導語：云租戶網絡安全防護研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著云計算技術不斷發展與深化應用，云平臺部署方式較傳統的IT系統部署已成為越來越多組織機構更加傾向的IT系統部署解決方案。基于云計算虛擬化、資源池化、動態可擴展、服務可計量、按需自助服務和高可用性等特點，云平臺在給云租戶IT系統部署、升級優化帶來極大的便利和運維成本顯著降低的同時，也在網絡安全防護方面引入了諸多安全隱患與挑戰。在等保2.0相關標準正式實施以來，有關部門高度重視云平臺和云租戶安全防護體系建設，本文將從云租戶角度對IT系統云化部署安全防護進行研究。

關鍵詞：等級保護；云安全防護；云租戶安全策略；網絡安全體系

近年來，隨著云計算技術與組織機構信息化建設深入融合，不斷推動云計算市場蓬勃發展，云計算更是被納入信息基礎設施中的新技術基礎設施建設，在組織機構信息化轉型進程中的重要性日益突顯。云平臺在持續快速發展的同時，在巨大利益驅使下，使其成為黑客攻擊的重災區。據國家計算機網絡應急技術處理協調中心統計，2019年，我國云平臺網絡安全事件或威脅情況進一步加劇，DDoS攻擊次數占境內目標被攻擊次數的74.0%、被植入后門鏈接數量占境內全部被植入后門鏈接數量的86.3%、被篡改網頁數量占境內被篡改網頁數量的87.9%。由此可見，網絡安全已經成為云計算發展的重要影響因素。同時，國家高度重視云計算行業安全、健康、穩步發展，在等保2.0標準體系中，將云計算作為新技術新應用納入安全擴展要求，對云計算安全體系規劃建設、安全防護能力測評、安全責任落實監管等環節提出更加規范、系統、全面的要求。受市場發展、安全形勢和政策監管等多方面因素影響，一方面，云平臺供應商不斷增加安全方面投入，在提升云平臺安全防護水平的同時，向云租戶提供的安全服務和產品也極大豐富。另一方面，云租戶對云上系統安全運行逐步重視，云安全需求日益增加。雖然云租戶將云安全作為云服務商選擇的重要條件，但對于云上IT系統的安全防護仍然存在一定的誤區，這就往往導致云租戶與云服務供應商之間的安全責任真空地帶成為云上IT系統安全防護能力木桶效應的短板。

1具體表現

（1）云服務供應縱深延長，云租戶整體能力考察不足由于云服務形式靈活多變，使得現階段云計算服務在實際研發、運營、維護過程中存在服務關系多層嵌套的現象，將云服務供應鏈不斷延伸，從而導致云服務整體受攻擊面大大增加，安全風險不斷滲透。云租戶在考察云服務商安全防護能力過程中，考察范圍大多局限于產生直接服務關系的云服務商，造成云服務供應鏈整體能力考察深度不夠，反饋結果相對比較片面，無法真實反映云服務整體安全防護能力。互相嵌套，相互依托的供應鏈關系，可能會因為其中一環的安全問題，造成影響范圍擴大化，危害程度嚴重化。（2）云服務應用場景復雜，云租戶安全責任劃分不清眾所周知，云服務分為IaaS、PaaS和SaaS三種服務模式，在不同的服務模式下各種應用場景存在差異，云安全責任劃分趨于復雜化。部分云租戶認為“上云即安全”，對自身應該承擔的安全責任認識不夠明確，認為IT系統只要部署于云平臺，安全責任就應該由云供應商負責，將云平臺安全等同為云上IT系統安全。更有云租戶在簽署云服務協議時，未明確規定雙方安全責任，甚至在未規定具體服務內容和技術指標的情況下進行IT系統上云。安全意識薄弱，安全責任劃分不清等因素會導致IT系統上云后，在安全防護方面對云服務商約束不夠，云租戶消極對待，出現安全責任真空現象，甚至造成安全事件責任糾紛。（3）云安全采購投入增加，云租戶安全策略落實不夠云租戶對云安全需求日益迫切，不斷加大云安全產品或服務的采購投入，但部分云租戶陷入了云安全產品堆疊即安全的誤區。認為通過云安全產品/服務形式的多樣化采購，就可以滿足云上IT系統的安全防護需求，卻忽略了安全產品的協同運用和安全策略的落實，造成投入產出的嚴重不對等。安全策略落實不夠，一應俱全的安全防護產品亦會對黑客攻擊束手無策，形同虛設，無法保障云上IT系統安全穩定運行。

2如何提升

為了提升云上IT系統安全防護水平，云租戶應注重云服務商整體能力考察、安全責任劃分和安全策略落實等工作。（1）云租戶要大力加強在云服務供應商選擇方面的考察廣度和深度，對云服務供應商從平臺安全能力、安全產品性能、安全運維水平、安全服務參數和供應鏈安全等方面制定或委托第三方制定符合相關法律法規、政策文件、標準規范和自身需求的評估指標，進行全面考察評估。在確立服務關系后，更是要根據安全需求變化在服務期內周期性或觸發性對云服務供應商進行考察評估，確保其安全防護能力動態滿足云租戶IT系統在網絡安全方面的需求。（2）云租戶需清晰劃分與云服務供應商之間的安全責任，并在云服務協議中明確規定雙方安全責任、云服務內容、技術指標和服務終止保障措施等，確保云租戶自身權益不受侵害。其中安全責任劃分可參考“云計算安全責任共擔模型”等相關依據，結合自身發展需要厘清應該承擔的網絡安全責任。概括來說，在“云計算安全責任共擔模型”中將云計算安全責任劃分為：物理基礎設施、資源抽象和管理、操作系統、網絡控制、應用、數據、身份識別和訪問管理（IAM）七大類。其中，在SaaS服務模式下，云租戶對業務數據，身份鑒別和訪問管理等方面負有安全責任；在PaaS服務模式下，云租戶除SaaS服務模式下安全責任外還應對應用系統安全，云計算資源間或云計算資源與外部間的網絡通信等方面負有安全責任；在IaaS服務模式下，云租戶較PaaS服務模式，還應承擔云主機操作系統安全、鏡像安全等責任。（3）云租戶應根據等保2.0標準體系在云計算方面的要求，結合自身安全防護需求制定或委托第三方制定切合實際的安全防護策略和監督機制，確保云租戶安全防護策略落實到位，使得云租戶采購并投入使用的安全產品/服務達到多點協同，縱深防御的安全防護目的。同時，云租戶應以GB/T22239-2019《信息安全技術網絡安全等級保護基本要求》為基本依據，積極落實等級保護責任，查找安全防護薄弱環節，對云租戶自身和云服務供應商網絡安全工作落實情況形成閉環管理，從而不斷提升云租戶云上IT系統的安全防護水平。隨著云計算產業的蓬勃發展，云計算已經深深融入民眾日常生活，組織機構業務開展，國家經濟發展等方方面面，其重要程度不言而喻。但在云計算安全能力建設得到高度重視，安全監管機制不斷完善，安全技術應用突飛猛進，安全防護水平有效提升的同時，仍然存在諸多問題。在云計算發展與應用過程中，要清醒認識到嚴峻的安全形勢，注重安全意識持續提升、安全責任有效落實、安全工作規范開展、安全監管和政策制定與時俱進，確保云計算行業的健康發展。

參考文獻：

[1]云計算開源產業聯盟.云計算安全責任共擔白皮書（2020年）[R].2020：1-15.

[2]GB/T22239-2019，信息安全技術網絡安全等級保護基本要求[S].2019.

作者：楊睿超 岳劍暉 杭肖 張賞雪 單位：陜西省網絡與信息安全測評中心