云計算是數字化轉型和信息化建設的重要組成部分,因其開放性和復雜性,在網絡安全建設中面臨著前所未有的挑戰,所以等保2.0中特別添加了云計算擴展要求,對企業云計算平臺建設起到很好的指導作用。
云等保對等保2.0的擴充,也是國內知名安全廠商網絡薔薇靈動一直在關注的事情。在薔薇靈動看來,等級保護2.0的另一個重大發展就是對云計算等新型基礎架構出了額外的擴展要求,更加能夠適應新計算架構的結構特征。而安全等級保護2.0標準的一個核心變化就是從邊界防御的思維模式走向了全網協同防御的整體安全觀,是從以黑名單為主要防御技術走向以白名單為核心特征的零信任安全體系。零信任的思想在等保2.0標準中隨處可見,這也對云等保狀態下的網絡安全管理者提出了前所未有的新挑戰。
面對云等保2.0的安全要求,挑戰與應對
安全通用要求:8.2.3安全區域邊界 8.2.3.2入侵防范
c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量;
等保2.0的挑戰:本條的核心挑戰在于如何識別虛機間流量(容器間流量),基于傳統的防火墻或者其他流量分析產品都無法對虛擬流量做有效的捕捉與分析。
等保2.0的應對:薔薇靈動通過工作負載上部署的輕代理,可以對虛機間流量做有效分析,并且是國內唯一可以對容器間流量做可視化分析的產品。
等保2.0應對策略
8.2.4安全計算環境 8.2.4.2訪問控制
a)應保證當虛擬機遷移時,訪問控制策略隨其遷移;
等保2.0的挑戰:云計算的一個重要特征就是經常發生虛擬機漂移,因此必須確保當虛擬機漂移時策略能夠隨之遷移,否則就會造成業務的中斷或者安全的失控。
等保2.0的應對:薔薇靈動自適應策略計算引擎,能夠實時捕捉虛機漂移、虛擬機上下線、克隆擴展等事件,并進行自動化策略重算,始終保持策略有效性。
b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略;(點到點訪問控制)
等保2.0的挑戰:本條要求明確提出云計算環境應該具備點到點訪問控制能力,而實際上目前的云計算環境基本只能提供VPC、安全組等邊界防御產品,用這種產品進行虛機間訪問控制不具備可行性和可擴展性,部署和運維的成本極高。
等保2.0的應對:薔薇靈動自適應微隔離允許用戶以軟件定義隔離的形式,方便的對大規模網絡設置虛機間訪問控制策略。
等保2.0應對策略
面對云時代下的等保2.0,薔薇靈動將繼續依托專業的技術和服務力量,持之以恒地為用戶提供專業的安全產品和服務,滿足用戶的合規等保2.0需求。
