云计算安全扩展要求-(六)安全管理中心
安全管理中心
安全管理中心针对云计算环境提出了安全管理方面的技术控制扩展要求,通过技术手段实现云平合集中管理,涉及的安全控制点包括集中管控。
控制点
1.
集中管控
在企业的网络安全建设过程中,为了建设相对全面的防御体系,势必涉及不同类型、不同厂商的安全设备的部署。为了解决不同厂商的安全设备在配置方法上的差异问题,实现多类型安全设备的统一日志管理和事件关联分析,云安全集中管控平台应从资源管理、配置、监控、分析响应及部署全周期的云安全管理功能的角度,为用户提供资源平台化、数据集中化的统一云安全管理机制。
a)
安全要求:应能对物理资源和虚拟资源按照策略做统一管理调度与分配。
要求解读:云计算通过对物理资源的整合与再分配,提高了资源利用率,使一台物理机的资源能被多个虚拟所共享。对物理资源、虚拟资源的统一分配与调度,能够提高资源利用率。
检查方法
1.核查是否部署了资源调度平台或其他平台,对物理资源、虚拟资源进行统一分配与调度。
2.核查资源管理平台是否能够实现物理资源、虚拟资源的统一分配与调度。
期望结果
部署了资源调度平台,能按照策略对物理资源和虚拟资源进行统一分配与调度。
b)
安全要求:应保证云计算平台管理流量与云服务客户业务流量分离。
要求解读:应通过带外管理或策略配置的方式将网管流量和业务流量分开。应为网管流量建立专属通道。在这个通道中,只传输管理流量,管理流量与业务流量分离,从而提高网管效率与可靠性,提升管理流量的安全性。
检查方法
1.核查网络架构和配置策略,了解是否对云平台管理流量采取了带外管理或策略配置等方式。
2.核查并测试云平台管理流量与云服务客户业务流量是否已经分离。
期望结果
1.云平台管理流量采取带外管理的方式,云服务客户业务流量由上层网络承载。云平台管理流量网络使用经典网络架构,与业务网络默认隔离。
2.云平台管理流量与云服务客户业务流量完全分离。
c)
安全要求:应根据云服务商和云服务客户的职责划分,收集各自控制部分的审计数据并实现各自的集中审计。
要求解读:在云运维方面,为缓解云服务商和云服务客户间的不信任问题,应对云服务商和云服务客户进行明确的职责划分,使其各自收集审计数据,并对审计数据进行集中审计,从而实现云计算平台的全面信息审计,满足云计算环境下合规性、业务连续性、数据安全性等方面的审计要求,有效控制审计数据在云中面临的风险。
检查方法
1.核查云服务商和云服务客户间是否进行了职责划分。
2.检查云平台是否支持云服务商和云服务客户各自收集审计数据。
3.检查云服务商和云服务客户是否部署了集中审计平台以支持各自收集审计数据并进行集中审计。
期望结果
1.云平台运维侧部署了与租户侧不同的审计产品,负责采集云平台运维侧的日志并完成审计。
2.云平台租户侧部署了租户的审计产品,负责采集租户侧的审计日志并完成审计。
d)
安全要求:应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
要求解读:为方便云服务商和云服务客户及时掌控系统运行情况,应明确划分云服务商和云服务客户的职责,使其对各自控制的虚拟资源(虚拟化网络、虚拟机、虚拟化安全设备等)的运行状况进行集中监测。
检查方法
1.核查云服务商和云服务客户间是否进行了职责划分。
2.检查云平台是否支持云服务商和云服务客户集中监测各自控制的虚拟资源(虚拟化网络、虚拟机、虚拟化安全设备等)的运行状况。
期望结果
1.根据云服务商和云服务客户的职责划分,实现了其各自控制的设备的运行状况的集中监测。
2.云监控中心提供资源实时监控、告警和通知服务,可监控云服务器、负载均衡、云数据库和对象存储的相关指标。云管平台能够对虚拟资源的运行状况进行集中监测。