等保测评——云计算扩展测评项

安全物理环境-基础设施位置

应保证云计算基础设置位于中国境内。

该控制点是针对云计算平台提出的安全要求,公有云服务商和自建私有云的企业或组织在规划设计时应同步考虑此安全要求。无论是自建数据中心还是租赁第三方基础设施,其数据机房及云计算相关基础设施(包括通信链路、网络设备、安全设备、计算设备、存储设备等)均应位于中国境内。          此处的“中国境内”指关境意义上的中国境内,不包含香港特别行政区、澳门特别行政区和台湾地区(此三地在关境意义上属于境外)。

安全通信网络-网络架构

a)应保证云计算平台不承载高于其安全保护等级的业务应用系统;

b)应实现不同云服务客户虚拟网络之间的隔离;

c)应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;

d)应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;

e)应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。

该控制点下的全部条款均是针对云计算平台提出的安全要求。        

对于条款a),云服务商有义务告知云服务客户其云计算平台可承载业务应用系统的最高安全保护等级,并采取必要的措施(如与客户以合同等方式约定云服务客户的业务应用系统的安全保护等级)来确保云计算平台不承载高于其自身安全保护等级的业务应用系统。        

对于条款b),为确保云服务客户数据、资源不遭到来自其他云 服务客户及外部网络的非法访间,防止不同云服务客户间的相互影响 及恶意攻击,云服务商应在多云服务客户环境中实现不同云服务客户 虚拟网络之间的安全隔离,如采用 VXLAN技术为不同云服务客户实现  VPC,或者使用虚拟防火墙在虚拟网络间进行逻辑隔离。

条款c、d)相关安全产品或服务:虚拟防火墙、安全组、虚拟专用网络(VPN)、安全资源池(云安全服务平台)        

条款e)是针对云计算平台的开放性提出的安全要求,确保云服务客户能够根据自身需求自由选用云计算平台自有安全防护服务或者第三方的安全产品(或服务)。

安全区域边界-访问控制

a)应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;

b)应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。

该控制点下的全部条款均适用于云计算平台和云服务客户系统。 对于条款a),虚拟网络中的边界可分为以下几类:

(1)不同云服务客户的虚拟网络之间的边界;

(2)同一云服务客户虚拟网络中不同虚拟子网/区域之间的边界;

(3)云服务客户虚拟网络与云计算平台外部网络之间的边界。        

对于(1)类边界,不同的云服务客户系统通常分别属于不同的VPC,VPC之间默认是隔离的。当 VPC之间存在联通需求时,可通过云企业网、对等连接等方式建立连接,并在边界处采取访问控制措施保障安全访问。

对于(2)类和(3)类边界,本条款是“安全通用要求-安全区域边界-访问控制-条款a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信”在云计算环境中的具体化,明确虚拟网络也应落实控制措施。

条款b)进一步强调了安全保护等级不同的对象之间的访问控制。

安全区域边界-入侵防范

a)应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;

b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;

c)应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;

d)应在检测到网络攻击行为、异常流量情况时进行告警。

    条款 a)适用于云计算平台,要求其能检测到云服务客户发起的网络攻击行为。为满足该条款的要求,云计算平台需要针对云服务客户的业务应用发起的访问进行入口流量镜像分析,对东西向、南北向的攻击行为进行深入分析,并结合相关的云安全产品对异常流量的处理实践,记录攻击类型、攻击时间、攻击流量等。

      条款b)适用于云计算平台和云服务客户系统。该条款是“安全通用要求-安全区域边界-入侵防范-条款b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”在云计算环境中的扩展和细化要求,区别在于前者是面向物理节点的网络攻击行为检测,后者是面向虚拟网络节点的网络攻击行为检测。

        对于云计算平台,该条款可以通过在虚拟网络节点出入口部署应用层防火墙、入侵检测等边界防御设备(或服务)来实现网络攻击检测能力。对于云服务客户系统,可以通过购买云计算平台的安全服务或者第三方安全服务来实现对其虚拟网络外部和内部节点的网络攻击检测。

条款 c)适用于云计算平台和云服务客户系统。通常情况下,一个宿主机往往承载着多个虚拟机,这些虚拟机可能属于不同的云服务客户。为避免异常流量影响虚拟机与宿主机的正常运行及虚拟机与宿主机、虚拟机与虚拟机间的通信,应部署流量监测和入侵防范等设备/服务对虚拟机与宿主机、虚拟机与虚拟机间的流量进行实时监测。        

对于云计算平台,应对云上所有虚拟机与宿主机、虚拟机与虚拟机间的异常流量进行检测。前者侧重于发现虚拟机逃逸之类的网络攻击,后者侧重于发现平台自用虚拟机实例间(或私有云各虚拟机实例间)违反安全策略的攻击行为。对于IaaS 模式下云服务客户单独租用(购买)整个宿主机服务器集群的情形,云服务客户应对虚拟机与宿主机、虚拟机与虚拟机间的异常流量进行检测。常见的IaaS 模式下的云服务客户需要对虚拟机实例间的异常流量进行检测。      

条款d)适用于云服务商和云服务客户。对于云服务客户系统来说,如果其采购云计算平台提供的入侵检测服务,则该服务在检测到网络攻击行为、异常流量情况时应将告警信息直接推送给云服务客户。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/39882.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java常用类(3)

目录 一. 正则表达式 二. Math类 三. Random类 四. Date类 五. Calendar类 六. SimpDateFormate类 七. BigInteger类 八. BigDecimal类 一. 正则表达式 正则表达式(Regular Expression)就是用一些特殊的符号去匹配一个字符串是否符合规则,利用String类中的matches()方…

提升效能:Symfony 性能优化实用指南

Symfony 是一个功能丰富的 PHP Web 框架,但在构建高性能应用程序时,开发者需要考虑多种性能优化策略。本文将探讨一系列实用的 Symfony 性能优化技巧,帮助开发者提高应用程序的响应速度和整体性能。 1. 了解 Symfony 缓存机制 Symfony 提供…

蒙阴蜜桃节:北纬 35 度的甜蜜盛宴

蒙阴,这座位于北纬 35 度黄金水果带的魅力之城,凭借着沙壤土、长日照、大温差、好生态的天然禀赋,孕育出了令人陶醉的“蒙阴蜜桃——北纬 35 度的甜”。 7月2日—3日,主题为“蒙阴好丰景 桃香产业兴”的国家鲁中山区桃产业集群项目…

3d打开模型的时候怎么没有灯光?---模大狮模型网

在3D建模与渲染过程中,灯光是至关重要的元素之一,直接影响到最终场景的视觉效果和真实感。然而,有时打开3D模型时可能会发现缺乏适当的灯光设置,这会导致场景显得暗淡或平淡无奇。本文将探讨为何在打开3D模型时可能没有灯光的原因…

QGC添加添加QML可访问的单例

文章目录 前言一、添加文件二、修改qgroundcontrol.pro三、修改QGCApplication.cc四、修改QGroundControlQmlGlobal.h五、修改QGroundControlQmlGlobal.cc六、测试前言 QGC 4.2 一、添加文件 在src目录下添加文件夹SingletonTest,在里面新建SingletonTest.cc和SingletonTes…

OCR text detect

主干网络 VoVNet:实时目标检测的新backbone网络_vovnet pytorch-CSDN博客 DenseNet: arxiv.org/pdf/1608.06993 密集连接: DenseNet 的核心思想是将网络中的每一层与其前面的所有层直接连接。对于一个 L 层的网络,DenseNet 具有…

GIT将文件推送到远程仓库,即添加文件

摘自这里公开资料: git怎么让文件推送 • Worktile社区 要将文件推送到Git仓库,需要经过以下步骤: 1. 初始化Git仓库:在本地项目文件夹中打开命令行工具,并执行以下命令来初始化Git仓库: “shell git in…

Git学习(常用的一些命令)

🍎个人博客:个人主页 🏆个人专栏:日常聊聊 ⛳️ 功不唐捐,玉汝于成 目录 前言 正文 配置相关: 创建与克隆仓库: 基本操作: 分支操作: 远程仓库操作&#xff1a…

重保期间的网站安全防护:网站整站锁的应用与实践

标题:重保期间的网站安全防护:网站整站锁的应用与实践 一、引言 在重大活动或事件(通常被称为“重保”)期间,网站的安全问题尤为突出。由于此时网站的访问量和关注度可能达到高峰,因此也成为了黑客攻击的…

【AI原理解析】—k-means原理

目录 步骤 注意事项 优点 缺点 步骤 初始化: 选择 k 个初始质心(通常通过随机选择数据集中的 k 个点作为初始质心)。迭代过程: 分配数据点到最近的质心: 对于数据集中的每个数据点,计算它与 k 个质心之…

博客的部署方法论

博客写完后,当然是要发布到网络上的。如果想要部署到服务器上,则需编译构建成静态文件,然后将其上传到服务器上的路径(该路径由我们自己决定),然后在 web 服务器(Nginx 等)上配置访问…

m4a如何改为mp3格式?这四种音频转换方法非常好用!

m4a如何改为mp3格式?在当下的生活中,音乐已经成为了人们疲惫时的一剂良药,它不仅可以舒缓心灵,还能够激发情感和启发思维,在众多音频文件格式中,m4a 作为一种常见的格式,备受广大音乐爱好者的青…

OpenCV 张氏标定法

文章目录 一、简介二、实现代码三、实现效果参考资料一、简介 “张正友标定法”是由张正友教授于1998年提出的单平面棋盘格的摄像头标定方法,该方法介于传统标定法和自标定法之间,克服了传统标定法需要高精度标定物的缺点,仅需要一个棋盘格即可。作为一种非常经典的相机内参标定…

动态规划 剪绳子问题

给一段长度为n的绳子&#xff0c;请把绳子剪成m段&#xff0c;每段绳子的长度为k[0],k[1],k[2],k[3]....k[m].请问k[0]k[1]k[2].....*k[m]的最大乘积为多少 #include <vector> // 包含vector头文件 #include <algorithm> // 包含algorithm头文件&#xff0c;用于m…

VS开发QT程序图标修改

VS开发QT程序图标修改 1.双击打开UI界面 2.选择编辑资源 3.添加文件 4.选择ico文件 5.ok确定 6.点击保存 7.选择windowsIcon,倒三角图标 8.选择资源 9.选择图标&#xff0c;点击ok 10.保存 编译运行&#xff1a; 任务栏&#xff1a;

合并多个JSON文件为一个

背景 在机器学习的训练中,多个小的数据集训练,需要将多个数据集合并为一个数据集,方便训练 环境以及依赖package NStudyPy0.0.12 NStudyPy 工具包 , 一个有用的工具包&#xff0c;可以简化开发流程&#xff0c;详细介绍可以参考 NStudyPy 本教程使用 python 3.10.13 作为开发环…

JCR一区级 | Matlab实现BO-Transformer-LSTM多变量回归预测

JCR一区级 | Matlab实现BO-Transformer-LSTM多变量回归预测 目录 JCR一区级 | Matlab实现BO-Transformer-LSTM多变量回归预测效果一览基本介绍程序设计参考资料 效果一览 基本介绍 1.Matlab实现BO-Transformer-LSTM多变量回归预测&#xff0c;贝叶斯优化Transformer结合LSTM长…

ES 索引改名

在Elasticsearch中&#xff0c;直接重命名索引并不是一个直接支持的操作。但是&#xff0c;可以通过以下步骤间接实现索引的重命名&#xff1a; 创建新索引&#xff1a;首先&#xff0c;你需要创建一个新的索引&#xff0c;这个索引将是你原索引的新名字。 复制数据&#xff1…

个人IP如何做好定位?

个人IP定位是指个人在社会和职业领域中如何通过自身特点和优势进行定位&#xff0c;以达成个人发展和目标实现的策略。在如今信息化和网络化的环境下&#xff0c;良好的个人IP定位能够有效地提升个人影响力和竞争力。 个人IP定位的关键在于以下几点&#xff1a; 自我认知和定…

Python 学习之网络编程(六)

Python 的网络编程 Python 网络编程主要涉及到使用 Python 语言来编写网络应用程序&#xff0c;这些程序可以与其他计算机通过网络进行通信。Python 提供了多种内置库和第三方库来支持网络编程&#xff0c;包括套接字&#xff08;sockets&#xff09;编程、异步 I/O、HTTP 客户…