为了确保云上安全,等保2.0的8.2.2.5涉及网络架构的条款中明确表示,应提供开放接口或开放性安全服务,允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务。这说明了云服务客户的安全问题不能完全依赖云平台的安全保障。一定有一些是云平台无法坚固的部分。
而在本条款中关于集中管控的要求中提出:
a) 应根据云服务商和云服务客户的职责划分 收集各自控制部分的审计数据并实现各自的集中审计;
b) 应根据云服务商和云服务客户的职责划分,实现各自控制部分,包括虚拟化网络、虚拟机、虚拟化安全设备等的运行状况的集中监测。
这个要求对云服务商与云上用户关于数据的管控职责上做了切分要求,云服务商的责任无法是实现从边界防护到核心数据的全面覆盖,目前看,云服务商更注重边界防护,以云应用服务器中的应用为防护重点。那么,用户存储在云数据库服务器中的数据保护责任归谁所有?首先,上云用户自身的安全建设还远没有触达这个领域;其次,即便云服务商有能力覆盖数据安全层面的保障工作,它的身份也是尴尬的,因为其角色难以自证其中立、客观、公正,所以,必须引入一个中立的第三方角色来构建云服务商与云服务客户的信任基础,这就是CDSP(Cloud Data Security Provider)概念:独立的第三方云数据安全服务商。
首先,CDSP的角色定义,就是和上云用户站在一起,不与云服务商有任何利益关系,因此可以更公正地维护用户数据利益;其次,CDSP是站在第三方立场,以第三方视角,真正从数据层入手,保障上云用户的云上数据使用时的安全,确定安全责任,做好定级和监管以及提供数据安全整体防护体系的设计;CDSP在数据安全保护层面具有非常高的专业性。以CDSP安华金和为例,作为一家专业做数据安全的厂商,已经具备十年大型数据库产品研发基础和技术储备,并将专业能力转移到云端,积累了丰富的云数据安全实践经验,能够从专业角度捍卫用户对数据的掌控权;此外,面对SaaS企业如何为其用户扫清数据安全疑虑的困境,引入CDSP第三方安全服务可以实现为SaaS企业数据安全赋能,从根本上解决SaaS企业和其上用户的后顾之忧。
等保2.0的条款8.2.3.2中关于访问控制这一项的要求:应确保只有在云服务客户授权下,云服务商或第三方才具有云服务客户数据的管理权限。
本条款其实是在维护云服务客户的数据所有权,但是真实场景却不尽人意,因为数据一旦上云,云服务商能不能看到数据,能不能对用户数据进行合理化管控,目前都没有办法保障,“我的数据我做主!”沦为一个美好而空洞的口号。数据不在自己的手里,安全问题谁来保障?如何保障?如果数据泄露了应该由谁来负责?CDSP的出现让双方的症结有了解决之道,引入CDSP,它会站在云服务商和云服务客户之外的第三方立场,以第三方视角,真正从数据层入手,保障SaaS企业和云上用户的云上数据使用的安全性。
等保2.0关于数据保密性的相关条款中指出:应支持云服务客户部署密钥管理解决方案,确保云服务客户自行实现数据的加解密过程。
云上用户的核心数据资产加密之后,密钥的管理问题是个难题,因为没办法保证云服务商没有密钥。所以要实现云上用户自行管理自己的密钥,必须由第三方安全产品部署在云服务当中,以镜像或者SaaS方式提供数据安全防护服务,让自己的钥匙自己拿。
CDSP(cloud data security provider)是助力企业上云,帮助云服务客户应对等保2.0合规要求,驱动Saas企业业务增长的有力技术伙伴。