安全資訊

云計算是數字化轉型和信息化建設的重要組成部分，因其開(kāi)放性和復雜性，在網(wǎng)絡(luò )安全建設中面臨著(zhù)前所未有的挑戰，所以等保2.0中特別添加了云計算擴展要求，對企業(yè)云計算平臺建設起到很好的指導作用。

云等保對等保2.0的擴充，也是國內知名安全廠(chǎng)商一直在關(guān)注的事情。在看來(lái)，等級保護2.0的另一個(gè)重大發(fā)展就是對云計算等新型基礎架構出了額外的擴展要求，更加能夠適應新計算架構的結構特征。而安全等級保護2.0標準的一個(gè)核心變化就是從邊界防御的思維模式走向了全網(wǎng)協(xié)同防御的整體安全觀(guān)，是從以黑名單為主要防御技術(shù)走向以白名單為核心特征的零信任安全體系。零信任的思想在等保2.0標準中隨處可見(jiàn)，這也對云等保狀態(tài)下的網(wǎng)絡(luò )安全管理者提出了前所未有的新挑戰。

面對云等保2.0的安全要求，挑戰與應對

安全通用要求：8.2.3安全區域邊界 8.2.3.2入侵防范

c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量；

等保2.0的挑戰：本條的核心挑戰在于如何識別虛機間流量（容器間流量），基于傳統的防火墻或者其他流量分析產(chǎn)品都無(wú)法對虛擬流量做有效的捕捉與分析。

等保2.0的應對：通過(guò)工作負載上部署的輕代理，可以對虛機間流量做有效分析，并且是國內唯一可以對容器間流量做可視化分析的產(chǎn)品。

等保2.0應對策略

8.2.4安全計算環(huán)境 8.2.4.2訪(fǎng)問(wèn)控制

a)應保證當虛擬機遷移時(shí)，訪(fǎng)問(wèn)控制策略隨其遷移；

等保2.0的挑戰：云計算的一個(gè)重要特征就是經(jīng)常發(fā)生虛擬機漂移，因此必須確保當虛擬機漂移時(shí)策略能夠隨之遷移，否則就會(huì )造成業(yè)務(wù)的中斷或者安全的失控。

等保2.0的應對：自適應策略計算引擎，能夠實(shí)時(shí)捕捉虛機漂移、虛擬機上下線(xiàn)、克隆擴展等事件，并進(jìn)行自動(dòng)化策略重算，始終保持策略有效性。

b)應允許云服務(wù)客戶(hù)設置不同虛擬機之間的訪(fǎng)問(wèn)控制策略；（點(diǎn)到點(diǎn)訪(fǎng)問(wèn)控制）

等保2.0的挑戰：本條要求明確提出云計算環(huán)境應該具備點(diǎn)到點(diǎn)訪(fǎng)問(wèn)控制能力，而實(shí)際上目前的云計算環(huán)境基本只能提供VPC、安全組等邊界防御產(chǎn)品，用這種產(chǎn)品進(jìn)行虛機間訪(fǎng)問(wèn)控制不具備可行性和可擴展性，部署和運維的成本極高。

等保2.0的應對：自適應微隔離允許用戶(hù)以軟件定義隔離的形式，方便的對大規模網(wǎng)絡(luò )設置虛機間訪(fǎng)問(wèn)控制策略。

等保2.0應對策略

面對云時(shí)代下的等保2.0，將繼續依托專(zhuān)業(yè)的技術(shù)和服務(wù)力量,持之以恒地為用戶(hù)提供專(zhuān)業(yè)的安全產(chǎn)品和服務(wù),滿(mǎn)足用戶(hù)的合規等保2.0需求。