1. 如何共擔責任?
在等保2.0標準中�,安全責任主體一分為二,云平臺和云平臺客戶共擔安全責任�,同時云平臺可輔助平臺用戶完成等保測評。UCloud現(xiàn)已通過等保2.0三級測評����,可為客戶提供《UCloud平臺通過三級等保的報告關(guān)鍵頁及證明》文檔資料,輔助平臺客戶完成等保測評工作����。
2. 如何分別定級����?
根據(jù)等保2.0標準,云平臺和平臺上承載的客戶業(yè)務(wù)系統(tǒng)是分別定級的����,云平臺不應(yīng)承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng)���。也就是說,UCloud公有云平臺通過的等保三級測評����,可承載三級/二級的云客戶業(yè)務(wù)系統(tǒng)。
3. 如何劃分邊界�?
就IaaS模式來說,云服務(wù)平臺的基礎(chǔ)設(shè)施���、硬件���、資源抽象控制的安全責任在云平臺,也就是UCloud需承擔云平臺的安全�,而用戶需自身負責云平臺之上的虛擬計算資源、軟件平臺��、業(yè)務(wù)應(yīng)用平臺的安全責任�����。
構(gòu)建云平臺安全基礎(chǔ)
UCloud高分通過了權(quán)威測評機構(gòu)——上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所的國家網(wǎng)絡(luò)安全等級保護三級復(fù)評�,這意味著UCloud在基礎(chǔ)設(shè)施安全�����、虛擬化安全����、數(shù)據(jù)安全�、安全管理中心等方面均滿足安全要求。
1. 基礎(chǔ)設(shè)施安全
UCloud數(shù)據(jù)中心在物理位置���、訪問控制��、防火��、防水�����、防雷�����、防盜、防靜電���、溫濕度控制�、電力供應(yīng)及電磁防護等方面,全面符合等保三級要求�����。與此同時�,數(shù)據(jù)中心設(shè)立安全專區(qū),采用邊界防火墻��、DPI檢測��、網(wǎng)絡(luò)流量清洗��、DDoS攻擊防護����、WAF應(yīng)用防護等多項安全手段組合,打造云平臺安全基礎(chǔ)��。
2. 虛擬化安全
在云平臺核心的虛擬化安全領(lǐng)域�����,UCloud采用OpenFlow技術(shù)實現(xiàn)了物理宿主機和云客戶虛擬機網(wǎng)絡(luò)隔離���,保障了平臺上各租戶間的隔離�;同時,利用網(wǎng)絡(luò)包分析等手段實時檢測云平臺虛擬機的DDoS
OUT風險��;此外�,采用完整性校驗機制來進行虛擬機遷移,確保遷移安全��。
3. 數(shù)據(jù)安全
對于數(shù)據(jù)傳輸����,UCloud均采用HTTPS等加密協(xié)議或安全專線傳輸;對于數(shù)據(jù)存儲��,UCloud采用強加密�、分類分級進行保護,并利用分布式存儲保障數(shù)據(jù)的可用性����;對于廢棄數(shù)據(jù)刪除,UCloud采用擦除清零及消磁等手段�,做到不可復(fù)原的安全刪除。
4. 安全管理中心
遵循《網(wǎng)絡(luò)安全法》��,UCloud在網(wǎng)絡(luò)、主機��、應(yīng)用各層面均做到日志審計���,運維操作由堡壘機錄屏審計,且確保審計記錄均保存6個月以上��;同時構(gòu)建了云安全管理中心���,通過大數(shù)據(jù)分析手段實時檢測����、防御����、管控安全事件;此外�����,安全管理采取三權(quán)分立機制��,劃分網(wǎng)絡(luò)管理�����、系統(tǒng)管理、審計管理及安全管理團隊����,以此幫助客戶嚴控操作風險、安全管理云平臺����。
8重保護,提供一站式等保2.0方案
針對用戶自身負責的云平臺之上的虛擬計算資源�����、軟件平臺���、業(yè)務(wù)應(yīng)用平臺的安全工作��,UCloud依托云平臺基礎(chǔ)設(shè)施環(huán)境已通過的等保三級優(yōu)質(zhì)保障推出了 “一站式”的安全合規(guī)方案�,提供了豐富����、全面的云安全產(chǎn)品服務(wù),可幫助云平臺客戶快速完成等保2.0測評工作�����。
1. 邊界防護
UCloud等保2.0合規(guī)解決方案為云平臺客戶免費提供了一定流量的DDoS攻擊基礎(chǔ)防護,若攻擊超過免費閾值時��,客戶可一鍵開通高防防護�,支持防護ACK����、SYN、連接耗盡等各類常見攻擊�,最高扛住1Tbps的攻擊防護。
2. Web防護
UCloud等保2.0合規(guī)解決方案提供了UWAF應(yīng)用防火墻和UWS Web漏洞掃描系統(tǒng)兩款Web防護產(chǎn)品�。
UWAF應(yīng)用防火墻可完成CC防護及常見Web漏洞檢測和攔截,具備網(wǎng)頁防篡改功能�,并隱藏源站,防止對源站的直接攻擊�����,從而降低停機�、篡改和數(shù)據(jù)失竊的風險,保障網(wǎng)站業(yè)務(wù)的可用性����、完整性。
UWS Web漏洞掃描系統(tǒng)可對網(wǎng)站域名進行一鍵掃描,主動及時發(fā)現(xiàn)漏洞�,自動生成報告,避免漏洞被黑客利用影響網(wǎng)站安全�����。
3. 入侵防護
UCloud等保2.0合規(guī)解決方案提供的主機入侵檢測系統(tǒng)能夠?qū)崟r檢測正在發(fā)生的入侵行為�����,包括暴力破解���、木馬后門等行為����,對主機風險進行評估�,識別不安全配置、弱口令及安全漏洞等��。
4. 虛擬網(wǎng)絡(luò)隔離
在網(wǎng)絡(luò)訪問控制方面���,UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+VPC+ACL”的組合模式��,客戶通過該產(chǎn)品組合可實現(xiàn)對網(wǎng)絡(luò)邊界訪問控制���、各網(wǎng)絡(luò)區(qū)域安全隔離以及訪問規(guī)則設(shè)置等�,為云平臺和用戶戶的網(wǎng)絡(luò)邊界防護和隔離提供了安全保障�����。
5. 通信保密性/完整性
UCloud等保2.0合規(guī)解決方案提供了SSL數(shù)字證書服務(wù)�����,云平臺客戶使用SSL數(shù)字證書服務(wù)����,可實現(xiàn)HTTPS安全傳輸��,使網(wǎng)站安全可信����,防劫持、防篡改�、防監(jiān)聽。
6. 安全審計
UCloud等保2.0合規(guī)解決方案提供的“堡壘機+數(shù)據(jù)庫審計+云日志審計”的審計組合可實現(xiàn)云主機��、云數(shù)據(jù)庫及云安全事件的審計功能����,完成運維審計����、數(shù)據(jù)審計����、安全審計的全面審計,并提供雙因子鑒別����、權(quán)限管控等安全功能,滿足等級保護�、企業(yè)內(nèi)控等審計要求。
7. 安全管理中心
UCloud等保2.0合規(guī)解決方案提供了態(tài)勢感知系統(tǒng)�����,通過大數(shù)據(jù)分析和深度機器學習來發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊���,從而提高攻擊行為的可見性����、可溯源性和可防御性�����。
8. 容災(zāi)和冗余
UCloud等保2.0合規(guī)解決方案提供了負載均衡ULB,采用分布式架構(gòu)����,可為用戶實現(xiàn)熱備切換,保證系統(tǒng)業(yè)務(wù)高可用性�。
深入行業(yè),解析最佳等保2.0實踐
對于絕大多數(shù)的行業(yè)客戶來說��,UCloud一站式等保2.0方案已能滿足等保2.0測評要求����,但仍有部分行業(yè)存在特殊安全內(nèi)容需要重點關(guān)注,如金融�����、游戲�、政府����、醫(yī)療和教育行業(yè)。
1. 金融行業(yè)
金融企業(yè)對數(shù)據(jù)安全性�、業(yè)務(wù)連續(xù)性�、容災(zāi)備份具有較高的要求��,因此上云通常采用“兩地三中心”的部署模式��,利用專線進行異地數(shù)據(jù)傳輸��,實時熱備應(yīng)用負載均衡���。
針對金融企業(yè)����,UCloud推出了混合云部署方案����,金融企業(yè)可選擇【自建IDC/托管專區(qū)+UCloud公有云】上云方案,構(gòu)建兩地三中心��,以此保障同城/異地容災(zāi)能力���,從而滿足等保2.0的測評要求�。
2. 游戲行業(yè)
游戲行業(yè)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)�����,往往面臨DDoS等攻擊的安全威脅。對此�,UCloud的DDoS攻擊防護產(chǎn)品和WAF企業(yè)防火墻產(chǎn)品能夠幫助游戲客戶輕松應(yīng)對網(wǎng)絡(luò)攻擊,保障游戲業(yè)務(wù)可用性����。值得關(guān)注的一點是,實名游戲用戶達到百萬以上的企業(yè)�����,則應(yīng)滿足等保三級的安全要求���。
3. 政府/醫(yī)療/教育行業(yè)
政府�、醫(yī)療和教育行業(yè)因為涉及大量公民個人敏感數(shù)據(jù)�����,對于數(shù)據(jù)安全的要求也非常高��。通常��,這些企業(yè)上云時應(yīng)重視網(wǎng)絡(luò)隔離與分區(qū)��。UCloud公有云的VPC子網(wǎng)方案能夠保障核心網(wǎng)絡(luò)區(qū)域與互聯(lián)網(wǎng)區(qū)域間通信受控�����,并使用堡壘機嚴控運維操作�����,采用數(shù)據(jù)庫審計保護敏感信息�����,更好地確保數(shù)據(jù)的安全��。
UCloud等保2.0合規(guī)解決方案通過遵從“一個中心�����、三重防護”的安全架構(gòu)設(shè)計,能夠更好的幫助用戶滿足等保2.0和《網(wǎng)絡(luò)安全法》的合規(guī)要求��。
除了等保三級測評外��,UCloud還獲得了ISO 27001/20000/9001�、CSA STAR云安全、PCI
DSS支付卡數(shù)據(jù)安全等多項安全認證�����。這一系列國際認證的獲得,表明UCloud無論是自身管理體系���,還是保證客戶數(shù)據(jù)安全方面�,均符合國際公認的權(quán)威標準����。
未來,UCloud將致力于為客戶和合作伙伴�����,實踐數(shù)據(jù)安全�����,共同保障云上企業(yè)數(shù)據(jù)安全��。
