隨著政企數(shù)字化轉(zhuǎn)型全面進(jìn)入“云”時(shí)代���,云已經(jīng)成為了數(shù)字化轉(zhuǎn)型的基石和樞紐����。面對(duì)著信息系統(tǒng)復(fù)雜多變的上云需求����,云廠商提供了公有云、私有云以及混合云等多種模式的云服務(wù)����,其中,公有云因成本低��、擴(kuò)展性好等優(yōu)點(diǎn)���,成為諸多信息系統(tǒng)入云的首選�����。
隨著《密碼法》��、GB/T 39786�����、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》等政策相繼落地�,公有云上的信息系統(tǒng)面臨著“過(guò)密評(píng)”的需求。作為云上系統(tǒng)的載體���,公有云平臺(tái)應(yīng)該為云上系統(tǒng)提供安全合規(guī)的物理環(huán)境���、合規(guī)的網(wǎng)絡(luò)鏈路、合規(guī)的運(yùn)維方式以及合規(guī)且豐富的密碼應(yīng)用���。然而實(shí)際中����,很多云廠商所提供的公有云服務(wù)在密碼應(yīng)用方面并未滿(mǎn)足GB/T 39786的要求����,甚至存在一些高風(fēng)險(xiǎn)項(xiàng),不僅無(wú)法幫助云上系統(tǒng)順利通過(guò)密評(píng)�����,甚至會(huì)成為密評(píng)道路上的阻礙��。重點(diǎn)表現(xiàn)在以下兩個(gè)方面:
-
當(dāng)業(yè)務(wù)系統(tǒng)訪問(wèn)云上服務(wù)器時(shí),通信信道是網(wǎng)絡(luò)和通信安全的測(cè)評(píng)重點(diǎn)�����,若公有云平臺(tái)網(wǎng)絡(luò)邊界沒(méi)有提供合規(guī)的安全接入服務(wù)�,則該條網(wǎng)絡(luò)鏈路的安全性難以保障��。
-
云平臺(tái)未提供合規(guī)的密碼服務(wù)�����,無(wú)法保障業(yè)務(wù)系統(tǒng)在進(jìn)行身份鑒別�����、數(shù)據(jù)機(jī)密性保障�、完整性保障、不可否性保障等方面的安全需求��。
公有云上系統(tǒng)數(shù)據(jù)鏈路示意圖
為了解決以上問(wèn)題��,北京威廉希尔股份有限公司(簡(jiǎn)稱(chēng):威廉希尔)提出一種新思路:借助密碼托管服務(wù)的方式保障云上系統(tǒng)安全�����。通過(guò)在本地建設(shè)托管機(jī)房,并基于安全認(rèn)證網(wǎng)關(guān)構(gòu)建合規(guī)的網(wǎng)絡(luò)鏈路���,一方面解決用戶(hù)訪問(wèn)云平臺(tái)的鏈路安全問(wèn)題���,另一方面滿(mǎn)足云上系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面的密碼應(yīng)用需求。我們來(lái)看下基于密碼托管服務(wù)�,如何實(shí)現(xiàn)鏈路安全和密碼服務(wù)安全的“一舉兩得”:
在網(wǎng)絡(luò)鏈路層面,通過(guò)在托管機(jī)房部署安全認(rèn)證網(wǎng)關(guān)����,將原先直連云平臺(tái)的鏈路轉(zhuǎn)至訪問(wèn)托管機(jī)房的安全認(rèn)證網(wǎng)關(guān),之后再經(jīng)由安全認(rèn)證網(wǎng)關(guān)和云平臺(tái)之間的雙向SSL傳輸加密通道到達(dá)云平臺(tái)����,這就有效保障了網(wǎng)絡(luò)通信實(shí)體的真實(shí)性、通信數(shù)據(jù)的完整性和重要數(shù)據(jù)的機(jī)密性�。
在應(yīng)用和數(shù)據(jù)安全層面,公有云上業(yè)務(wù)系統(tǒng)通過(guò)托管機(jī)房SSL VPN網(wǎng)關(guān)構(gòu)建的SSL加密傳輸通道�����,調(diào)用托管機(jī)房提供的身份鑒別�、加解密、簽名驗(yàn)簽�����、時(shí)間戳等合規(guī)密碼服務(wù),滿(mǎn)足業(yè)務(wù)系統(tǒng)在應(yīng)用和數(shù)據(jù)安全方面的密碼應(yīng)用需求��。
借助于密碼托管機(jī)房后的數(shù)據(jù)鏈路圖
由此可見(jiàn)����,通過(guò)引入托管機(jī)房的安全網(wǎng)關(guān)和密碼服務(wù)�����,能有效緩解公有云平臺(tái)自身的安全風(fēng)險(xiǎn)���,符合密評(píng)要求���。目前,依托密碼托管服務(wù)建設(shè)方案�,威廉希尔已經(jīng)幫助醫(yī)藥等領(lǐng)域客戶(hù)成功通過(guò)密評(píng)測(cè)試。
當(dāng)然�,密碼應(yīng)用與業(yè)務(wù)息息相關(guān),放之四海皆準(zhǔn)的密碼應(yīng)用方案是不存在的����,本文只是提出一種保障公有云上業(yè)務(wù)系統(tǒng)全鏈路安全的新思路�����,在項(xiàng)目中依然需要“對(duì)癥下藥”�����,根據(jù)業(yè)務(wù)系統(tǒng)的實(shí)際情況進(jìn)行具體規(guī)劃����。
未來(lái)�����,云端數(shù)據(jù)的安全保護(hù)必將成為政企數(shù)字化發(fā)展的頭等要?jiǎng)?wù)�。威廉希尔將不斷與時(shí)俱進(jìn),為業(yè)務(wù)上云提供更便捷�����、更貼合需求的密碼保障系統(tǒng)建設(shè)��,護(hù)航云時(shí)代業(yè)務(wù)安全落地����。
/photos/微信圖片_20220127095306.jpg)
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
