在《网络安全法》出台后,等级保护制度上升到法律层面。在此背景下孕育出来等保2.0标准体系也进行了大的升级,在原等级保护核心标准(基本要求、测评要求、设计要求)的基础上,进行重新修订,整个标准体系制定为一个矩阵,针对每一个特定的安全领域,做出相应的扩展要求,比如云计算领域,制定云计算扩展要求。
虽然云等保不是新鲜事物,然而用户还是一知半解,实际上,云等保是在原等保框架下新增了扩展要求。对比传统等保而言,云等保在定级、备案、建设整改、测评、监督检查等环节上的工作都必不可少。云等保总体分为两个部分,技术要求及管理要求。物理和环境安全可以复用云平台自身的安全检测结果,而其它技术要求则需要通过云上安全服务产品进行满足。
对于云服务商而言,在自身已知的领域上加大对云等保的研究,往往比较容易,但对于云租户而言,因为专业水平有限,且对相应法规条例的关注和解读并不及时,希望通过本文对等保条例的深入解读,帮助云租户们减少知识盲区,同时通过对照必备的安全防护措施进行查缺补漏,构建更加健全、立体的云上安全防护体系。
在基础网络环境已经满足等保的前提下,从云租户的角度出发,以下的安全防护措施是需要云租户进行提供的:
1、态势感知(含日志审计功能)
【安全区域边界-入侵防范】b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
测评项解读:此项要求有相关安全设备,如:抗APT攻击系统、网络回溯系统、威胁情报检测系统、态势感知或相关组件具有检测、防止或限制内部发起的网络攻击行为的功能;
【安全计算环境-安全审计】c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
测评项解读:此项要求设备产生的日志需要定期做备份,实现审计记录的保护。
【安全管理中心-集中管控】d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
测评项解读:此项要求系统涉及的网络设备、安全设备、服务器、中间件、应用系统、管理平台等相关日志统一收集和分析,并且审计记录留存时间满足180天。
态势感知可以收集各品牌的网络设备、安全设备、中间件、服务器、应用系统日志。通过日志格式范式化可以将收集到的日志进行研判分析,通过不同的安全事件规则识别出是否存在外部攻击、内网渗透、恶意文件等,同时可以通过平台及时进行处置。
所以将相关设备日志接入态势平台,可以符合以上三项要求。通过对收集的日志进行分析,满足防止或限制从内部发起的网络攻击行为。日志实时推送至态势感知平台,满足集中收集日志及备份保存180天。
图 1日志接入后数据展示
2、数据库审计
【安全计算环境-安全审计】a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;d)应对审计进程进行保护,防止未经授权的中断。
测评项解读:以上要求项测评对象为数据库、数据库软件开启审计功能,并且对应的审计记录需要实现保存180天;或者是通过第三方的数据库审计系统来实现数据库操作的审计。
方法1:安装部署安全狗数据审计系统。安全狗数据库审计系统可以对审计和事务日志进行审查,从而跟踪各种对数据库操作的行为,最终满足以上四项要求项。主要审计内容为对数据库的操作、对数据库的改变、执行该项目操作的人以及其他的属性。审计数据记录到安全狗数据库审计系统中具备较高的准确性和完整性,并且可以实现备份保存180天。
方法2:数据库软件开启审计功能。(开启审计功能有可能影响数据库的正常运行,开启之前建议先做测试),且开启后对应的审计记录需要通过脚本或是手动定期做备份,以实现日志留存180天。
3、云眼(主机入侵检测及恶意代码检测)
说明:对于服务器数量较多的情况,可以通过云眼的基线检查功能模块,对所有主机进行基线检测,并可以将检查结果导出报告,对有不符合的主机再做进一步的整改。
【安全计算环境-入侵防范】b)应关闭不需要的系统服务、默认共享和高危端口;
测评项解读:
此项有3个要求
1.关闭多余的服务如:lerter、Remote Registry Servicce Messsenger,、ask Scheduler、telnet
2.默认共享:Windows操作系统在安装完成后,自动设置共享的目录为:C盘、D盘、E盘、ADMIN目录(C:\Windows)等,即为ADMIN$、C$、D$、E$等
3.高危端口(例如135,137,138,139,445,3389等)
针对要求1:通过运行--》services.msc,禁用或停止多余的服务。
针对要求2:通过运行--》cmd--》net share xxx /delete( 关闭xxx默认共享)
针对要求3:可以通过云眼-安全防护-防护设置-端口安全,开启严格模式,仅开放只规则中的端口,关闭规则外所有端口。
对以上3个要求进行修改即可符合该项要求。
图 2云眼(开启严格模式)
【安全计算环境-入侵防范】c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
测评项解读:此项要求远程管理服务器的IP地址做限制,仅运维人员可以远程管理服务器。
通过云眼-安全防护-防护设置-端口安全,常见的远程端口3389、22添加例外IP。即可符合该项要求。
图 3云眼(IP地址限制)
【安全计算环境-入侵防范】e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
测评项解读:此项要求定期对服务器进行漏洞扫描,并对发现的安全漏洞进行及时修补。
通过云眼-安全体检-安全体检策略,配置系统漏洞定时体检。体检中发现的问题及时进行整改和修复。即可符合该项要求。
图 4漏洞扫描结果
图 5开启定时体检
【安全计算环境-入侵防范】f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评项解读:此项要求网络边界、服务器区域发生安全事件时有相关软件或设备可以提供告警功能。
云眼-告警设置-配置接收告警的手机号或者邮箱,告警选项配置-勾选入侵威胁告警,服务器配置中添加监控的服务器资产,即可符合该项要求。
图 6添加接收告警的手机号或者邮箱
图 7勾选入侵威胁告警
图 8添加监控资产
【安全计算环境-恶意代码防范】a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
测评项解读:此项要求服务器上安装有杀毒软件,且病毒库保持为最新。
云眼-安全防护-防护设置,开启病毒防护,即可符合该项要求。
图 9开启病毒防护
4、云御(WAF)
【安全区域边界-访问控制】e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。
测评项解读:此项要求在网络边界采用下一代防火墙、IPS、WAF或相关安全组件,配置应用访问控制策略,对应用协议、应用内容进行访问控制,实现对Web服务等进行管控。
云御可以对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行阻断、记录、告警等相关动作。而且云御可以屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。
所以部署云御可以符合该项要求,满足对进出网络的数据流的访问控制。
图 10常见web攻击的检测和拦截
5、SSL证书
【安全管理中心-集中管控】b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
【安全计算环境-身份鉴别】c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
【安全计算环境-数据完整性】a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
【安全计算环境-数据保密性】a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
测评项解读:以上要求项测评对象为系统中涉及的网络设备、安全设备、服务器、应用系统以及系统管理平台,要求需要通过加密传输进行设备的远程管理,防止鉴别数据和重要数据在传输过程中的保密性和完整性。
要求项1、网络设备、安全设备需支持https、ssh远程管理,一般为厂家设备的默认配置,用户不涉及相关整改。
要求项2、Linux服务器禁用telnet协议,采用ssh协议进行远程管理;Windows服务器开启远程(RPD)连接要求使用指定的安全层:SSL,进行远程管理。
要求项3、应用系统:HTTPS采用加密协议访问,保障数据的安全。SSL证书大部分用户都是自己部署的,可以通过购买SSL证书进行程序调整即可。(免费的SSL证书的加密效果很差,很容易被破解。)
6、云防火墙
【安全区域边界-边界防护】a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;
【安全区域边界-入侵防范】a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
【安全区域边界-入侵防范】d)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。
测评项解读:以上测评项要求在出口边界处部署专用的访问控制设备,对进出的数据流进行管控。且该设备针对目前常见的攻击需要具有有效的安全检测、防护能力,发生入侵事件时能够及时发送短信或者邮箱告警。
云防火墙提供流量监控、精准访问控制、实时入侵防御等功能。对出、入互联网的访问流量进行管控,拦截来自互联网的攻击和威胁,例如黑客入侵、挖矿和恶意流量等。实现对来自互联网的威胁进行实时检测和阻断。
部署使用该产品,按照实际的业务需求建立严格的访问控制策略,即可满足以上测评要求。
7、堡垒机
【安全管理中心-系统管理】a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;
【安全管理中心-系统管理】b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
【安全管理中心-审计管理】a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计;
【安全管理中心-审计管理】b)应通过审计管理员对审计记录应进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。
【安全管理中心-安全管理】a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
【安全管理中心-安全管理】b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。
测评项解读:以上测评项要求系统涉及网络设备、安全设备、服务器等相关设备的管理,均通过三权账户(系统管理员、审计管理员、安全管理员),且通过特定的操作界面进行系统管理、安全审计、安全配置等操作。
堡垒机可以实现严格的权限控制,用户只能运维堡垒机中已授权的设备,降低越权操作和高危操作的风险。所有远程运维操作均可进行审计录像,方便事后追踪溯源,满足合规建设要求。因此部署堡垒机,且所有运维人员均通过堡垒机统一操作,即可满足以上要求项。
8、云固(网页防篡改)
【安全计算环境-入侵防范】f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。
测评项解读:此项要求网络边界、服务器区域发生安全事件时有相关软件或设备可以提供告警功能。
【安全计算环境-数据完整性】b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
测评项解读:此项要求重要数据存储时不被篡改,保证重要数据存储的完整性。
云固防篡改系统可实现网站安全运行保护,有效协助维护政府和企业形象,保障互联网业务的正常运营,彻底解决网站被非法修改的问题。网络攻击者通常会利用被攻击网站中存在的漏洞,通过在网页中植入非法暗链对网页内容进行篡改等方式,进行非法牟利或者恶意商业攻击等活动。
安全狗云固可实时监控网站目录并通过备份恢复被篡改的文件或目录,保障重要系统的网站信息不被恶意篡改,防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。因此部署安全狗云固可以满足以上两项要求。
随着5G、云计算、大数据中心、人工智能等多项新技术推动数字化经济的深入发展,云租户们也需实时了解(云)等保合规的相应要求,积极主动地做好云上安全管理核验,才能以“不变应万变”,享受云上安全带来的便利性。