概述

雲計算安全擴充套件要求是在安全通用要求的基礎上針對雲計算的特點提出特殊保護要求。也就是說，在雲計算環境中為了滿足等保2。0的保準要求，既要滿足安全通用要求，也要滿足針對雲計算提出的特殊保護要求。

雲計算安全擴充套件要求也分為技術要求和管理要求兩大類。

安全物理環境

雲計算安全擴充套件要求安全物理環境中的基礎設施位置要求雲計算基礎設施位於中國境內。

這是對提供雲計算服務的雲服務商提出的要求，由於在雲計算環境中，資料的實際儲存位置往往是不受客戶控制的，客戶的資料可能儲存在境外資料中心，這就改變了資料和業務的司法管轄關係，需要注意的是，有些國家的政府可能依據本國法律要求雲服務商提供可以訪問這些資料中心的途徑，甚至要求雲服務商提供位於他國資料中心的資料。這使得客戶的業務和資料隱私安全不能得到有效的保障。

安全通訊網路——網路架構

應保證雲計算平臺不承載高於其安全保護等級的業務應用系統】

解讀：雲計算環境中雲服務商提供的雲平臺與客戶的業務系統是需要分別單獨定級的，那麼雲計算平臺的等級保護等級必然不能低於其承載的客戶業務系統的安全保護等級。

【應實現不同雲客戶虛擬網路之間的隔離】

解讀：除私有云外，整個雲計算平臺是由多個客戶共享的，因此雲服務商提供的雲計算平臺應具備隔離不同客戶系統的能力，使得客戶的虛擬網路在邏輯上實現獨享。

【應具有根據雲服務客戶業務需求提供通訊傳輸、邊界防護、入侵防範等安全機制的能力】

解讀：雲服務商在保證雲計算平臺達到相應等級的安全防護水平外，還應將相應的安全防護機制提供給客戶。

【應具有根據雲服務客戶業務需求自主設定安全策略的能力，包括定義訪問路徑、選擇安全元件、配置安全策略】

解讀：客戶的業務系統也是根據其對應的安全保護級別來部署安全防護措施，因此雲計算平臺應將相應的安全能力提供給客戶，使使用者可以根據需求進行自主選擇、部署、配置。

【應提供開放介面或開放性安全服務，允許雲服務客戶接入第三方安全產品或在雲計算平臺選擇第三方安全服務】

解讀：這裡是對雲計算平臺的相容性提出的要求，有些客戶可能根據其特殊的安全需求，需要引入雲平臺提供的安全防護之外的安全技術或產品，雲計算平臺應提供相應的開放介面供產品或服務的接入。

安全區域邊界

01

訪問控制

1、應在虛擬化網路邊界部署訪問控制機制，並設定訪問控制規則。

2、應在不同等級的網路區域邊界部署訪問控制機制，設定訪問控制規則。

解讀：虛擬化網路邊界的訪問控制一般是透過虛擬防火牆來實現，不同等級的網路區域可以透過部署防火牆/虛擬防火牆，或者透過相應的跨網資料交換產品來實現。

02

入侵防範

1、應能檢測到雲服務客戶發起的網路攻擊行為，並能記錄攻擊型別、攻擊時間、攻擊流量等。

解讀：這裡是要求檢測雲服務客戶對外發起的攻擊行為，一般是透過入侵檢測/防禦系統來實現檢測。

2、應能檢測到對虛擬網路節點的網路攻擊行為，並能記錄攻擊型別、攻擊時間、攻擊流量等。

解讀：這裡是要求檢測外部網路對雲計算環境發起的攻擊行為，一般是透過入侵檢測/防禦系統來實現檢測。

3、應能檢測到虛擬機器與宿主機、虛擬機器與虛擬機器之間的異常流量。

解讀：與傳統網路南北向防護不同的是，雲計算環境中東西向流量較多，而且也是安全防護的重點，雲平臺要具備東西向流量檢測的能力，甚至是虛擬機器與宿主機之間的流量檢測能力。

4、應在檢測到網路攻擊行為、異常流量情況時進行告警。

03

安全審計

1、應對雲服務商和雲服務客戶在遠端管理時執行的特權命令進行審計，至少包括虛擬機器刪除、虛擬機器重啟。

2、應保證雲服務商對雲服務客戶系統和資料的操作可被雲服務客戶審計。

解讀：在雲計算環境中，雲服務客戶可以對自己的資產進行管理操作，而云服務商可以對雲平臺上的所有資產進行管理操作，當然也包括雲服務客戶的資產，這就需要雲平臺能分別對雲服務商和雲服務客戶的重要操作進行審計和記錄，使各方對自己的操作行為負責，同時，為保證雲服務客的有效權益，雲平臺也應提供相應的機制，使得雲服務商在對客戶系統和資料進行操作時，客戶也能審計到雲服務商的操作行為。

總結

· 雲計算基礎設施要位於中國境內

· 雲計算平臺應能為客戶提供邏輯獨享的網路

· 雲計算平臺應為客戶提供按需使用的安全能力

· 雲計算平臺自身進行安全審計的同時，也要為客戶提供雲服務商對其資產進行管理操作審計的能力