1. 如何共擔(dān)責(zé)任?
在等保2.0標(biāo)準(zhǔn)中����,安全責(zé)任主體一分為二�,云平臺(tái)和云平臺(tái)客戶共擔(dān)安全責(zé)任,同時(shí)云平臺(tái)可輔助平臺(tái)用戶完成等保測(cè)評(píng)��。UCloud現(xiàn)已通過(guò)等保2.0三級(jí)測(cè)評(píng)�����,可為客戶提供《UCloud平臺(tái)通過(guò)三級(jí)等保的報(bào)告關(guān)鍵頁(yè)及證明》文檔資料����,輔助平臺(tái)客戶完成等保測(cè)評(píng)工作。
2. 如何分別定級(jí)����?
根據(jù)等保2.0標(biāo)準(zhǔn),云平臺(tái)和平臺(tái)上承載的客戶業(yè)務(wù)系統(tǒng)是分別定級(jí)的����,云平臺(tái)不應(yīng)承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)。也就是說(shuō)��,UCloud公有云平臺(tái)通過(guò)的等保三級(jí)測(cè)評(píng)�����,可承載三級(jí)/二級(jí)的云客戶業(yè)務(wù)系統(tǒng)�。
3. 如何劃分邊界?
就IaaS模式來(lái)說(shuō)�,云服務(wù)平臺(tái)的基礎(chǔ)設(shè)施、硬件����、資源抽象控制的安全責(zé)任在云平臺(tái)�,也就是UCloud需承擔(dān)云平臺(tái)的安全���,而用戶需自身負(fù)責(zé)云平臺(tái)之上的虛擬計(jì)算資源���、軟件平臺(tái)、業(yè)務(wù)應(yīng)用平臺(tái)的安全責(zé)任�����。
構(gòu)建云平臺(tái)安全基礎(chǔ)
UCloud高分通過(guò)了權(quán)威測(cè)評(píng)機(jī)構(gòu)——上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所的國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)復(fù)評(píng)��,這意味著UCloud在基礎(chǔ)設(shè)施安全��、虛擬化安全��、數(shù)據(jù)安全�����、安全管理中心等方面均滿足安全要求��。
1. 基礎(chǔ)設(shè)施安全
UCloud數(shù)據(jù)中心在物理位置���、訪問(wèn)控制����、防火���、防水���、防雷、防盜�����、防靜電�����、溫濕度控制���、電力供應(yīng)及電磁防護(hù)等方面����,全面符合等保三級(jí)要求����。與此同時(shí)���,數(shù)據(jù)中心設(shè)立安全專(zhuān)區(qū),采用邊界防火墻����、DPI檢測(cè)、網(wǎng)絡(luò)流量清洗��、DDoS攻擊防護(hù)�、WAF應(yīng)用防護(hù)等多項(xiàng)安全手段組合,打造云平臺(tái)安全基礎(chǔ)�。
2. 虛擬化安全
在云平臺(tái)核心的虛擬化安全領(lǐng)域,UCloud采用OpenFlow技術(shù)實(shí)現(xiàn)了物理宿主機(jī)和云客戶虛擬機(jī)網(wǎng)絡(luò)隔離�,保障了平臺(tái)上各租戶間的隔離;同時(shí)�����,利用網(wǎng)絡(luò)包分析等手段實(shí)時(shí)檢測(cè)云平臺(tái)虛擬機(jī)的DDoS
OUT風(fēng)險(xiǎn)����;此外,采用完整性校驗(yàn)機(jī)制來(lái)進(jìn)行虛擬機(jī)遷移�,確保遷移安全。
3. 數(shù)據(jù)安全
對(duì)于數(shù)據(jù)傳輸,UCloud均采用HTTPS等加密協(xié)議或安全專(zhuān)線傳輸�����;對(duì)于數(shù)據(jù)存儲(chǔ)�����,UCloud采用強(qiáng)加密�����、分類(lèi)分級(jí)進(jìn)行保護(hù)����,并利用分布式存儲(chǔ)保障數(shù)據(jù)的可用性�����;對(duì)于廢棄數(shù)據(jù)刪除�,UCloud采用擦除清零及消磁等手段,做到不可復(fù)原的安全刪除��。
4. 安全管理中心
遵循《網(wǎng)絡(luò)安全法》��,UCloud在網(wǎng)絡(luò)、主機(jī)�����、應(yīng)用各層面均做到日志審計(jì)��,運(yùn)維操作由堡壘機(jī)錄屏審計(jì)�,且確保審計(jì)記錄均保存6個(gè)月以上;同時(shí)構(gòu)建了云安全管理中心����,通過(guò)大數(shù)據(jù)分析手段實(shí)時(shí)檢測(cè)、防御�����、管控安全事件�����;此外�����,安全管理采取三權(quán)分立機(jī)制��,劃分網(wǎng)絡(luò)管理、系統(tǒng)管理�����、審計(jì)管理及安全管理團(tuán)隊(duì)�����,以此幫助客戶嚴(yán)控操作風(fēng)險(xiǎn)�、安全管理云平臺(tái)。
8重保護(hù)��,提供一站式等保2.0方案
針對(duì)用戶自身負(fù)責(zé)的云平臺(tái)之上的虛擬計(jì)算資源�、軟件平臺(tái)�����、業(yè)務(wù)應(yīng)用平臺(tái)的安全工作�����,UCloud依托云平臺(tái)基礎(chǔ)設(shè)施環(huán)境已通過(guò)的等保三級(jí)優(yōu)質(zhì)保障推出了 “一站式”的安全合規(guī)方案�,提供了豐富、全面的云安全產(chǎn)品服務(wù)�,可幫助云平臺(tái)客戶快速完成等保2.0測(cè)評(píng)工作。
1. 邊界防護(hù)
UCloud等保2.0合規(guī)解決方案為云平臺(tái)客戶免費(fèi)提供了一定流量的DDoS攻擊基礎(chǔ)防護(hù),若攻擊超過(guò)免費(fèi)閾值時(shí)���,客戶可一鍵開(kāi)通高防防護(hù)�,支持防護(hù)ACK�����、SYN����、連接耗盡等各類(lèi)常見(jiàn)攻擊,最高扛住1Tbps的攻擊防護(hù)�。
2. Web防護(hù)
UCloud等保2.0合規(guī)解決方案提供了UWAF應(yīng)用防火墻和UWS Web漏洞掃描系統(tǒng)兩款Web防護(hù)產(chǎn)品。
UWAF應(yīng)用防火墻可完成CC防護(hù)及常見(jiàn)Web漏洞檢測(cè)和攔截��,具備網(wǎng)頁(yè)防篡改功能���,并隱藏源站����,防止對(duì)源站的直接攻擊��,從而降低停機(jī)���、篡改和數(shù)據(jù)失竊的風(fēng)險(xiǎn)���,保障網(wǎng)站業(yè)務(wù)的可用性�����、完整性�。
UWS Web漏洞掃描系統(tǒng)可對(duì)網(wǎng)站域名進(jìn)行一鍵掃描�����,主動(dòng)及時(shí)發(fā)現(xiàn)漏洞��,自動(dòng)生成報(bào)告���,避免漏洞被黑客利用影響網(wǎng)站安全。
3. 入侵防護(hù)
UCloud等保2.0合規(guī)解決方案提供的主機(jī)入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)檢測(cè)正在發(fā)生的入侵行為����,包括暴力破解、木馬后門(mén)等行為�����,對(duì)主機(jī)風(fēng)險(xiǎn)進(jìn)行評(píng)估,識(shí)別不安全配置�、弱口令及安全漏洞等。
4. 虛擬網(wǎng)絡(luò)隔離
在網(wǎng)絡(luò)訪問(wèn)控制方面�,UCloud等保2.0合規(guī)解決方案提供了“外網(wǎng)防火墻+VPC+ACL”的組合模式,客戶通過(guò)該產(chǎn)品組合可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界訪問(wèn)控制�����、各網(wǎng)絡(luò)區(qū)域安全隔離以及訪問(wèn)規(guī)則設(shè)置等�,為云平臺(tái)和用戶戶的網(wǎng)絡(luò)邊界防護(hù)和隔離提供了安全保障。
5. 通信保密性/完整性
UCloud等保2.0合規(guī)解決方案提供了SSL數(shù)字證書(shū)服務(wù)�,云平臺(tái)客戶使用SSL數(shù)字證書(shū)服務(wù),可實(shí)現(xiàn)HTTPS安全傳輸���,使網(wǎng)站安全可信�����,防劫持���、防篡改、防監(jiān)聽(tīng)��。
6. 安全審計(jì)
UCloud等保2.0合規(guī)解決方案提供的“堡壘機(jī)+數(shù)據(jù)庫(kù)審計(jì)+云日志審計(jì)”的審計(jì)組合可實(shí)現(xiàn)云主機(jī)�、云數(shù)據(jù)庫(kù)及云安全事件的審計(jì)功能����,完成運(yùn)維審計(jì)��、數(shù)據(jù)審計(jì)����、安全審計(jì)的全面審計(jì),并提供雙因子鑒別�、權(quán)限管控等安全功能,滿足等級(jí)保護(hù)��、企業(yè)內(nèi)控等審計(jì)要求�。
7. 安全管理中心
UCloud等保2.0合規(guī)解決方案提供了態(tài)勢(shì)感知系統(tǒng),通過(guò)大數(shù)據(jù)分析和深度機(jī)器學(xué)習(xí)來(lái)發(fā)現(xiàn)潛在的入侵和高隱蔽性攻擊�����,從而提高攻擊行為的可見(jiàn)性���、可溯源性和可防御性。
8. 容災(zāi)和冗余
UCloud等保2.0合規(guī)解決方案提供了負(fù)載均衡ULB��,采用分布式架構(gòu)����,可為用戶實(shí)現(xiàn)熱備切換��,保證系統(tǒng)業(yè)務(wù)高可用性�����。
深入行業(yè)���,解析最佳等保2.0實(shí)踐
對(duì)于絕大多數(shù)的行業(yè)客戶來(lái)說(shuō),UCloud一站式等保2.0方案已能滿足等保2.0測(cè)評(píng)要求����,但仍有部分行業(yè)存在特殊安全內(nèi)容需要重點(diǎn)關(guān)注,如金融�����、游戲��、政府��、醫(yī)療和教育行業(yè)�。
1. 金融行業(yè)
金融企業(yè)對(duì)數(shù)據(jù)安全性、業(yè)務(wù)連續(xù)性����、容災(zāi)備份具有較高的要求�,因此上云通常采用“兩地三中心”的部署模式�����,利用專(zhuān)線進(jìn)行異地?cái)?shù)據(jù)傳輸����,實(shí)時(shí)熱備應(yīng)用負(fù)載均衡。
針對(duì)金融企業(yè)�����,UCloud推出了混合云部署方案���,金融企業(yè)可選擇【自建IDC/托管專(zhuān)區(qū)+UCloud公有云】上云方案�����,構(gòu)建兩地三中心�����,以此保障同城/異地容災(zāi)能力��,從而滿足等保2.0的測(cè)評(píng)要求��。
2. 游戲行業(yè)
游戲行業(yè)是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)�����,往往面臨DDoS等攻擊的安全威脅����。對(duì)此����,UCloud的DDoS攻擊防護(hù)產(chǎn)品和WAF企業(yè)防火墻產(chǎn)品能夠幫助游戲客戶輕松應(yīng)對(duì)網(wǎng)絡(luò)攻擊,保障游戲業(yè)務(wù)可用性����。值得關(guān)注的一點(diǎn)是,實(shí)名游戲用戶達(dá)到百萬(wàn)以上的企業(yè)����,則應(yīng)滿足等保三級(jí)的安全要求。
3. 政府/醫(yī)療/教育行業(yè)
政府�����、醫(yī)療和教育行業(yè)因?yàn)樯婕按罅抗駛€(gè)人敏感數(shù)據(jù),對(duì)于數(shù)據(jù)安全的要求也非常高�����。通常���,這些企業(yè)上云時(shí)應(yīng)重視網(wǎng)絡(luò)隔離與分區(qū)�。UCloud公有云的VPC子網(wǎng)方案能夠保障核心網(wǎng)絡(luò)區(qū)域與互聯(lián)網(wǎng)區(qū)域間通信受控��,并使用堡壘機(jī)嚴(yán)控運(yùn)維操作�����,采用數(shù)據(jù)庫(kù)審計(jì)保護(hù)敏感信息��,更好地確保數(shù)據(jù)的安全����。
UCloud等保2.0合規(guī)解決方案通過(guò)遵從“一個(gè)中心、三重防護(hù)”的安全架構(gòu)設(shè)計(jì),能夠更好的幫助用戶滿足等保2.0和《網(wǎng)絡(luò)安全法》的合規(guī)要求�。
除了等保三級(jí)測(cè)評(píng)外,UCloud還獲得了ISO 27001/20000/9001�����、CSA STAR云安全、PCI
DSS支付卡數(shù)據(jù)安全等多項(xiàng)安全認(rèn)證��。這一系列國(guó)際認(rèn)證的獲得����,表明UCloud無(wú)論是自身管理體系�����,還是保證客戶數(shù)據(jù)安全方面��,均符合國(guó)際公認(rèn)的權(quán)威標(biāo)準(zhǔn)�。
未來(lái),UCloud將致力于為客戶和合作伙伴��,實(shí)踐數(shù)據(jù)安全���,共同保障云上企業(yè)數(shù)據(jù)安全���。
