1. 如何共擔(dān)責(zé)任?
在等保2.0標(biāo)準(zhǔn)中�����,安全責(zé)任主體一分為二����,云平臺和云平臺客戶共擔(dān)安全責(zé)任�����,同時云平臺可輔助平臺用戶完成等保測評��。UCloud現(xiàn)已通過等保2.0三級測評�����,可為客戶提供《UCloud平臺通過三級等保的報(bào)告關(guān)鍵頁及證明》文檔資料���,輔助平臺客戶完成等保測評工作。
2. 如何分別定級���?
根據(jù)等保2.0標(biāo)準(zhǔn)�����,云平臺和平臺上承載的客戶業(yè)務(wù)系統(tǒng)是分別定級的���,云平臺不應(yīng)承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)���。也就是說���,UCloud公有云平臺通過的等保三級測評��,可承載三級/二級的云客戶業(yè)務(wù)系統(tǒng)���。
3. 如何劃分邊界?
就IaaS模式來說����,云服務(wù)平臺的基礎(chǔ)設(shè)施、硬件����、資源抽象控制的安全責(zé)任在云平臺,也就是UCloud需承擔(dān)云平臺的安全�,而用戶需自身負(fù)責(zé)云平臺之上的虛擬計(jì)算資源、軟件平臺����、業(yè)務(wù)應(yīng)用平臺的安全責(zé)任。
構(gòu)建云平臺安全基礎(chǔ)
UCloud高分通過了權(quán)威測評機(jī)構(gòu)——上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所的國家網(wǎng)絡(luò)安全等級保護(hù)三級復(fù)評��,這意味著UCloud在基礎(chǔ)設(shè)施安全����、虛擬化安全����、數(shù)據(jù)安全�、安全管理中心等方面均滿足安全要求。
1. 基礎(chǔ)設(shè)施安全
UCloud數(shù)據(jù)中心在物理位置�����、訪問控制���、防火����、防水����、防雷、防盜�����、防靜電�、溫濕度控制��、電力供應(yīng)及電磁防護(hù)等方面,全面符合等保三級要求��。與此同時����,數(shù)據(jù)中心設(shè)立安全專區(qū),采用邊界防火墻�����、DPI檢測���、網(wǎng)絡(luò)流量清洗�����、DDoS攻擊防護(hù)�、WAF應(yīng)用防護(hù)等多項(xiàng)安全手段組合���,打造云平臺安全基礎(chǔ)�����。
2. 虛擬化安全
在云平臺核心的虛擬化安全領(lǐng)域�����,UCloud采用OpenFlow技術(shù)實(shí)現(xiàn)了物理宿主機(jī)和云客戶虛擬機(jī)網(wǎng)絡(luò)隔離��,保障了平臺上各租戶間的隔離�;同時,利用網(wǎng)絡(luò)包分析等手段實(shí)時檢測云平臺虛擬機(jī)的DDoS
OUT風(fēng)險���;此外����,采用完整性校驗(yàn)機(jī)制來進(jìn)行虛擬機(jī)遷移��,確保遷移安全����。
3. 數(shù)據(jù)安全
對于數(shù)據(jù)傳輸,UCloud均采用HTTPS等加密協(xié)議或安全專線傳輸�����;對于數(shù)據(jù)存儲���,UCloud采用強(qiáng)加密���、分類分級進(jìn)行保護(hù)���,并利用分布式存儲保障數(shù)據(jù)的可用性���;對于廢棄數(shù)據(jù)刪除��,UCloud采用擦除清零及消磁等手段���,做到不可復(fù)原的安全刪除。
4. 安全管理中心
遵循《網(wǎng)絡(luò)安全法》����,UCloud在網(wǎng)絡(luò)、主機(jī)����、應(yīng)用各層面均做到日志審計(jì),運(yùn)維操作由堡壘機(jī)錄屏審計(jì)���,且確保審計(jì)記錄均保存6個月以上����;同時構(gòu)建了云安全管理中心,通過大數(shù)據(jù)分析手段實(shí)時檢測�、防御、管控安全事件����;此外,安全管理采取三權(quán)分立機(jī)制����,劃分網(wǎng)絡(luò)管理、系統(tǒng)管理����、審計(jì)管理及安全管理團(tuán)隊(duì),以此幫助客戶嚴(yán)控操作風(fēng)險�、安全管理云平臺。
8重保護(hù)�����,提供一站式等保2.0方案
針對用戶自身負(fù)責(zé)的云平臺之上的虛擬計(jì)算資源�、軟件平臺、業(yè)務(wù)應(yīng)用平臺的安全工作,UCloud依托云平臺基礎(chǔ)設(shè)施環(huán)境已通過的等保三級優(yōu)質(zhì)保障推出了 “一站式”的安全合規(guī)方案���,提供了豐富��、全面的云安全產(chǎn)品服務(wù)���,可幫助云平臺客戶快速完成等保2.0測評工作。
1. 邊界防護(hù)
UCloud等保2.0合規(guī)解決方案為云平臺客戶免費(fèi)提供了一定流量的DDoS攻擊基礎(chǔ)防護(hù)����,若攻擊超過免費(fèi)閾值時����,客戶可一鍵開通高防防護(hù),支持防護(hù)ACK�、SYN、連接耗盡等各類常見攻擊��,最高扛住1Tbps的攻擊防護(hù)�。
2. Web防護(hù)
UCloud等保2.0合規(guī)解決方案提供了UWAF應(yīng)用防火墻和UWS Web漏洞掃描系統(tǒng)兩款Web防護(hù)產(chǎn)品。
UWAF應(yīng)用防火墻可完成CC防護(hù)及常見Web漏洞檢測和攔截�����,具備網(wǎng)頁防篡改功能,并隱藏源站�,防止對源站的直接攻擊,從而降低停機(jī)���、篡改和數(shù)據(jù)失竊的風(fēng)險����,保障網(wǎng)站業(yè)務(wù)的可用性�����、完整性�。
UWS Web漏洞掃描系統(tǒng)可對網(wǎng)站域名進(jìn)行一鍵掃描,主動及時發(fā)現(xiàn)漏洞���,自動生成報(bào)告����,避免漏洞被黑客利用影響網(wǎng)站安全���。
3. 入侵防護(hù)
UCloud等保2.0合規(guī)解決方案提供的主機(jī)入侵檢測系統(tǒng)能夠?qū)崟r檢測正在發(fā)生的入侵行為��,包括暴力破解����、木馬后門等行為,對主機(jī)風(fēng)險進(jìn)行評估����,識別不安全配置、弱口令及安全漏洞等�。
4. 虛擬網(wǎng)絡(luò)隔離
在網(wǎng)絡(luò)訪問控制方面,UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+VPC+ACL”的組合模式����,客戶通過該產(chǎn)品組合可實(shí)現(xiàn)對網(wǎng)絡(luò)邊界訪問控制、各網(wǎng)絡(luò)區(qū)域安全隔離以及訪問規(guī)則設(shè)置等��,為云平臺和用戶戶的網(wǎng)絡(luò)邊界防護(hù)和隔離提供了安全保障�����。
5. 通信保密性/完整性
UCloud等保2.0合規(guī)解決方案提供了SSL數(shù)字證書服務(wù)�����,云平臺客戶使用SSL數(shù)字證書服務(wù)��,可實(shí)現(xiàn)HTTPS安全傳輸�,使網(wǎng)站安全可信,防劫持�����、防篡改���、防監(jiān)聽��。
6. 安全審計(jì)
UCloud等保2.0合規(guī)解決方案提供的“堡壘機(jī)+數(shù)據(jù)庫審計(jì)+云日志審計(jì)”的審計(jì)組合可實(shí)現(xiàn)云主機(jī)�、云數(shù)據(jù)庫及云安全事件的審計(jì)功能���,完成運(yùn)維審計(jì)���、數(shù)據(jù)審計(jì)、安全審計(jì)的全面審計(jì)����,并提供雙因子鑒別、權(quán)限管控等安全功能���,滿足等級保護(hù)��、企業(yè)內(nèi)控等審計(jì)要求�。
7. 安全管理中心
UCloud等保2.0合規(guī)解決方案提供了態(tài)勢感知系統(tǒng),通過大數(shù)據(jù)分析和深度機(jī)器學(xué)習(xí)來發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊�,從而提高攻擊行為的可見性、可溯源性和可防御性�。
8. 容災(zāi)和冗余
UCloud等保2.0合規(guī)解決方案提供了負(fù)載均衡ULB,采用分布式架構(gòu)����,可為用戶實(shí)現(xiàn)熱備切換,保證系統(tǒng)業(yè)務(wù)高可用性���。
深入行業(yè)�,解析最佳等保2.0實(shí)踐
對于絕大多數(shù)的行業(yè)客戶來說��,UCloud一站式等保2.0方案已能滿足等保2.0測評要求�����,但仍有部分行業(yè)存在特殊安全內(nèi)容需要重點(diǎn)關(guān)注����,如金融��、游戲�、政府��、醫(yī)療和教育行業(yè)�。
1. 金融行業(yè)
金融企業(yè)對數(shù)據(jù)安全性���、業(yè)務(wù)連續(xù)性���、容災(zāi)備份具有較高的要求,因此上云通常采用“兩地三中心”的部署模式����,利用專線進(jìn)行異地?cái)?shù)據(jù)傳輸,實(shí)時熱備應(yīng)用負(fù)載均衡�����。
針對金融企業(yè)����,UCloud推出了混合云部署方案,金融企業(yè)可選擇【自建IDC/托管專區(qū)+UCloud公有云】上云方案�����,構(gòu)建兩地三中心�,以此保障同城/異地容災(zāi)能力���,從而滿足等保2.0的測評要求。
2. 游戲行業(yè)
游戲行業(yè)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)�����,往往面臨DDoS等攻擊的安全威脅��。對此���,UCloud的DDoS攻擊防護(hù)產(chǎn)品和WAF企業(yè)防火墻產(chǎn)品能夠幫助游戲客戶輕松應(yīng)對網(wǎng)絡(luò)攻擊���,保障游戲業(yè)務(wù)可用性。值得關(guān)注的一點(diǎn)是����,實(shí)名游戲用戶達(dá)到百萬以上的企業(yè),則應(yīng)滿足等保三級的安全要求����。
3. 政府/醫(yī)療/教育行業(yè)
政府、醫(yī)療和教育行業(yè)因?yàn)樯婕按罅抗駛€人敏感數(shù)據(jù)�����,對于數(shù)據(jù)安全的要求也非常高�。通常,這些企業(yè)上云時應(yīng)重視網(wǎng)絡(luò)隔離與分區(qū)��。UCloud公有云的VPC子網(wǎng)方案能夠保障核心網(wǎng)絡(luò)區(qū)域與互聯(lián)網(wǎng)區(qū)域間通信受控����,并使用堡壘機(jī)嚴(yán)控運(yùn)維操作,采用數(shù)據(jù)庫審計(jì)保護(hù)敏感信息��,更好地確保數(shù)據(jù)的安全����。
UCloud等保2.0合規(guī)解決方案通過遵從“一個中心、三重防護(hù)”的安全架構(gòu)設(shè)計(jì),能夠更好的幫助用戶滿足等保2.0和《網(wǎng)絡(luò)安全法》的合規(guī)要求�����。
除了等保三級測評外���,UCloud還獲得了ISO 27001/20000/9001��、CSA STAR云安全�、PCI
DSS支付卡數(shù)據(jù)安全等多項(xiàng)安全認(rèn)證���。這一系列國際認(rèn)證的獲得���,表明UCloud無論是自身管理體系�����,還是保證客戶數(shù)據(jù)安全方面���,均符合國際公認(rèn)的權(quán)威標(biāo)準(zhǔn)。
未來����,UCloud將致力于為客戶和合作伙伴,實(shí)踐數(shù)據(jù)安全���,共同保障云上企業(yè)數(shù)據(jù)安全���。
