云计算信息系统的等级保护要求
发布时间:2022-11-07 11:26:57 所属栏目:云计算 来源:
导读: 根据云计算环境下的新风险,增加了新的安全要求,适用于云计算环境下的测评对象,在基本要求的基础上,提出云计算扩展安全要求,云计算扩展安全要求以引用的方式涵盖了基本要求的全部内容,以下重点介绍云计算扩
|
根据云计算环境下的新风险,增加了新的安全要求,适用于云计算环境下的测评对象,在基本要求的基础上,提出云计算扩展安全要求,云计算扩展安全要求以引用的方式涵盖了基本要求的全部内容,以下重点介绍云计算扩展安全要求中与新增安全风险相关的内容。 利用不安全接口的攻击 云计算平台需要提供大量的网络接口和API,保证云计算服务对外接口的安全性十分重要,需要开发过程中完善的安全测试,运行过程中的渗透测试,云服务方应全面审查接口设计模式是否安全,对API中传输的数据进行加密;确保强度足够的用户身份认证与访问控制。 避免云服务被滥用 为了防止滥用云服务,应尽量保证具备较高安全需求的云租户处于较高安全保护强度的区域中,并防止恶意用户使用这个区域的云服务;还应定期检测恶意代码感染的情况,防止恶意代码在虚拟机间的蔓延;检测到云租户对外的攻击行为云计算信息系统,并能记录攻击类型、攻击时间、攻击流量;在出口处部署监测系统,对发布到互联网的有害信息进行实时监测和告警、阻断。 防止利用共享技术漏洞进行攻击 这个风险也是云计算环境下的新增安全风险,采取隔离的安全措施:保证不同云租户之间网络资源的隔离;保证重要资源池与非重要资源池之间的隔离;保证分配给虚拟机的内存空间仅供其独占访问;保证不同云租户的应用系统及开发平台之间的隔离。在发生资源隔离失效后,应该能及时检测出虚拟机对宿主机资源的异常访问,虚拟机之间的资源异常访问,并进行告警和采取相应的措施。 综上所述,在云计算安全扩展要求中针对云环境下的新增风险给出了具体的要求,不仅可以指导云租户选择适合其自身的云服务,也可以让云服务方更好地为云租户提供服务,同时也给云安全厂商解决云安全问题指明了方向。 (编辑:天瑞地安资讯网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐