云計(jì)算安全擴(kuò)展要求是在安全通用要求的基礎(chǔ)上針對(duì)云計(jì)算的特點(diǎn)提出特殊保護(hù)要求。也就是說(shuō)，在云計(jì)算環(huán)境中為了滿足等保2.0的保準(zhǔn)要求，既要滿足安全通用要求，也要滿足針對(duì)云計(jì)算提出的特殊保護(hù)要求。

　　云計(jì)算安全擴(kuò)展要求也分為技術(shù)要求和管理要求兩大類(lèi)。

　　安全物理環(huán)境

　　云計(jì)算安全擴(kuò)展要求安全物理環(huán)境中的基礎(chǔ)設(shè)施位置要求云計(jì)算基礎(chǔ)設(shè)施位于中國(guó)境內(nèi)。

　　這是對(duì)提供云計(jì)算服務(wù)的云服務(wù)商提出的要求，由于在云計(jì)算環(huán)境中，數(shù)據(jù)的實(shí)際存儲(chǔ)位置往往是不受客戶控制的，客戶的數(shù)據(jù)可能存儲(chǔ)在境外數(shù)據(jù)中心，這就改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系，需要注意的是，有些國(guó)家的政府可能依據(jù)本國(guó)法律要求云服務(wù)商提供可以訪問(wèn)這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國(guó)數(shù)據(jù)中心的數(shù)據(jù)。這使得客戶的業(yè)務(wù)和數(shù)據(jù)隱私安全不能得到有效的保障。

　　安全通信網(wǎng)絡(luò)——網(wǎng)絡(luò)架構(gòu)

　　應(yīng)保證云計(jì)算平臺(tái)不承載高于其安全保護(hù)等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)】

　　解讀：云計(jì)算環(huán)境中云服務(wù)商提供的云平臺(tái)與客戶的業(yè)務(wù)系統(tǒng)是需要分別單獨(dú)定級(jí)的，那么云計(jì)算平臺(tái)的等級(jí)保護(hù)等級(jí)必然不能低于其承載的客戶業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)。

　　【應(yīng)實(shí)現(xiàn)不同云客戶虛擬網(wǎng)絡(luò)之間的隔離】

　　解讀：除私有云外，整個(gè)云計(jì)算平臺(tái)是由多個(gè)客戶共享的，因此云服務(wù)商提供的云計(jì)算平臺(tái)應(yīng)具備隔離不同客戶系統(tǒng)的能力，使得客戶的虛擬網(wǎng)絡(luò)在邏輯上實(shí)現(xiàn)獨(dú)享。

　　【應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力】

　　解讀：云服務(wù)商在保證云計(jì)算平臺(tái)達(dá)到相應(yīng)等級(jí)的安全防護(hù)水平外，還應(yīng)將相應(yīng)的安全防護(hù)機(jī)制提供給客戶。

　　【應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力，包括定義訪問(wèn)路徑、選擇安全組件、配置安全策略】

　　解讀：客戶的業(yè)務(wù)系統(tǒng)也是根據(jù)其對(duì)應(yīng)的安全保護(hù)級(jí)別來(lái)部署安全防護(hù)措施，因此云計(jì)算平臺(tái)應(yīng)將相應(yīng)的安全能力提供給客戶，使用戶可以根據(jù)需求進(jìn)行自主選擇、部署、配置。

　　【應(yīng)提供開(kāi)放接口或開(kāi)放性安全服務(wù)，允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計(jì)算平臺(tái)選擇第三方安全服務(wù)】

　　解讀：這里是對(duì)云計(jì)算平臺(tái)的兼容性提出的要求，有些客戶可能根據(jù)其特殊的安全需求，需要引入云平臺(tái)提供的安全防護(hù)之外的安全技術(shù)或產(chǎn)品，云計(jì)算平臺(tái)應(yīng)提供相應(yīng)的開(kāi)放接口供產(chǎn)品或服務(wù)的接入。

　　安全區(qū)域邊界

　　01

　　訪問(wèn)控制

　　1、應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問(wèn)控制機(jī)制，并設(shè)置訪問(wèn)控制規(guī)則。

　　2、應(yīng)在不同等級(jí)的網(wǎng)絡(luò)區(qū)域邊界部署訪問(wèn)控制機(jī)制，設(shè)置訪問(wèn)控制規(guī)則。

　　解讀：虛擬化網(wǎng)絡(luò)邊界的訪問(wèn)控制一般是通過(guò)虛擬防火墻來(lái)實(shí)現(xiàn)，不同等級(jí)的網(wǎng)絡(luò)區(qū)域可以通過(guò)部署防火墻/虛擬防火墻，或者通過(guò)相應(yīng)的跨網(wǎng)數(shù)據(jù)交換產(chǎn)品來(lái)實(shí)現(xiàn)。

　　02

　　入侵防范

　　1、應(yīng)能檢測(cè)到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等。

　　解讀：這里是要求檢測(cè)云服務(wù)客戶對(duì)外發(fā)起的攻擊行為，一般是通過(guò)入侵檢測(cè)/防御系統(tǒng)來(lái)實(shí)現(xiàn)檢測(cè)。

　　2、應(yīng)能檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類(lèi)型、攻擊時(shí)間、攻擊流量等。

　　解讀：這里是要求檢測(cè)外部網(wǎng)絡(luò)對(duì)云計(jì)算環(huán)境發(fā)起的攻擊行為，一般是通過(guò)入侵檢測(cè)/防御系統(tǒng)來(lái)實(shí)現(xiàn)檢測(cè)。

　　3、應(yīng)能檢測(cè)到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量。

　　解讀：與傳統(tǒng)網(wǎng)絡(luò)南北向防護(hù)不同的是，云計(jì)算環(huán)境中東西向流量較多，而且也是安全防護(hù)的重點(diǎn)，云平臺(tái)要具備東西向流量檢測(cè)的能力，甚至是虛擬機(jī)與宿主機(jī)之間的流量檢測(cè)能力。

　　4、應(yīng)在檢測(cè)到網(wǎng)絡(luò)攻擊行為、異常流量情況時(shí)進(jìn)行告警。

　　03

　　安全審計(jì)

　　1、應(yīng)對(duì)云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時(shí)執(zhí)行的特權(quán)命令進(jìn)行審計(jì)，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟。

　　2、應(yīng)保證云服務(wù)商對(duì)云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計(jì)。

　　解讀：在云計(jì)算環(huán)境中，云服務(wù)客戶可以對(duì)自己的資產(chǎn)進(jìn)行管理操作，而云服務(wù)商可以對(duì)云平臺(tái)上的所有資產(chǎn)進(jìn)行管理操作，當(dāng)然也包括云服務(wù)客戶的資產(chǎn)，這就需要云平臺(tái)能分別對(duì)云服務(wù)商和云服務(wù)客戶的重要操作進(jìn)行審計(jì)和記錄，使各方對(duì)自己的操作行為負(fù)責(zé)，同時(shí)，為保證云服務(wù)客的有效權(quán)益，云平臺(tái)也應(yīng)提供相應(yīng)的機(jī)制，使得云服務(wù)商在對(duì)客戶系統(tǒng)和數(shù)據(jù)進(jìn)行操作時(shí)，客戶也能審計(jì)到云服務(wù)商的操作行為。

　　總結(jié)

　　· 云計(jì)算基礎(chǔ)設(shè)施要位于中國(guó)境內(nèi)

　　· 云計(jì)算平臺(tái)應(yīng)能為客戶提供邏輯獨(dú)享的網(wǎng)絡(luò)

　　· 云計(jì)算平臺(tái)應(yīng)為客戶提供按需使用的安全能力

　　· 云計(jì)算平臺(tái)自身進(jìn)行安全審計(jì)的同時(shí)，也要為客戶提供云服務(wù)商對(duì)其資產(chǎn)進(jìn)行管理操作審計(jì)的能力