔离、共享虚拟化资源池的数据保护和自销毁、远程接入云等。

同时，传统信息安全技术在云计算环境下存在大量的现实需求，包括：访问控制、数据传输和存储加密、身份认证、系统安全加固、漏洞扫描、安全配置管理等，由于云计算的新特点和面临的新威胁，使得这些技术需要在云计算环境下进一步发展。

云计算安全涉及到云监管方、云使用方、云提供方三种角色。

云监管方主要关注和云计算相关的安全制度、政策制定，云计算安全标准的制定，云计算安全水平评级，以及服务许可与监管等方面。

云使用方主要关注用户数据和隐私的私密性问题、使用云服务给客户带来的安全问题，如何保证服务连续性的问题，以及云中用户数据的备份和恢复问题。

云提供方主要关注云服务安全保障问题、云计算环境风险识别和管理、数据存储和容灾问题、云审计问题以及法规遵从问题。

云等保2.0（三级）安全解决方案日期：制作人：1.项目概述1.1.项目建设背景1.1.1.云计算环境风险1.1.1.1.云计算面临的安全威胁云安全联盟作为业界权威组织，致力于在云计算环境下为业界提供最佳安全解决方案，其列出的《2016年十二大云安全威胁》，我们可以根据这份发布的报告来了解云计算所面临的相关重要安全威胁，制定解决方案，调整防御策略。

1.1.1.1.1.数据泄露由于有大量数据存储在云平台上，云服务商很容易成为众多攻击者的目标。

一旦某个云平台受到攻击或设置错误而引发数据泄露，其损失和影响将是不可估量的。

通常有三种基本威胁会导致云计算服务发生数据泄漏：第一，云计算软件的配置错误或者软件中的瑕疵。

第二，黑客窃取数据。

第三，员工处理数据的疏忽。

1.1.1.1.2.身份验证和凭证被盗任何单一或松散的身份验证、弱密码、不安全的密钥或证书管理对云平台所造成的安全影响也是致命的。

1.1.1.1.3.界面和安全目前，云服务和应用程序均提供接口。

人员利用对云服务进行配置、管理、协调和监控，也在这些接口的基础上进行开发，并提供附加服务。

因此，不安全的或没有合适的安全措施，就会成为攻击者的一扇门。

可能存在的攻击类型包括越权访问、注入攻击和跨站请求伪造攻击。

1.1.1.1.4.系统漏洞问题云服务商提供的基础资源属于共享设施，所以其共有的系统安全漏洞可能会存在于所有使用者的云资源当中。

这给攻击者提供了便利的攻击途径，并节省了大量的研究成本，一个业务被攻陷后，同一个云中的其它业务很可能会被同一种攻击类型攻击成功。

1.1.1.1.5.帐户劫持如果攻击者获取了远程管理云平台资源的帐户登录信息，就很容易对业务运行数据进行窃取与破坏。

同时，攻击者还可以利用云平台的资源优势对其它业务系统发起攻击。

1.1.1.1.6.恶意内部人员人们在部署各式安全防护设备的同时，往往会忽略来自内部人员的恶意危害，这些人可能会是云服务商及客户在职或离职人员。

等保2.0安全计算环境整改实施步骤随着信息化技术的日新月异，网络安全问题成为企业和政府部门亟需解决的重要课题。

为了保障信息系统的安全性，我国国家信息安全等级保护（下文简称“等保”）2.0标准作为国家强制性的信息安全标准，规定了各类信息系统的安全等级和相应的安全保护要求。

在实际应用中，各单位需要对自己的信息系统进行等保整改，以满足等保2.0标准的要求。

本文将就等保2.0安全计算环境整改实施步骤进行探讨和阐述。

一、整改前的准备在进行等保2.0安全计算环境整改之前，首先需要对整改工作进行详细的规划和准备，具体包括以下几个方面：1. 确定整改的范围和目标。

在整改开始前，需要明确整改的范围，即确定哪些信息系统需要进行整改，以及整改的具体目标是什么。

2. 制定整改计划。

制定整改计划是整个整改工作的重要一步，包括整改的时间节点、责任人、工作任务等等。

3. 资源准备。

整改工作需要相关的人力、物力、财力等资源的支持，因此在整改前需要对相关资源进行充分的准备和调配。

4. 风险评估和风险控制。

在进行整改前，需要对整改工作可能面临的风险进行评估，并采取相应的措施进行风险控制。

二、整改实施的具体步骤1. 安全风险评估在整改实施前，首先需要对信息系统的安全风险进行全面的评估。

评估的主要内容包括对系统的漏洞、弱点、敏感数据等进行全面的扫描和检测，以确定系统的安全风险状况。

2. 制定整改方案在进行安全风险评估后，根据评估结果制定整改方案。

整改方案应包括整改的具体内容、整改的时间节点、整改的责任人等信息。

3. 确定整改措施根据整改方案确定整改的具体措施，包括系统加固、安全配置、敏感数据的加密等措施。

还需要对可能存在的系统漏洞进行补丁管理和安全更新。

4. 实施整改措施根据确定的整改措施，对信息系统进行实施整改。

整改的实施需要全面、深入的进行，确保整改措施能够有效地落实到位。

5. 审计和验收在整改工作完成后，需要对整改的效果进行审计和验收。

阿里云等保2.0安全解决方案及客户案例
上云过等保合规，高性价比满足监管需求，护云盾分享阿里云安全等保2.0解决方案及客户案例：
阿里云安全等保2.0解决方案
阿里云安全帮助您快速、省心地通过等保合规。

在阿里云，您可享受一站式等保测评，包括完备的攻击防护、数据审计、数据备份、加密、安全管理服务。

在等保二级基础上，叠加必要的安全产品及高可用架构，满足三级要求。

解决问题
服务器安全、网络安全、应用安全
数据安全、安全审计、安全管理
客户案例
【客户介绍】
“点我达”致力于末端即时物流服务，以众包共享模式，为用户提供直接从门到门的极速、准时、可信赖的物品送达服务。

物流行业对网络安全等级保护要求十分严格，在详细了解了阿里云提供的一站式等保服务后，非常认可这种高效的服务模式。

【提供服务】
为点我达构建符合国家要求的等保三级系统，满足等保专项检查等级保护制度要求。

提供的“一站式等保合规安全方案”为点我达引进强有力的合作伙伴，保障了专项检查风险测评、渗透测试服务交付质量。

【使用产品】
等保三级产品套餐
客户最佳实践
本实践重点解决企业办公、生产等IT系统迁移到阿里云后，在做网络安全等级保护二、三级测评的时候，需要开通的相关产品、如何配置及安全防护效果的说明。

在该方案下，我们推荐了配套的《企业上云等保二级最佳实践》教你选择产品、并快速完成部署。

详细参考下方官方文档：
参考文档
官方文档：《等级保护二级评测篇》 - 阿里云
>注意：选购阿里云DDoS高防产品，可领取阿里云2000元代金券，符合条件的订单可以优先使用代金券抵扣订单金额
原文地址。