L'épidémie soudaine a pris un grand nombre de PME au dépourvu et a été forcée d'accélérer le transfert de scénarios bureautiques et commerciaux du hors ligne au online. Parallèlement, l'application des technologies de l'information de nouvelle génération telles que la 5G, l'IA, le cloud computing accélère également la numérisation et la mise à niveau industrielle de diverses industries. Le processus, avec le développement de la technologie et l'accélération de la construction des infrastructures, a également mis en avant des exigences plus élevées en matière de sécurité de l'information.
Cependant, face à des changements drastiques dans l'environnement réseau, les entreprises ont souvent du mal à changer rapidement de rôle en réponse à des limites de sécurité de plus en plus floues pendant la transformation numérique. La plupart des PME n'ont pas les ressources humaines et les capacités techniques suffisantes pour faire face aux nouveaux défis de sécurité.
La promulgation constante de lois et de règlements souligne également l'importance de la sécurité de l'information. Cela fait près de cinq mois que la norme du Cyber Security Level Protection System 2.0 (ci-après dénommé iso-garanti 2.0) a été officiellement mise en œuvre. Exigences de sécurité; d'autre part, les spécifications de gestion des agences d'évaluation de la protection des notations, le processus de détermination claire du niveau et la méthode de détermination du niveau de l'objet de notation ont été étendus verticalement. Comment faire face aux nouveaux défis de sécurité rapidement et efficacement tout en effectuant la transformation et la mise à niveau numériques de l'entreprise en même temps qu'il répond aux nouveaux défis de sécurité est devenu un problème auquel les entreprises doivent réfléchir avant de commencer leurs activités.
Quelles entreprises doivent passer la garantie?
Conformément à l'article 21 de la "Loi sur la sécurité des réseaux de la République populaire de Chine", les opérateurs de réseaux doivent s'acquitter des obligations de protection de sécurité pertinentes conformément aux exigences du système de protection du niveau de sécurité des réseaux. Dans le même temps, l'article 76 définit que l'opérateur de réseau fait référence au propriétaire, au gestionnaire et au fournisseur de services réseau.
Bien que les normes relatives à la protection hiérarchique soient des normes recommandées non obligatoires, les opérateurs de réseaux (à l'exception des réseaux personnels et domestiques) doivent effectuer une protection hiérarchique conformément à la loi sur la cybersécurité.
Même si une entreprise utilise un serveur cloud qui a passé la garantie et que le système est construit sur le cloud, elle doit également passer le test de garantie. Il existe de nombreuses situations pour le cloud d'entreprise, telles que le cloud public, le cloud privé, le cloud privé et d'autres attributs différents, et l'utilisation de IaaS, PaaS, SaaS, l'hébergement IDC et d'autres services différents, bien que la limite de responsabilité de sécurité ait changé, mais le réseau La responsabilité de sécurité de l'opérateur ne sera pas transférée. Selon les principes de "qui opère qui est responsable, qui utilise qui est responsable et qui est responsable qui est responsable", il devrait assumer la responsabilité de la sécurité du réseau pour la protection hiérarchique.
Conformément à l'annexe D des «Exigences de base pour la protection du niveau de sécurité du réseau des technologies de sécurité de l'information» (GB / T 22239-2019), les fournisseurs de services cloud assument différentes responsabilités de sécurité de plate-forme en fonction des modèles IaaS, PaaS et SaaS fournis. Une fois que le système d'entreprise est passé au cloud, le locataire du cloud et le fournisseur de services de plateforme cloud doivent suivre la matrice de partage des responsabilités et assumer conjointement les responsabilités de sécurité correspondantes.
(Modèle de partage des responsabilités du locataire cloud et du fournisseur de services de plateforme cloud)
Quelles sont les exigences d'évaluation pour les systèmes d'exploitation sur le cloud?
Pour la majorité des petites et moyennes entreprises utilisant le cloud public, le personnel de sécurité et les réserves de capacités techniques font relativement défaut. Face aux exigences complexes de l'isoguarantie 2.0, il est encore plus confus, notamment pour la coopération des systèmes d'exploitation sur le cloud. L'évaluation réglementaire nécessite une configuration manuelle complexe pour répondre aux exigences de plus de 30 éléments de conformité.
En prenant le système d'exploitation CentOS 7.x à titre d'exemple, conformément aux «Exigences de base de la protection du niveau de sécurité du réseau de la technologie de sécurité de l'information GB / T22239-2019», les exigences de base à respecter incluent l'authentification d'identité, le contrôle d'accès, l'audit de sécurité, la prévention des intrusions, la prévention des codes malveillants , Vérification de la crédibilité, intégrité des données, confidentialité des données, sauvegarde et récupération des données, protection des informations résiduelles, protection des informations personnelles, un total de 11 parties.
1. Identification
◆ Exigences d'évaluation
L'identité de l'utilisateur connecté doit être identifiée et authentifiée. L'identité est unique et les informations d'authentification d'identité ont des exigences de complexité et sont régulièrement remplacées; elles doivent avoir pour fonction de gérer les échecs de connexion, doivent être configurées et activées pour mettre fin à la session, limiter le nombre de connexions illégales et lorsque la connexion de connexion expire Mesures pertinentes telles que le retrait automatique; ...
Deuxièmement, le contrôle d'accès
◆ Exigences d'évaluation
Les comptes et les autorisations doivent être attribués à l'utilisateur connecté; le compte par défaut doit être renommé ou supprimé, et le mot de passe par défaut du compte par défaut doit être modifié; les comptes redondants et expirés doivent être supprimés ou désactivés à temps pour éviter l'existence de comptes partagés; l'utilisateur de gestion doit se voir accorder les droits requis Autorité minimale, pour réaliser la séparation des pouvoirs des utilisateurs de gestion;
3. Audit de sécurité
◆ Exigences d'évaluation
La fonction d'audit de sécurité doit être activée, l'audit couvre chaque utilisateur et auditer les comportements importants des utilisateurs et les événements de sécurité importants; l'enregistrement d'audit doit inclure la date et l'heure de l'événement, le type d'événement, l'identification du sujet, l'identification et les résultats des objets, etc.
4. Prévention des intrusions
◆ Exigences d'évaluation
Les services système inutiles, le partage par défaut et les ports à haut risque doivent être fermés; les éventuelles vulnérabilités connues doivent être découvertes, et après suffisamment de tests et d'évaluations, les vulnérabilités doivent être corrigées à temps; doivent être capables de détecter l'intrusion de nœuds importants Fournissez une alarme en cas d'intrusion grave. ...
Cinq, la prévention des codes malveillants
◆ Exigences d'évaluation
Des mesures techniques contre les attaques de code malveillant ou des mécanismes de vérification immunitaire crédibles actifs devraient être adoptés pour identifier les intrusions et les comportements viraux en temps opportun et les bloquer efficacement.
En outre, il y a plus de 30 exigences d'évaluation méticuleuses pour 11 parties, y compris la vérification crédible, l'intégrité des données, la confidentialité des données, la sauvegarde et la récupération des données, la protection des informations résiduelles et la protection des informations personnelles.
Comment configurer pour réussir rapidement l'évaluation du système d'exploitation?
Face à des exigences d'évaluation aussi complexes, même si l'entreprise basée sur le cloud comprend le contenu spécifique, il est difficile de trier la configuration spécifique du serveur et le degré auquel elle peut être modifiée pour répondre aux exigences des agences d'évaluation des assurances, même parce que Mauvaise configuration ou modification pendant le fonctionnement (comme les éléments de configuration de connexion SSH, etc.), ce qui empêche le système de se connecter ou d'autres anomalies.
(Problèmes pouvant être rencontrés lors de la configuration manuelle)
Ainsi, en plus de la configuration manuelle, quels autres moyens simples peuvent réussir l'évaluation de la conformité du système d'exploitation?
Afin d'aider les locataires sur le cloud à résoudre ce problème, récemment Tencent Security Yunding Lab, avec la prise en charge des normes de base fournies par les agences d'évaluation professionnelles, a lancé gratuitement les images par défaut natives du cloud et d'autres images de conformité - le produit est basé sur des miroirs publics natifs, conservant la native Le noyau n'a pas été modifié. Sur la base de la compatibilité et des performances de l'image d'origine, il a été adapté pour garantir la conformité, en aidant les utilisateurs à se débarrasser des opérations complexes et des problèmes de configuration, ce qui permet aux utilisateurs de compléter automatiquement 90% du système d'exploitation en un seul clic sans opération manuelle. La configuration de conformité de base ci-dessus.
Il est entendu que Tencent Cloud a réussi l'évaluation du troisième niveau de cloud public et du quatrième niveau de cloud financier avec un score de 97,82 points et 97,57 points respectivement. Tencent Cloud effectuera chaque année plus de 10 certifications de conformité de ce type pour différents systèmes internes et aidera également les utilisateurs de divers secteurs à fournir une assistance pour d'autres évaluations de sécurité. Dans ces processus, Tencent Cloud a non seulement mené des échanges approfondis avec des agences d'évaluation professionnelles, mais a également accumulé un riche ensemble d'outils d'évaluation automatisés et d'expérience.
Maintenant, avec le soutien des normes de base des agences d'évaluation professionnelles, Tencent Cloud exportera ces expériences et capacités aux locataires sur le cloud via l'image de conformité par défaut pour aider les locataires à passer le système d'exploitation et d'autres évaluations de sécurité. L'image miroir est continuellement exploitée et maintenue pour garantir que lorsqu'une nouvelle menace de sécurité majeure se produit, la paire d'images de conformité par défaut utilisée par le locataire a terminé la réparation de la vulnérabilité et continue d'obtenir une expérience de mise à jour de sécurité.
