云安全联盟-化担忧为行动.ppt

云安全化担忧为行动,潘柱廷云安全联盟中国分会理事中国计算机学会理事启明星辰公司首席战略官2011年3月17日上海,云：新时代的曙光,云短期内过度宣传，长期看过于低估计算成为了一种实用工具改变一切：商业模式、风险投资、研究开发,什么是云计算？,计算成为了一种实用工具：计算的第三个时代来临云的推动者摩尔定律超速连接服务导向架构供应商等级主要特征灵活，按需服务多租户计量服务,云计算NIST工作定义可视化模式,宽带网络,快速灵活,测量服务,按需自助服务,资源共享,软件即服务（SaaS）,平台即服务（PaaS）,基础设施即服务（IaaS）,共有,私有,混合,社区,基本特征,交付方式,配置模式,4,2011-2014：混合企业,enterpriseboundary,共有云,ExtendedVirtualDataCenter,私有云,用户云,假定组织边界,应用程序传播数据传播用户传播终端设备传播,云形成的重要问题,数据拥有者和数据处理者之间的临界质量匿名数据中心和设备地域匿名供应商瞬态供应商关系用虚拟控制替代物理控制身份管理变得非常重要云会改变安全现状重新回归安全生态系统,当今重要的云安全问题,主要威胁,恶意使用数据丢失/数据泄漏恶意业内人士账户服务或流量劫持共享技术潜在风险不安全的API未知风险预测,恶意使用,数据丢失/数据泄漏,恶意业内人士,流量拦截或劫持,共享技术潜在风险,不安全的API,未知风险预测,当今重要的云安全问题,重要威胁,恶意使用数据丢失/数据泄漏恶意内部人员账目服务或流量劫持共享技术潜在威胁不安全的API未知风险预测,更新信息,信任：缺少供应商透明度，影响管治、风险管理和符合性数据：泄漏、丢失或存储在不利地域不安全云软件云服务的恶意使用账目/服务劫持恶意内部人员特定云攻击,未来的主要问题,全球范围内不兼容的法律和政策非标准私有云和公有云缺少持续性风险管理和符合性监控不完整的身份管理对安全事件的杂乱回应,关于云安全联盟,全球性非盈利组织超过17,000名个人用户，90个企业用户打造最佳实践和一个值得信任的云生态系统灵活的理念，应用研究的快速发展GRC：与风险管理同步参考模型：使用现有标准创建身份：云经济运行的关键基础一流的互用性提倡审慎的公共政策“推进使用最佳实践以提供云计算的安全保证，对云计算使用进行培训，帮助保护所有其他形式的计算。”,CSA的相关研究,CSA指导研究,指导100k下载：/guidance,保护云计算的流行的最佳实践2009年12月发布的V2.1计划于2011年第三季发布V3/guidance,请搜索云安全指南,样本指导-治理,保证云安全性的最佳机会是在采购前合同、SLA（服务等级协议）、结构了解供应商的第三方，BCM/DR、财政可行性和员工审查如可能，确认数据位置计划供应商终端和资产收益如可能，保留审计权利将供应商节省开支重新投入尽职调查,样本指导-运行,如可能，对数据进行加密，云供应商提供单独的密钥管理改写安全软件开发生命周期了解供应商的修正、供应与保护记录、数据渗漏、精细客户分离强化的虚拟机形象评估供应商IdM整合，例如SAML、OpenID,云控制矩阵工具,通过指导进行控制定等级应符合S-P-I的要求客户vs供应商作用映射为ISO27001、COBIT、PCI、HIPAA帮助IT和IT审计员连接“云空隙”,一致性评估倡议,提供研究工具和流程，进行云供应商共用评估轻质“通用标准”概念与控制矩阵相整合2010年发布第1版本的CAI调查问卷，提出了约140个供应商问题以确认现在的安全控制或实践情况用于评估现在的云供应商,云审计,开放标准和API，自动生成安全断言将数据采集改为数据分析按照云供应商的规模要求提供审计和保证将云控制矩阵用作控制命名空间用于持续性云监控下的云指导,A6：自动审计、断言、评估和保证API,CSA和GRC栈,一套工具、最佳实践和适用技术综合行业研究并简化云中的GRC适用于云供应商、企业、解决方案供应商和审计/符合性控制架构、调查问卷和持续性控制监控自动化/grcstack,控制要求,供应商断言,私有和公有云,一致性评估倡议,云控制矩阵,CCSK云安全知识证书,仅用于云安全的用户认证CSA指导中的能力网络测试价格为$295美元/certifyme正在开放培训课程,可信任云计算计划,综合云安全参考结构云中的安全和互操作身份获得SaaS和PaaS以成为企业的“信赖者”可扩展为身份供应商列出责任使用现有标准组建参考结构身份管理最佳实践白皮书：/guidance/csaguide-dom12-v2.10.pdf,安全即服务计划的需求,各种破坏性趋势（云、流动性、社会网络等）会向信息安全保障提供挑战云提供计划让人重新考虑安全问题（经济、结构、提供服务方式等）完成目标宣言的后半部分：“推进使用最佳实践以提供云计算的安全保证，对云计算使用进行培训，帮助保护所有其他形式的计算。”,安全即服务范围,信息安全产业的再发明安全即服务的定义清晰指出安全即服务内的解决方案类别采取安全即服务的指导符合其它CSA研究如同在第3版CSA指导中提出的第14个领域一样，开发可发行软件。,云SIRT,云紧急反应的一致性调查增强对事件的反应能力标准流程SIRT的补充性最佳实践主办社区的云SIRT/cloudsirt.html,CSA在做什么？,GRC栈,/cloudcert,一致性评估倡议,云控制矩阵,云计算1.0版本的重要威胁云安全联盟制订2010年3月,CSA大中华区规划,从地域上，推动最佳实践在中国、香港和台湾地区等的使用，在云计算环境下提供安全保障，并进行云计算使用培训，以帮助确保其它计算形式的安全。,促进全球中文地区安全专业内的CSA计划,CSAGCC.ORG,使用本地化行业要求和业务案例，以推动全球CSA的发展。,1,2,3,当前工作组,1CSA官方发布文件的本地化，包括云控制矩阵、安全威胁、D12IAM等,2为中国大陆、香港、台湾的供应商和用户提供安全