新的合规要求之下,如何快速通过云操作系统等保测评

突入其来的疫情,让大量中小企业措手不及,被迫加速将办公和业务场景从线下转往线上,同时5G、AI、云计算等新一代信息技术的应用也在加速各行业数字化和产业升级的进程,随着技术的发展和基础设施建设的加速,对信息安全也提出了更高的要求。

然而面对网络环境的急剧变化,企业在数字化转型过程中往往难以快速切换角色以应对日益模糊的安全边界,而大部分的中小企业在人力储备和技术能力上不足以应对新的安全挑战。

不断出台的法律法规也在强调着信息安全的重要性。距离网络安全等级保护制度2.0(以下简称等保2.0)标准正式施行已经过去了近五个月,等保2.0一方面横向扩展了对云计算、移动互联、物联网、工业控制系统和大数据的安全要求;另一方面纵向扩展了对等级保护测评机构的管理规范、明确定级流程、扩展定级对象确定方法等。如何在业务数字化转型升级的同时,快速高效地通过等级保护测评,应对新的安全挑战,成为企业开展业务前必须思考的问题。

到底哪些企业需要通过等保?

根据《中华人民共和国网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。

等级保护相关标准虽然为非强制性的推荐标准,但网络(个人与家庭网络除外)运营者必需按网络安全法开展等级保护工作。

即使企业使用了已经通过等保的云服务器,将系统建立在云上,同样也需要通过等保测评。业务上云有多种情况,如在公有云、私有云、专有云等不同属性的云上,并采用IaaS、PaaS、SaaS、IDC托管等不同服务,虽然安全责任边界发生了变化,但网络运营者的安全责任不会转移。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,应承担网络安全责任进行等级保护工作。

根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)附录D,云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后,云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

image001

(云租户与云平台服务商责任共担模型)

云上操作系统有哪些测评项要求?

对于广大使用公有云的中小企业来说,在安全人员和技术能力的储备上本来就相对欠缺,当面对等保2.0复杂的要求时更是一头雾水,尤其是对于云上操作系统的合规测评,需要进行复杂的手动配置才能满足超过30多个合规项的要求。

以 CentOS 7.x 操作系统为例,依据《GB/T22239-2019 信息安全技术网络安全等级保护基本要求》,需要满足的基线要求包括,身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、 数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护共 11 部分。

一、身份鉴别

◆ 测评要求

  1. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
  2. 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

……

二、访问控制

◆ 测评要求

  1. 应对登录的用户分配账户和权限;
  2. 应重命名或删除默认账户,修改默认账户的默认口令;
  3. 应及时删除或停用多余的、过期的账户,避免共享账户的存在;
  4. 应授予管理用户所需的最小权限,实现管理用户的权限分离;

……

三、安全审计

◆ 测评要求

  1. 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
  2. 审计记录应包括事件的日期和时间、事件类型、主体标识、客体标识和结果等;

……

四、入侵防范

◆ 测评要求

  1. 应关闭不需要的系统服务、默认共享和高危端口;
  2. 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
  3. 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

……

五、恶意代码防范

◆ 测评要求

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制,及时识别入侵和病毒行为,并将其有效阻断。

除此之外,还有可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等共计11个部分30多项细致的测评要求。

如何配置才能快速通过操作系统测评?

面对如此复杂的测评要求,即使业务上云的企业摸清了具体的内容,也很难梳理清楚具体应该修改哪些服务器配置、修改到何种程度才能符合等保测评机构的要求,甚至会因为在操作过程中误配置或者修改(如SSH登录配置项等),从而导致系统无法登录或其他异常。

image002

(手动配置过程中可能遭遇的问题)

那么除了自己手动配置之外,还有哪些轻松的方式可以通过操作系统的合规测评呢?

为了帮助云上租户解决这一困扰,近期腾讯安全云鼎实验室在专业测评机构提供基线标准支持下,免费推出了云原生默认等保合规镜像——该产品基于原生公共镜像打造,保持原生内核未修改,在保障原生镜像兼容性和性能的基础上进行了等保合规适配,帮助用户摆脱复杂操作和配置的困扰,让用户无需手动操作,一键即可自动完成操作系统90%以上的基础合规配置。

据了解,此前腾讯云分别以97.82分和97.57分的成绩,高分通过了公有云等保三级和金融云等保四级的测评。腾讯云每年会针对内部各类系统开展10次以上等保合规认证,同时也会帮助各行业用户提供等保测评支持。在这些过程中,腾讯云不仅与专业测评机构进行了深入的交流,并且积累了丰富的自动化测评工具集和经验。

现在,在专业测评机构的基线标准支持下,腾讯云将这些经验和能力通过默认合规镜像的方式输出给云上租户,帮助租户通过操作系统的等保测评,并且腾讯安全团队将对默认合规镜像进行持续运营维护,确保在出现新的重大安全威胁时,租户使用到的默认合规镜像对已完成漏洞修复,持续获得安全更新体验。

上一篇:第二十一期 安全+ 沙龙之软件安全成功举办!(线上)

下一篇:最高悬赏1.5万美元,腾讯与HackerOne合作提供漏洞赏金计划