云計算安全擴(kuò)展要求是在安全通用要求的基礎(chǔ)上針對云計算的特點提出特殊保護(hù)要求。也就是說，在云計算環(huán)境中為了滿足等保2.0的保準(zhǔn)要求，既要滿足安全通用要求，也要滿足針對云計算提出的特殊保護(hù)要求。

　　云計算安全擴(kuò)展要求也分為技術(shù)要求和管理要求兩大類。

　　安全物理環(huán)境

　　云計算安全擴(kuò)展要求安全物理環(huán)境中的基礎(chǔ)設(shè)施位置要求云計算基礎(chǔ)設(shè)施位于中國境內(nèi)。

　　這是對提供云計算服務(wù)的云服務(wù)商提出的要求，由于在云計算環(huán)境中，數(shù)據(jù)的實際存儲位置往往是不受客戶控制的，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心，這就改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系，需要注意的是，有些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。這使得客戶的業(yè)務(wù)和數(shù)據(jù)隱私安全不能得到有效的保障。

　　安全通信網(wǎng)絡(luò)——網(wǎng)絡(luò)架構(gòu)

　　應(yīng)保證云計算平臺不承載高于其安全保護(hù)等級的業(yè)務(wù)應(yīng)用系統(tǒng)】

　　解讀：云計算環(huán)境中云服務(wù)商提供的云平臺與客戶的業(yè)務(wù)系統(tǒng)是需要分別單獨定級的，那么云計算平臺的等級保護(hù)等級必然不能低于其承載的客戶業(yè)務(wù)系統(tǒng)的安全保護(hù)等級。

　　【應(yīng)實現(xiàn)不同云客戶虛擬網(wǎng)絡(luò)之間的隔離】

　　解讀：除私有云外，整個云計算平臺是由多個客戶共享的，因此云服務(wù)商提供的云計算平臺應(yīng)具備隔離不同客戶系統(tǒng)的能力，使得客戶的虛擬網(wǎng)絡(luò)在邏輯上實現(xiàn)獨享。

　　【應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求提供通信傳輸、邊界防護(hù)、入侵防范等安全機(jī)制的能力】

　　解讀：云服務(wù)商在保證云計算平臺達(dá)到相應(yīng)等級的安全防護(hù)水平外，還應(yīng)將相應(yīng)的安全防護(hù)機(jī)制提供給客戶。

　　【應(yīng)具有根據(jù)云服務(wù)客戶業(yè)務(wù)需求自主設(shè)置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略】

　　解讀：客戶的業(yè)務(wù)系統(tǒng)也是根據(jù)其對應(yīng)的安全保護(hù)級別來部署安全防護(hù)措施，因此云計算平臺應(yīng)將相應(yīng)的安全能力提供給客戶，使用戶可以根據(jù)需求進(jìn)行自主選擇、部署、配置。

　　【應(yīng)提供開放接口或開放性安全服務(wù)，允許云服務(wù)客戶接入第三方安全產(chǎn)品或在云計算平臺選擇第三方安全服務(wù)】

　　解讀：這里是對云計算平臺的兼容性提出的要求，有些客戶可能根據(jù)其特殊的安全需求，需要引入云平臺提供的安全防護(hù)之外的安全技術(shù)或產(chǎn)品，云計算平臺應(yīng)提供相應(yīng)的開放接口供產(chǎn)品或服務(wù)的接入。

　　安全區(qū)域邊界

　　01

　　訪問控制

　　1、應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則。

　　2、應(yīng)在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)則。

　　解讀：虛擬化網(wǎng)絡(luò)邊界的訪問控制一般是通過虛擬防火墻來實現(xiàn)，不同等級的網(wǎng)絡(luò)區(qū)域可以通過部署防火墻/虛擬防火墻，或者通過相應(yīng)的跨網(wǎng)數(shù)據(jù)交換產(chǎn)品來實現(xiàn)。

　　02

　　入侵防范

　　1、應(yīng)能檢測到云服務(wù)客戶發(fā)起的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。

　　解讀：這里是要求檢測云服務(wù)客戶對外發(fā)起的攻擊行為，一般是通過入侵檢測/防御系統(tǒng)來實現(xiàn)檢測。

　　2、應(yīng)能檢測到對虛擬網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。

　　解讀：這里是要求檢測外部網(wǎng)絡(luò)對云計算環(huán)境發(fā)起的攻擊行為，一般是通過入侵檢測/防御系統(tǒng)來實現(xiàn)檢測。

　　3、應(yīng)能檢測到虛擬機(jī)與宿主機(jī)、虛擬機(jī)與虛擬機(jī)之間的異常流量。

　　解讀：與傳統(tǒng)網(wǎng)絡(luò)南北向防護(hù)不同的是，云計算環(huán)境中東西向流量較多，而且也是安全防護(hù)的重點，云平臺要具備東西向流量檢測的能力，甚至是虛擬機(jī)與宿主機(jī)之間的流量檢測能力。

　　4、應(yīng)在檢測到網(wǎng)絡(luò)攻擊行為、異常流量情況時進(jìn)行告警。

　　03

　　安全審計

　　1、應(yīng)對云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時執(zhí)行的特權(quán)命令進(jìn)行審計，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟。

　　2、應(yīng)保證云服務(wù)商對云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計。

　　解讀：在云計算環(huán)境中，云服務(wù)客戶可以對自己的資產(chǎn)進(jìn)行管理操作，而云服務(wù)商可以對云平臺上的所有資產(chǎn)進(jìn)行管理操作，當(dāng)然也包括云服務(wù)客戶的資產(chǎn)，這就需要云平臺能分別對云服務(wù)商和云服務(wù)客戶的重要操作進(jìn)行審計和記錄，使各方對自己的操作行為負(fù)責(zé)，同時，為保證云服務(wù)客的有效權(quán)益，云平臺也應(yīng)提供相應(yīng)的機(jī)制，使得云服務(wù)商在對客戶系統(tǒng)和數(shù)據(jù)進(jìn)行操作時，客戶也能審計到云服務(wù)商的操作行為。

　　總結(jié)

　　· 云計算基礎(chǔ)設(shè)施要位于中國境內(nèi)

　　· 云計算平臺應(yīng)能為客戶提供邏輯獨享的網(wǎng)絡(luò)

　　· 云計算平臺應(yīng)為客戶提供按需使用的安全能力

　　· 云計算平臺自身進(jìn)行安全審計的同時，也要為客戶提供云服務(wù)商對其資產(chǎn)進(jìn)行管理操作審計的能力