阿里公共云网络安全等级保护2.0合规能力白皮书V1.0.pdf
《阿里公共云网络安全等级保护2.0合规能力白皮书V1.0.pdf》由会员分享,可在线阅读,更多相关《阿里公共云网络安全等级保护2.0合规能力白皮书V1.0.pdf(114页珍藏版)》请在冰点文库上搜索。
总总述述I阿里公共云网络安全等级保护2.0合规能力技术白皮书从网络安全合规责任划分、云安全合规能力评估、阿里公共云典型场景(IaaS)的合规实施分析及白皮书使用建议等方面做了详细阐述。
借助该技术白皮书,云服务客户能够快速:
确定不同云计算服务模式下的网络安全合规要求和安全建设责任边界;了解阿里公共云的安全能力,包括云平台原生安全能力,以及云产品和阿里云安全产品提供的安全能力;依托并合理配置阿里公共云提供的安全能力,同时结合云服务客户业务应用系统的安全防护能力建设,构筑满足网络安全等级保护的安全合规体系。
本技术白皮书正文共分为五个部分,各部分内容具体安排如下:
第一部分为概述,对本技术白皮书的目的及主要内容进行简要介绍。
第二部分描述了在不同云计算服务模式下,阿里云分服务模式的产品划分、网络安全等级保护定级情况以及基于云安全责任模型对云服务商和云服务客户在网络安全等级保护基本要求条款适用性选择。
第三部分介绍了阿里云安全合规能力评估模型,并对阿里公共云平台、云产品以及云安全产品的安全能力进行阐述。
第四部分以IaaS模式下云服务客户典型场景为例,分析了云服务客户落实网络安全等级保护制度时,如何确定等级保护对象,如何引用云平台等级测评结论,以及识别云服务客户业务系统安全防护能力与网络安全等级保护基本要求间的符合程度。
第五部分从行业应用角度对技术白皮书的应用方法进行了解读,阐述了如何利用技术白皮书快速识别网络安全等级保护基本要求适用条款,以及分析符合基本要求需建设的安全能力。
附录部分,附录A介绍了不同云计算服务模式下的典型阿里云产品;附录B提供了在不同云计算服务模式下,云服务客户定级对象应满足的网络安全等级保护基本要求条款;附录C描述了云产品和云安全产品及其安全能力(措施)与网络等级保护基本要求间的对应关系。
II声声明明阿里云提醒您在阅读或使用本文档之前仔细阅读、充分理解下列各条款的内容:
通过阿里云提供的授权通道下载、获取本文档,且仅能用于自身合法合规的业务活动,未经阿里云同意,任何单位、公司或个人不得擅自摘抄、翻译、复制本文档内容,不得以任何方式或途径进行传播和宣传。
由于产品/服务升级、调整或其他原因,本文档内容有可能变更,您应当实时通过授权渠道下载、获取最新版的用户文档。
本文档仅作为用户使用阿里云产品及服务的参考性指引,阿里云尽最大努力提供相应的介绍及操作指引,但阿里云在此明确声明对本文档内容的准确性、完整性、适用性、可靠性等不作任何明示或暗示的保证;任何单位、公司或个人因为下载、使用或信赖本文档而发生任何差错或经济损失的,阿里云不承担任何法律责任。
本文档第二、三部分(含附录B)由公安部信息安全等级保护评估中心拥有其知识产权,其余部分归阿里云计算有限公司依法拥有。
未经双方事先书面同意,任何人不得为了任何营销、广告、促销或其他目的使用、公布或复制公安部信息安全等级保护评估中心和阿里云的名称。
期望能够给本文档的阅读者提供有用的参考,限于编制时间仓促,内容难免疏漏和不足,诚望不吝赐教、斧正,以便后续改进和完善。
任何意见或建议敬请联系:
aliyun_。
主要编制人主要编制人张振峰张志文黄少青姜友贵陈吴栋李阳崔旭东张鹏蒋晓张瑜特别感谢特别感谢张宇翔李明肖力董侃郑原斌目目录录III总总述述.II声声明明.IIII11概述概述.-11-22安全合规责任安全合规责任.-22-2.1阿里云服务模式划分.-2-2.2安全合规责任划分.-3-2.3云服务客户基本要求适用性条款.-5-33安全合规能力模型安全合规能力模型.-77-3.1保护对象.-7-3.2安全措施.-7-3.3安全能力.-11-3.3.1云平台原生安全能力.-11-3.3.2云产品安全能力.-12-3.3.3云安全产品安全能力.-12-3.3.4云客户自建能力.-12-3.4安全合规评估.-12-44安全合规实践指引安全合规实践指引.-1313-4.1云服务客户典型场景概述.-13-4.2等级保护对象概述.-13-4.3引用云平台等级保护结论.-14-4.4基本要求合规分析(通用要求).-15-4.4.1安全通信网络.-15-4.4.2安全区域边界.-19-4.4.3安全计算环境.-29-4.4.4安全管理中心.-46-4.5基本要求合规分析(云计算扩展要求).-52-4.5.1安全通信网络.-52-4.5.2安全区域边界.-53-4.5.3安全计算环境.-54-4.5.4安全管理中心.-56-4.5.5安全建设管理.-57-55合规白皮书应用指引合规白皮书应用指引.-6060-5.1快速识别基本要求适用条款.-60-5.2快速分析基本要求安全合规能力.-60-附录附录AA:
阿里云不同服务模式下的典型产品:
阿里云不同服务模式下的典型产品.-6161-附录附录BB:
不同模式下云服务客户等级保护适用条款:
不同模式下云服务客户等级保护适用条款.-6565-IVB.1网络安全等级保护基本要求(通用要求).-65-B.2网络安全等级保护基本要求(云扩展要求).-76-附录附录CC:
阿里云等级保护基本要求安全能力对照表:
阿里云等级保护基本要求安全能力对照表.-7777-C.1网络安全等级保护基本要求(通用要求).-77-C.2网络安全等级保护基本要求(云扩展要求).-94-C.3网络安全等级保护基本要求(物联网扩展要求).-96-阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-1-11概述网络安全法2017年6月1日实施标志着网络安全保护进入有法可依的2.0时代,“网络安全等级保护制度”首次从法律层面提及。
网络安全等级保护对象由信息系统调整为基础信息网络、信息系统(含采用移动互联技术的系统)、云计算平台/系统、物联网、大数据应用/平台/资源、物联网和工业控制系统等。
2019年12月1日起,GB/T22239-2019信息安全技术网络安全等级保护基本要求(以下简称“基本要求”)等系列标准正式实施,落实网络安全等级保护制度是每个企业和单位的基本义务和责任。
阿里云作为网络安全等级保护的先行者和践行者,在确保云平台自身满足基本要求的基础之上,利用云平台原生安全和云安全产品技术优势,希望能够帮助云服务客户更快速、高效和持续的落实网络安全等级保护制度,提升“云上”业务系统的安全防护能力。
本白皮书介绍了阿里云如何助力云服务客户构建基于网络安全等级保护的安全合规体系,内容包括:
安全合规责任安全合规能力建设安全合规实践指引合规白皮书应用指引阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-2-22安全合规责任在云计算环境中,任何云服务客户业务应用系统安全性由云服务商和云服务客户共同保障,云服务客户业务系统所部署的云计算服务模式不同,双方安全责任边界也相应产生差异,详见GB/T22239-2019信息安全技术网络安全等级保护基本要求附录D。
云计算的三种基本服务模式:
IaaS(InfrastructureasaService,基础设施即服务)、PaaS(PlatformasaService,平台即服务)和SaaS(SoftwareasaService,软件即服务)。
2.1阿里云服务模式划分阿里云依托自主研发、服务全球的超大规模飞天云操作系统,在全球200多个国家和地区为云服务客户提供计算、存储、网络、数据处理和安全防护等多种服务。
阿里云为云服务客户提供的云产品(服务)基于IaaS、PaaS和SaaS三种服务模式划分如图2.1。
图2.1阿里公共云云上服务逻辑架构图为确保不同云服务模式下网络安全等级保护测评工作的完备性,云服务商对提供的不同服务模式的云计算平台分别进行等级保护定级和开展等级保护测评工作。
因此,阿里云阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-3-依据提供的云服务模式实行单独定级,确定公共云基础服务平台、公共云数据及开发服务平台、公共云应用服务平台三个等级保护定级对象,具体为:
11)公共云基础服务平台公共云基础服务平台:
通过IaaS模式提供网络、计算和存储等基础云服务;22)公共云数据及开发服务平台公共云数据及开发服务平台:
通过PaaS模式提供大数据、中间件、开发者以及物联网云服务;33)公共云应用服务平台公共云应用服务平台:
通过SaaS模式提供云邮箱、域名、人工智能、安全以及第三方应用服务。
为便于云服务客户能够快速判断采购的云产品所属云计算服务模式类型,云服务客户可参考:
附录附录A阿里云不同服务模式下的典型产品。
阿里云不同服务模式下的典型产品。
2.2安全合规责任划分在不同云计算服务模式下,云服务商和云服务客户安全责任存在一定差异,如图2.2,云服务客户安全责任范围从IaaS到SaaS逐步缩小。
在IaaS模式下,云服务商要确保云平台基础设施安全,云服务客户负责虚拟环境以及自身业务应用安全,而在SaaS模式下,云服务商需对整个云计算环境提供安全防护责任,云服务客户仅需对其选用的应用进行安全配置,并对自身重要数据做好安全防护工作。
图2.2安全合规责任模型根据图2.2中不同服务模式下云安全合规责任模型,结合等级保护标准框架和安全保护对象,云服务商和云服务客户等级保护对象划分如图2.3所示。
在IaaS服务模式中,云服务商的责任对象主要包括基础架构层硬件、虚拟化以及云服阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-4-务层的防护;云服务客户的责任对象包括虚拟机、数据库、中间件、业务应用和数据的安全防护。
在PaaS服务模式中,云服务商的责任对象主要包括基础架构层硬件、虚拟化以及云服务层、和虚拟机、数据库的安全防护,云服务客户责任主要为软件开发平台中间件以及应用和数据的安全防护。
在SaaS服务模式中,云服务客户仅需关心业务应用相关的安全配置、用户访问、用户账户以及数据安全的防护,云服务商的责任对象则包括基础架构层硬件、虚拟化以及云服务层和虚拟机、数据库、中间件、业务应用的安全防护。
图2.3云计算环境等级保护对象划分阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-5-2.3云服务客户基本要求适用性条款在云计算等级保护形态下,依据基本要求及相关标准,云服务客户业务系统和云服务云服务客户业务系统和云服务商云计算平台分别作为单独的定级对象,即云计算平台和云服务客户业务系统,两种形态商云计算平台分别作为单独的定级对象,即云计算平台和云服务客户业务系统,两种形态需分别满足网络安全等级保护相关标准、要求。
需分别满足网络安全等级保护相关标准、要求。
考虑到云平台和云服务客户业务系统的关联性,需按照下列原则筛选分别适用于云平台和云服务客户业务系统的基本要求条款。
用于保障云平台自身安全能力,或云平台提供云服务客户使用但无需云服务客户进行自主配置的安全能力的基本要求条款,只适用于云平台;云平台为云客户提供的云计算服务,为保障云计算服务能够提供其相应的安全能力,且需云服务客户自主进行配置的基本要求条款,同时适用于云平台和云服务客户业务系统;用于保障云平台和云服务客户业务系统对各自保护对象进行安全防护的基本要求条款,适用于云平台和云服务客户业务系统;针对云服务商选择的基本要求条款,只适用于云服务客户业务系统。
基于图2.3云计算环境等级保护对象划分,不同云计算服务模式下,云服务商和云服务客户安全责任和保护对象不同,基本要求对云服务商和云服务客户的适用性也存在一定差异。
基本要求(第三级)在不同的云计算服务模式下对云服务客户的适用条款数量统计如图2.4所示。
图2.4不同服务模式下的云服务客户等保2.0技术测评项数量阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-6-在不同云计算服务模式下对云服务客户的适用条款数量如下表2.1。
表2.1不同服务模式下云服务客户等级保护标准适用条款数量具体适用项详见附录附录B阿里云不同模式下云服务客户等级保护适用条款。
阿里云不同模式下云服务客户等级保护适用条款。
技术技术/管理管理通用通用/扩展扩展安全类安全类公有云云服务客户适用条款数公有云云服务客户适用条款数三级条款数三级条款数IaaS服务模式服务模式PaaS服务模式服务模式SaaS服务模式服务模式网络安全等级保护技术要求通用安全物理环境22000安全通信网络8800安全区域边界202000安全计算环境34343434安全管理中心121297扩展安全物理环境1000安全通信网络5000安全区域边界8420安全计算环境19544安全管理中心4000技术部分总计技术部分总计133834945网络安全等级保护管理要求通用安全管理制度7777安全管理机构14141414安全管理人员12121212安全建设管理34343419安全运维管理48484544扩展安全建设管理8777安全运维管理1000技术技术+管理部分总计管理部分总计257205168148阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-7-3安全合规能力模型阿里公共云等级保护合规能力模型(图3.1)是基于云计算环境保护对象、安全措施以及安全防护能力,构建的云计算环境安全合规状况分析、评估的安全合规模型。
对于云服务客户业务系统的安全合规能力分析过程,包括确定保护对象、确定安全措施、确定安全能力及安全合规评估四个环节。
图3.1阿里公共云等级保护合规能力模型3.1保护对象基于图2.3云计算环境等级保护对象划分,云服务客户可基于部署的云计算服务模式确定云服务客户业务系统的等级保护对象。
3.2安全措施安全措施是根据广泛的经验和学识为对抗云计算系统面临的威胁而采取的防护措施,有的安全措施是由云平台/云产品原生,有些则是云服务商为应对威胁而自研或由云生态合作伙伴提供。
按照等级保护“一个中心,三重防护”纵深防护思想,即从通信网络到区域边界再到计算环境进行重重防护,通过安全管理中心进行集中监控、调度和管理,阿里公共云平台构建了动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的防护架构,同时为阿里公共云云服务客户构建了完善的云上安全防护体系。
阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-8-图3.2阿里公共云云服务客户安全措施阿里云云平台阿里云云平台/云产品为云服务客户提供多种安全防护措施,如虚拟网络隔离、双因云产品为云服务客户提供多种安全防护措施,如虚拟网络隔离、双因素身份鉴别、访问控制、日志审计、负载均衡和数据备份等。
素身份鉴别、访问控制、日志审计、负载均衡和数据备份等。
虚拟网络隔离服务阿里云产品提供了广泛的安全隔离措施,专有网络(VirtualPrivateCloud)不仅支持用户自定义IP地址范围、配置路由表和网关等,还通过网络隔离提高了用户云上服务与数据的安全性。
在网络隔离方面,专有网络(VPC)能够在三个层面实现隔离:
1)专有网络之间通过隧道ID进行隔离,VPC只能通过对外映射的IP(弹性公网IP和NATIP)进行互连。
2)专有网络同一子网内使用交换机互通互连,不同子网间使用路由器进行控制。
3)ECS安全组与RDS、ADB、ECS、SLB、Maxcompute的IP黑白名单可以实现进一步的隔离与访问控制。
阿里云安全组,具备状态检测和数据包过滤功能,可用于在云端划分各个云服务器实例间的安全域。
安全组是一个逻辑上的分组,由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成,使用安全组可设置单台或多台云服务器的网络访问控制,是重要的网络安全隔离手段,适用于在云端划分网络安全域。
MFAMFA(Multi-FactorAuthentication)在用户名和口令之外再额外增加一层安全保护,在用户名和密码之外再额外增加一层安全保护。
启用MFA后,用户登录阿里云控制台(云产品)时,系统将要求输入用户名和密码(第一安全要素),然后要求输入来自其MFA设阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-9-备的动态验证码(第二安全要素),双因素的安全认证为账户认证提供更高的安全保护。
目前阿里云支持基于软件的虚拟MFA设备,虚拟MFA设备是产生一个6位数字认证码的应用程序,遵循基于时间的一次性密码(TOTP)标准(RFC6238),并支持在移动硬件设备上运行。
RAMRAM(ResourceAccessManagement,访问控制)为云服务客户提供用户身份管理与资源访问控制服务。
RAM使得一个阿里云账号(主账号)可拥有多个独立的子用户(RAM用户),从而避免与其他用户共享云账号密钥,并可以根据最小权限原则为不同用户分配最小的工作权限,从而降低用户的信息安全管理风险。
RAM授权策略可以细化到对某个API-Action和Resource-ID的细粒度授权,还可以支持多种限制条件(例如源IP地址、安全访问通道SSL/TLS、访问时间、多因素认证等)。
RAM是阿里云账号安全管理和安全运维的基础。
通过RAM可以为每个RAM用户分配不同的密码或API访问密钥(AccessKey),消除云账号共享带来的安全风险;同时可为不同的RAM用户分配不同的工作权限,大大降低了因用户权限过大带来的风险。
日志审计服务阿里云为云服务客户提供的日志审计服务包括操作审计(ActionTrail)和日志服务(LogService)。
操作审计为用户提供统一的云资源操作日志管理,记录云账号下的用户登录及资源访问操作,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态。
利用ActionTrail保存的所有操作记录,用户可以实现安全分析、入侵检测、资源变更追踪以及合规性审计。
为了满足用户的合规性审计需要,用户往往需要获取主账户和其子用户的详细操作记录。
ActionTrail所记录的操作事件可以满足此类合规性审计需求。
日志服务为用户提供针对日志类数据的一站式服务,帮助用户快捷完成日志数据采集、消费、投递以及查询分析等功能,提升运维、运营效率,建立海量日志处理能力。
所有日志服务的日志数据存放在分布式文件系统上,提供三副本存储机制,保障文件存储的可靠性。
负载均衡阿里云SLB(ServerLoadBalancer,负载均衡)是对多台云服务器进行流量分发的负载均衡服务。
SLB可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-10-升应用系统的可用性。
SLB采用全冗余设计,无单点,支持同城容灾,搭配DNS可实现跨地域容灾,可用性高达99.95%。
同时,SLB可以根据应用负载进行弹性扩容,在流量波动情况下不中断对外服务。
数据备份服务阿里云云服务器镜像文件、快照文件均默认存储三份,分布在不同交换机下的不同物理服务器上,数据可靠性不低于99.9999999%。
当检测到云服务器所在的宿主机发生故障时,系统会启动保护性迁移,把云服务器迁移到正常的宿主机上,恢复实例正常运行,保障应用的高可用性。
阿里云云数据库通过数据备份和日志备份的备份方式,保证数据完整可靠。
同时用户可以随时发起数据库的备份,RDS能够根据备份策略将数据库恢复至任意时刻,提高数据可回溯性。
阿里云对象存储采用多可用区机制,将用户的数据分散存放在同一地域(Region)的3个可用区,当某个可用区不可用时,仍然能够保障数据的正常访问。
对象存储的同城冗余存储(多可用区)是基于99.9999999999%的数据可靠性设计,并且能够为用户提供99.95%的数据可用性SLA。
阿里云基于自研或第三方安全产品阿里云基于自研或第三方安全产品(服务(服务)为云服务客户提供安全策略集中管理、入为云服务客户提供安全策略集中管理、入侵检测、恶意代码检测、流量检测、主机安全加固、数据加密和密钥管理等安全措施侵检测、恶意代码检测、流量检测、主机安全加固、数据加密和密钥管理等安全措施。
云安全中心阿里云通过云安全中心实现云服务客户安全威胁识别、分析、预警的集中安全管理,涵盖网络安全、主机安全、应用安全等多层次安全防护模块组成,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
云防火墙云防火墙实现云上虚拟环境下的统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向),内置的威胁入侵检测模块(IPS)支持全网流量可视和业务间访问关系可视,是用户业务上云的第一个网络安全基础设施。
Web应用防火墙阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-11-Web应用防火墙(WebApplicationFirewall)防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见Web攻击,过滤海量恶意访问,避免网站资产数据泄露,保障网站应用的安全性与可用性。
DDoS高防DDoS高防支持防护全类型DDoS攻击,通过AI智能防护引擎对攻击行为进行精准识别和自动加载防护规则,保证网络的稳定性。
DDoS高防支持通过安全报表,实时监控风险和防护情况,同时支持云下企业客户使用阿里云在全球部署的大流量清洗中心资源,通过全流量代理的方式实现大流量攻击防护和精细化Web应用层资源耗尽型攻击防护。
加密服务加密服务帮助云服务客户可以进行多种加密算法来进行加密运算和密钥安全管理。
阿里云提供的加密服务通过在阿里云上使用经国家密码管理局检测认证的硬件密码机,帮助客户满足数据安全方面的监管合规要求,保护云上业务数据的机密性。
密钥管理服务KMS(KeyManagementService,密钥管理服务)为云服务客户提供密钥的安全托管、密码运算等基本功能,以及内置密钥轮转等安全实践。
通过密钥管理服务,云服务客户无需花费大量成本来建设专用的密码硬件基础设施以及设施之上的管理系统,而且还能获得云服务的高可用性和高可靠性,从而可以专注于开发云服务客户真正需要关心的数据加解密、电子签名验签等业务功能场景。
3.3安全能力安全能力是安全措施作用于保护对象上形成的抵抗外部攻击的一种防护能力,云服务客户安全能力主要包括云平台原生安全能力、云产品安全能力、云安全产品安全能力和云服务客户自建安全能力。
3.3.13.3.1云平台原生安全能力云平台原生安全能力云平台原生安全能力主要针对云基础设施提供的安全保护能力,主要涉及物理环境安全、硬件安全、虚拟化安全和云平台安全管理和运营。
阿里公共云网络安全等级保护2.0合规能力技术白皮书编号:
20191201-12-阿里公共云平台在物理安全、硬件安全、虚拟化安全、云平台内部身份和访问控制、云平台安全监控和运营等方面进行了全方位安全设计和建设,为云服务客户安全奠定了良好基础,详见2019年阿里云安全白皮书5.1云平台安全。
3.3.23.3.2云产品安全能力云产品安全能力云产品安全能力指云平台提供的云产品(服务)为云服务客户提供的安全措施作用于保护对象后形成的安全能力
升级会员 