云安全技术管理

1、虚拟化网络安全

通过入侵检测可以识别云数据中心内部虚拟机对生产网络、其他虚拟机或外部网络发起的攻击。

• L1：不具备攻击检测。

• L2～L3：支持对虚拟机南北向流量的检测。

• L4～L5：支持对虚拟机东西向流量的检测。

2、安全服务

安全服务管理能力是指实现对云数据中心中安全设备、安全能力进行协同和统一管理，为用户提供增值的安全服务。依据成熟度等级可划分如下：

• L1～L2：安全设备、安全能力独立分散存在，各自管理。

• L3～L4：部分安全设备、安全能力具备协同、统一管理能力。

• L5：所有安全设备、安全能力均可以协同、统一管理，可以按需为上层业务提供安全服务。

3、安全域划分

应根据其部署的业务类型、重要性和所涉及数据的重要程度等因素，将云数据中心划分为不同的安全区域，并采取适当的隔离防护措施。依据成熟度等级可划分如下：

• L1：无安全域划分。

• L2：有简单的划分，各资源池节点物理隔离。

• L3：有完善合理的划分，各资源池节点逻辑隔离。

• L4～L5：有完善合理的划分，不同安全域有严格的访问控制策略。

云安全管理需要考虑访问控制、安全制度认证等方面，在保障业务发展的前提下其满足度越高，则成熟度水平越好，主要内容如下：

• 制定了云计算数据中心访问控制策略和流程。

• 定义了岗位职责和工作内容，确保职责分离。

• 对可能访问基础设施和数据的每个人进行背景调查，包括内外部人员。

• HR 对云数据中心人员进行背景调查，并签署保密协议和人员转岗离职的管理办法。

• 定期对访问安全区域的人员行为和操作进行安全审计。

• 为外协等第三方员工提供培训并保证其完全了解和遵守相关安全政策。

• 具备 ISO 27001 或与之等价的审计标准认证、国标 GB/T 31167、GB/T 31168 的符合性检查或 CSA STAR、可信云安全认证等认证中的一个及以上。