CIS2019-等保2.0论坛-云租户等保合规探索-王余（18页）.pdf

1、云租户等保合规探索王余王余腾讯安全专家咨询中心（照片部分由主办方添加）目录碰到了什么问题 买/用哪些安全产品能过等保？过等保要花多少钱？现在还没做等保还来及吗？有什么影响？云上的安全是云平台负责的吧？云服务商能做什么 提供等保合规知识传递、完善解决方案。提供更易用、更安全的基础平台。提供符合等保的产品/功能。提供专业的咨询服务。云租户能做什么 了解网络安全法、等级保护基本要求。结合业务需求与ROI、应用云服务商的产品/方案。参照合规要求、拥抱新技术、不断提升安全保障能力助力业务发展。等级测评结论与判断依据划重点|存在高风险安全问题则直接判定等级测评结论为“差”。|存在中风险安全问题则无法获得等

2、级测评结论为“优”。|基本要求权重表|综合得分计算公式|测评结论判定表|云计算测评结论表|测评结果有“优”、“良”、“中”、“差”四个等级。|测评结果及格分数为70分。云计算安全等保扩展要求云计算安全等级保护基本要求安全通用要求技术要求管理要求云计算安全扩展要求云计算平台自身安全要求云计算平台提供租户的安全服务能力要求针对租户的安全要求等级保护合规流程及推荐配置等保合规流程及各职责“个中、三重防护”合规推荐产品配置技术要求部分控制点概述推荐产品等保二级等保三级安全通信网络应划分不同的网络区域，网络区域与其他网络区域之间应采取可靠的技术隔离手段。VPC、ACL、安全组平台自带平台自带应采用效验技

3、术、密码技术保证通信过程中数据的完整性和保密生。SSL证书安全区域边界在网络边界处应部署入侵防范和恶意代码检测机制，防御并记录入侵行为。WAF对网络中的用户行为日志和安全事件信息进行记录和审计。WAF全量日志审计在内外网的安全区域边界设置访问控制策略，并防止或限制从外部/内部发起的网络攻击行为，记录并报警。护DDOS安全计算环境应启用安全审计功能，对用户行为和安全时间进行审计。数据库审计应能发现可能存在的已知漏洞，在经过充分评估后及时修补漏洞。漏洞扫描应能检测到入侵行为，并能对恶意代码进行防范，提供报警并有效阻断。主机安全应采用密码技术保证重要数据在传输和存储过程中的保密性。KMS应仅采取和保

4、存业务必需的用户个人信息，禁止未授权访问和非法使用用户个人信息。数据脱敏安全管理中心应支持多因素身份认证，只允许通过特定的命令和界面进行管理操作并进行审计。堡垒机对分散的设备、组件、主机以及安全策略、事件等进行集中管理、审计、报警和分析。安全运营中心https:/ 22239-2019)自顶向下设计的安全合规和运营体系全栈安全基础架构与可信计算数据安全中台数据产生和获取Dataat RestData inTransitDatain Use数据退役和销毁数据合规和治理数据访问监控和响应难点1：分类、治理和策略难点2：DaR/DiT/DiU加密技术难点4：事件监测分析难点3：密钥管理Data-at

5、-RestData-in-UseData-in-Transit存储加密(卷/对象/文件)访问控制数据退役和安全擦除备份安全云服务商SOD云服务商流程和审计安全计算(同态加密、多方计算、差分隐私)安全计算环境(TPM、TEE)加密算法隐私保护算法计算环境隔离传输加密身份验证传输抗抵赖性边界安全数据重定位数据外包安全数据安全中台数据安全能力中台HSM/SEM数据加密软硬件服务KMS密钥管理系统Secrets Manager凭据管理系统SparklingSnova数据获取Data Ingestion and SourcingCKafkaCMQRedisAPIStreamBIEMRTIMongoDBE

6、S事务处理和检索Transaction,Catalog,SearchPostgresqlMYSQLTDSQLTDSQL分析与数据服务Analysis,Intelligence,ServingCFSAPICOSCBSCVMVPN数据访问与消费Data Access and Consume原始数据归一智能分析决策与反馈数据安全能力中台服务日志审计身份认证秘钥管理应用加密网络加密计算加密凭据托管可视化管理|全数据生命周期支持、完整的云产品生态集成、国密与FIPS标准全数据生命周期支持完整的云产品生态集成随取随用的加密API或SDK服务数据安全中台|腾讯云数据安全能力中台，提供极简的加密API或SDK