2021年3月,国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021),自2021年10月1日起实施。密评对象参照网络安全等级保护对象,按照对保障能力的需求,划分为自低向高五个等级。随后,各行业用户陆续开展商用密码应用安全性评估和整改工作,云平台作为承载用户核心IT系统的关键信息基础设施,通过密评十分必要。
天翼云全栈混合云基于自研国密套件和密钥管理系统以及合规的密码硬件设备,对云服务、虚拟化平台、分布式存储、云管平台等组件进行改造,按照GB/T39786的要求,基于国产商用密码体系落地链路传输机密性及完整性保护、关键数据存储机密性及完整性保护,基于数字证书的用户身份鉴别、统一密钥管理、访问控制信息完整性保护及云上租户数据的机密性和完整性保护等能力,构建完善的商用密码防护体系,实现真实性、机密性、完整性、不可否认性等安全目标,在云原生安全能力上做到网络安全等级保护、商用密码应用安全性评估、云计算服务安全评估等能力的有机结合,可保障重点行业客户的云平台安全与合规,提升云平台内生安全防护能力。
天翼云国密套件基于国产商用密码算法,通过模块化设计为天翼云全栈混合云提供商用密码应用能力。总体设计分为身份校验模块、机密性保护模块、完整性保护模块,各模块可独立控制,也可以基于资源池维度进行控制。通过独立松耦合的设计,使模块能力的加载、升级不会影响到云平台的正常运行,随着版本迭代,天翼云国密套件还可以添加更多能力以满足用户个性化需求。
天翼云密钥管理系统产品符合GM/T 0051《密码设备管理 对称密钥管理技术规范》要求,可基于国产商用密码算法提供密钥全生命周期管理,包括密钥生成、启用/禁用、版本管理、计划删除等,同时支持导入自带密钥实现托管;提供极简的标准接口供应用调用,实现真实性、机密性、完整性;支持对接主流品牌的密码设备,满足客户新建、利旧改造、多应用复用密码机等各种场景的需求。
相较于传统IT系统,云平台除了自身包含大量组件之外,还引入了虚拟化、SDN/NFV、VXLAN等技术,因此其密码改造难度也增加了一个量级。云平台密码改造中既要保持云计算大规模、高性能、分布式等特点,还要结合商用密码的安全能力。因此,云平台密码改造不仅需要以全局视角进行统一规划、对各组件改造细节进行优化,还需要突破技术难题,这样才能完美地将两者的能力和优势进行整合。
商用密码应用安全性评估通过访谈、文档审查、实地察看、配置检查、工具测试等手段对天翼云全栈混合云进行了多次验证,此次通过测评对国产商用密码算法在云计算中的应用具有指导作用和示范意义。
密评的顺利通过,意味着天翼云全栈混合云满足了业内云平台及业务上云的安全合规需求,是对天翼云全栈混合云安全能力的重要佐证。未来,天翼云全栈混合云将结合网络安全等级保护以及云计算服务安全评估等标准,为用户持续提供优质的合规、安全能力保障,为用户上云用云保驾护航。