云计算安全扩展要求是在安全通用要求的基础上针对云计算的特点提出特殊保护要求。也就是说，在云计算环境中为了满足等保2.0的保准要求，既要满足安全通用要求，也要满足针对云计算提出的特殊保护要求。

　　云计算安全扩展要求也分为技术要求和管理要求两大类。

　　安全物理环境

　　云计算安全扩展要求安全物理环境中的基础设施位置要求云计算基础设施位于中国境内。

　　这是对提供云计算服务的云服务商提出的要求，由于在云计算环境中，数据的实际存储位置往往是不受客户控制的，客户的数据可能存储在境外数据中心，这就改变了数据和业务的司法管辖关系，需要注意的是，有些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径，甚至要求云服务商提供位于他国数据中心的数据。这使得客户的业务和数据隐私安全不能得到有效的保障。

　　安全通信网络——网络架构

　　应保证云计算平台不承载高于其安全保护等级的业务应用系统】

　　解读：云计算环境中云服务商提供的云平台与客户的业务系统是需要分别单独定级的，那么云计算平台的等级保护等级必然不能低于其承载的客户业务系统的安全保护等级。

　　【应实现不同云客户虚拟网络之间的隔离】

　　解读：除私有云外，整个云计算平台是由多个客户共享的，因此云服务商提供的云计算平台应具备隔离不同客户系统的能力，使得客户的虚拟网络在逻辑上实现独享。

　　【应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力】

　　解读：云服务商在保证云计算平台达到相应等级的安全防护水平外，还应将相应的安全防护机制提供给客户。

　　【应具有根据云服务客户业务需求自主设置安全策略的能力，包括定义访问路径、选择安全组件、配置安全策略】

　　解读：客户的业务系统也是根据其对应的安全保护级别来部署安全防护措施，因此云计算平台应将相应的安全能力提供给客户，使用户可以根据需求进行自主选择、部署、配置。

　　【应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云计算平台选择第三方安全服务】

　　解读：这里是对云计算平台的兼容性提出的要求，有些客户可能根据其特殊的安全需求，需要引入云平台提供的安全防护之外的安全技术或产品，云计算平台应提供相应的开放接口供产品或服务的接入。

　　安全区域边界

　　01

　　访问控制

　　1、应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。

　　2、应在不同等级的网络区域边界部署访问控制机制，设置访问控制规则。

　　解读：虚拟化网络边界的访问控制一般是通过虚拟防火墙来实现，不同等级的网络区域可以通过部署防火墙/虚拟防火墙，或者通过相应的跨网数据交换产品来实现。

　　02

　　入侵防范

　　1、应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。

　　解读：这里是要求检测云服务客户对外发起的攻击行为，一般是通过入侵检测/防御系统来实现检测。

　　2、应能检测到对虚拟网络节点的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等。

　　解读：这里是要求检测外部网络对云计算环境发起的攻击行为，一般是通过入侵检测/防御系统来实现检测。

　　3、应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。

　　解读：与传统网络南北向防护不同的是，云计算环境中东西向流量较多，而且也是安全防护的重点，云平台要具备东西向流量检测的能力，甚至是虚拟机与宿主机之间的流量检测能力。

　　4、应在检测到网络攻击行为、异常流量情况时进行告警。

　　03

　　安全审计

　　1、应对云服务商和云服务客户在远程管理时执行的特权命令进行审计，至少包括虚拟机删除、虚拟机重启。

　　2、应保证云服务商对云服务客户系统和数据的操作可被云服务客户审计。

　　解读：在云计算环境中，云服务客户可以对自己的资产进行管理操作，而云服务商可以对云平台上的所有资产进行管理操作，当然也包括云服务客户的资产，这就需要云平台能分别对云服务商和云服务客户的重要操作进行审计和记录，使各方对自己的操作行为负责，同时，为保证云服务客的有效权益，云平台也应提供相应的机制，使得云服务商在对客户系统和数据进行操作时，客户也能审计到云服务商的操作行为。

　　总结

　　· 云计算基础设施要位于中国境内

　　· 云计算平台应能为客户提供逻辑独享的网络

　　· 云计算平台应为客户提供按需使用的安全能力

　　· 云计算平台自身进行安全审计的同时，也要为客户提供云服务商对其资产进行管理操作审计的能力