本文详细介绍了云计算安全扩展要求,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境等方面的具体措施。内容涵盖了访问控制、入侵防范、安全审计、数据完整性和保密性等多个方面,旨在确保云计算平台及其服务的安全性。
十一:云计算安全扩展要求
11.1 安全物理环境
11.1.1 基础设施位置
应保证云计算基础设施位于中国境内。
11.2 安全通信网络
11.2.1 网络架构
a) 应保证云计算平台不承载高于其安全保护等级的业务应用系统;
b) 应实现不同云服务客户虚拟网络之间的隔离;
c) 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力;
d) 应具有根据云服务客户业务需求自主设置安全策略的能力,包括定义访问路径、选择安全组件、配置安全策略;
e) 应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务。
11.3 安全区域边界
11.3.1 访问控制
a) 应在虚拟化网络边界部署访问控制机制,并设置访问控制规则;
b) 应在不同等级的网络区域边界部署访问控制机制,设置访问控制规则。
11.3.2 入侵防范
a) 应能检测到云服务客户发起的网络攻击行为;并能记录攻击类型、攻击时间、攻击流量等;
b)应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;
c) 应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量;
d) 应在检测到网络攻击行为、异常流量情况时进行告警。
11.3.3 安全审计
a) 应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启;
b) 应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。
11.4 安全计算环境
11.4.1 身份鉴别
当远程管理云计算平台中设备时,管理终端和云计算平台之间应建立双向身份验证机制
11.4.2 访问控制
a) 应保证当虚拟机迁移时,访问控制策略随其迁移;
b)应允许云服务客户设置不同虚拟机之间的访问控制策略。
11.4.3 入侵防范
a) 应能检测虚拟机之间的资源隔离失效,并进行告警;
b) 应能检测非授权新建虚拟机或者重新启用虚拟机,并进行告警;
c) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并进行告警。
11.4.4 镜像和快照保护
a) 应针对重要业务系统提供加固的操作系统镜像或操作系统安全加固服务;
b) 应提供虚拟机镜像、快照完整性校验功能,防止虚拟机镜像被恶意篡改;
c) 应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
