数字化发展至今,“上云”几乎成了企事业单位寻求业务创新的共同目标。诚然,云所带来的好处显而易见。低成本、高弹性、快速敏捷、易集成……然而,随着越来越多业务系统迁至云端,云上安全也正在成为护航数字化发展的“主战场”。云端用户身份鉴别、非授权访问、数据传输和存储安全、以及关键操作的抗抵赖等,都需要强而有力的密码技术来作为基础安全支撑。
然而,目前云端业务普遍呈现出密码应用较为薄弱的特点,在身份认证、网络层间安全通道的构建、敏感数据传输安全等风险地带,未采用密码措施、采用高风险算法、密钥管理不合规等密码应用不规范、密码应用不成体系等问题屡见不鲜,给云平台及云上系统带来了不小的安全隐患。
随着国家《密码法》、《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》(以下简称“GB/T 39786”)、《信息系统密码应用测评要求》等政策相继落地,关键信息基础设施、等保三级及以上信息系统必须“过密评”,成为业内心照不宣的一道应试题。GB/T 39786明确对云平台/信息系统的物理层、网络层、设备层、应用层分别提出了要求和考核指标,因此,建设一套安全、合规、有效的云上密码保障系统,不但是云上业务安全发展的刚需,也是顺利通过密评的“王道”。
01“篮子”和“鸡蛋”
在密码保障系统建设之前,我们需要明确,云上密码保障系统建立主要分为两个层次:
1 云平台密码保障系统:针对云平台自身密码应用的密码保障系统建设,该部分建设的责任主体为云平台的运营者。
2云上应用密码保障系统:针对云上应用系统密码应用的密码保障系统建设,该部分建设的责任主体为云上应用的运营者。
就好比“篮子”和“鸡蛋”的关系,如果云平台这个“篮子”自身安全不保,那部署在云平台上的业务系统就更无安全可言。原则上说,只有云平台通过商用密码应用测评后,云上应用系统才能通过商用密码应用测评。因此,要保障云上业务安全,云平台的密码保障系统建设首当其冲,也是我们今天讨论的重点。
02 先打破一个“误区”
在讨论如何建设云平台密码保障系统之前,我们先打破一个“误区”。
很多厂商认为,“云平台密码应用,就是为云上系统提供密码服务”。在这样的思想误导下,很多厂商密码应用方案的侧重点在于面向租户提供密码服务的能力,而忽略了云平台自身的合规性建设,这就违背了密码保障系统建设的初衷。
事实上,云平台系统的密码应用分为两个层面:一是云平台系统为满足自身安全需求所采用的密码技术,二是云平台为云上应用提供的密码支撑能力。因此,在云平台密码保障系统建设中,首先应考虑的是云平台自身的安全、合规性问题,其次才是面向云上系统的密码供给能力。舍本逐末的做法不仅难以保障业务安全,在实际评估中也很难通过密评。
03 数字认证云平台密码保障系统建设之道
遵循国家政策“三同步一评估”的指导思想,云平台的密码保障系统建设同样按照“明确范围与保护对象、分析密码应用需求、制定密码应用方案”的三步方法论开展。
首先,通过梳理重要数据信息流向和承载实体(物理安全边界、计算环境),明确范围和保护对象。
云平台的访问对象包括云租户、云平台管理员、远程运维人员3类,其业务操作类型为业务访问、虚拟资源管理和调度、设备运维,由此可以梳理出云平台的业务信息流包括3条:租户通过互联网访问云资源区、云平台管理员访问云管平台、远程运维人员访问安全管理区进行设备运维。这其中涉及的重要数据,包括鉴别数据(如口令)、快照、镜像数据、日志审计数据、关键配置数据等。
其次,通过重要数据信息流向节点,从机密性、完整性、真实性、不可否认性四个方面,分析各个环节存在的安全风险及密码应用需求。以作为云平台重要数据的镜像文件保护为例,其安全需求到底是机密性还是完整性,或者二者兼有,业界说法不一。数字认证认为,镜像文件数据的分级分类是由云上应用系统的具体业务所决定的,并非镜像文件的全部内容都是敏感信息,无需全部进行机密性保护。因此,镜像文件只有完整性需求,机密性需求应归结到云上应用系统的安全方案中去做。这点也在实践中得到了权威测评机构的认可。
最后,方案制定。
基于多年服务于各个领域的密码应用经验,北京数字认证股份有限公司(简称“数字认证”)面向云平台密码保障系统建设需求,推出基于密码云服务平台的密码保障系统建设方案。该方案根据GB/T 39786的基本要求,针对云平台大文件加密等特性需求,在云平台自身合规性和对云上系统提供的密码服务等方面进行了重点设计,为云平台的云管平台以及云平台下三层(物理与环境安全、网络与通信安全、设备与计算安全)提供安全、合规的密码能力支撑,为云上应用系统提供敏捷、高效的密码服务,保障云平台用户身份真实性,以及数据的机密性、完整性和不可否认性。
融合云架构特点及密码服务能力的全面化,云平台密码保障系统建设方案通过将密码资源和密码服务虚拟化,构建CRaaS、CFaaS、CBaaS三层架构,提供统一的、标准的、规范的全场景密码服务,涵盖身份认证、电子签名、数据加解密、时间戳服务等,并配套门禁系统、SSL VPN安全网关、安全认证网关等密码产品,全面支撑云平台在物理和环境层、网络和通信层、设备和计算层、应用和数据层的密码应用需求。
依托于“安全合规、敏捷高效、广泛兼容、功能完备”的密码服务能力,数字认证已面向多家部级单位、省级大数据局等的私有云平台、政务云平台提供以密码为核心的云平台安全保障系统建设,保障云平台业务开展的安全性、合法性、合规性。
案例
某政务云平台密码保障系统建设
某省政务云平台,主要为各市级单位用户提供标准化、规范化、统一化的政务云服务,承载着多个政务部门以及政府门户网站等政务应用系统。为顺利推进政务云平台密码应用升级改造,数字认证在前期调研密码应用需求的基础上,通过在互联网接入区、公共网络接入区、安全管理区配置合规的网关设备,采用密码技术建立安全的数据传输通道,实现各链路通信实体的身份鉴别,同时保障了数据在通讯过程中的机密性、完整性;在政务公共网云资源区部署密码云服务平台,云管平台调用密码云服务平台的加解密服务、签名服务等实现了用户鉴别数据的传输和存储机密性保护以及镜像数据、日志审计数据和关键配置数据的存储完整性保护;结合部署在政务互联网云资源区的密码云服务平台,面向政务互联网、政务公共网的云上应用系统提供多种密码服务。
数字认证云平台密码保障系统的建设,保障了该省政务云平台自身的合规性,实现了云平台密码资源管理的全面触达,密码服务应用的全面覆盖。
数字化时代,云安全已成为企事业单位乘“云”破浪的刚需标配。“未雨绸缪而勿临渊掘井”,建设一套安全有效的密码保障系统,是满足国家密评要求的必需之举,也是企事业单位行稳致远的基础支撑。数字认证将不断完善解决方案,助力客户打造安全、可信、高效的云上环境,更好地迎接数字化挑战和变革。
【数字认证】
领先的网络信任与数字安全服务提供商(股票代码:300579),电子认证/电子签名/电子合同领域的市场领导者,应用覆盖政务、卫生、金融、大型企业、电信、航空、公路交通等多个行业,为近千万企业用户和数亿个人用户提供具有法律效力的无纸化交付服务。
