公司新闻
公有云环境下,云上系统如何“过密评”?-pg电子官方
发布时间: 2022-09-29
随着政企数字化转型全面进入“云”时代,云已经成为了数字化转型的基石和枢纽。面对着信息系统复杂多变的上云需求,云厂商提供了公有云、私有云以及混合云等多种模式的云服务,其中,公有云因成本低、扩展性好等优点,成为诸多信息系统入云的首选。
随着《密码法》、gb/t 39786、《信息系统密码应用测评要求》等政策相继落地,公有云上的信息系统面临着“过密评”的需求。作为云上系统的载体,公有云平台应该为云上系统提供安全合规的物理环境、合规的网络链路、合规的运维方式以及合规且丰富的密码应用。 然而实际中,很多云厂商所提供的公有云服务在密码应用方面并未满足gb/t 39786的要求,甚至存在一些高风险项,不仅无法帮助云上系统顺利通过密评,甚至会成为密评道路上的阻碍。重点表现在以下两个方面:
为了解决以上问题,北京数字认证股份有限公司(简称:数字认证)提出一种新思路:借助密码托管服务的方式保障云上系统安全。通过在本地建设托管机房,并基于安全认证网关构建合规的网络链路,一方面解决用户访问云平台的链路安全问题,另一方面满足云上系统应用和数据安全层面的密码应用需求。 我们来看下基于密码托管服务,如何实现链路安全和密码服务安全的“一举两得”:
在应用和数据安全层面,公有云上业务系统通过托管机房ssl vpn网关构建的ssl加密传输通道,调用托管机房提供的身份鉴别、加解密、签名验签、时间戳等合规密码服务,满足业务系统在应用和数据安全方面的密码应用需求。
-
当业务系统访问云上服务器时,通信信道是网络和通信安全的测评重点,若公有云平台网络边界没有提供合规的安全接入服务,则该条网络链路的安全性难以保障。 -
云平台未提供合规的密码服务,无法保障业务系统在进行身份鉴别、数据机密性保障、完整性保障、不可否性保障等方面的安全需求。
公有云上系统数据链路示意图
在网络链路层面,通过在托管机房部署安全认证网关,将原先直连云平台的链路转至访问托管机房的安全认证网关,之后再经由安全认证网关和云平台之间的双向ssl传输加密通道到达云平台,这就有效保障了网络通信实体的真实性、通信数据的完整性和重要数据的机密性。
借助于密码托管机房后的数据链路图
由此可见,通过引入托管机房的安全网关和密码服务,能有效缓解公有云平台自身的安全风险,符合密评要求。目前,依托密码托管服务建设方案,数字认证已经帮助医药等领域客户成功通过密评测试。
当然,密码应用与业务息息相关,放之四海皆准的密码应用方案是不存在的,本文只是提出一种保障公有云上业务系统全链路安全的新思路,在项目中依然需要“对症下药”,根据业务系统的实际情况进行具体规划。
未来,云端数据的安全保护必将成为政企数字化发展的头等要务。数字认证将不断与时俱进,为业务上云提供更便捷、更贴合需求的密码保障系统建设,护航云时代业务安全落地。
分享到: