Cloud & Telecom Security

【说在前面的话】前面已有一些留言说起匿名转载问题，呼吁喜欢埋头“生吞活剥”的网编们提高一下自己的工作品味，尊重原创作者的劳动，署上作者原名和URL，这也是尊重自己的劳动，不要把自己的青春浪费在制造互联网垃圾冗余信息上面。如果您做不到这一点，谢绝转载！
【事先声明】本人不保证内容 正确性，不对后面文字中的分析和预测给您的企业和工作所产生的任何后果承担责任，因为您也不会和我分享您你的收益。呵呵，所以，我说了，您听了，您赚了，您亏了，您笑了、您不屑、您怒了，都与本文和作者无关。

上回书（http://sbin.cn/blog/2009/06/01/cloud-computing-1/）说到了云计算大背景下的一些东家长、西家短的陋见，Chinacloud.cn上刘鹏教授做了大量的、很全面的资料收集，感兴趣者可以自助前往。 故谚云: 云是天上的雾, 雾是地上的云。不管是跳进云里，还是把拉到上，总是要腾云驾雾一番了。书归正传，讨论一下云计算对安全圈的启发 – 这个那个产品和技术会如何演变。在后面的文字中将会讨论到风险评估和渗透测试、安全管理中心、终端安全、身份和访问控制（也包含信任管理）、安全审计、Web应用和生命周期安全、符合性认证和培训等。

风险评估合渗透测试

在云计算时代，更多的关键服务和数据将会搬到互联网上。毋庸置疑，互联网的威胁比企业内网的安全威胁更严重，生态环境更恶化。更为频繁、响应速度更快的远程风险评估将会更加普及，尤其是针对Web应用的风险评估和渗透测试，将会成为标准服务科目。

虽然当前风险评估服务的市场相对于防火墙/UTM/反病毒市场来说并不大，但是可以预见的是，这个市场将会以更高的速度成长。这部分开销在企业IT和安全的开销中作战比例很小，为了保证评估结果的完备可信，很多云服务提供商在自己建立风险评估小组的同时，将会从1-2家安全专业服务公司采购远程风险评估服务。

服务形态上，风险评估提供商将完全基于互联网操作，可以按照多种方式定制扫描范围、类型，以及频度，并且可以按照漏洞出现、系统变更等触发扫描。

类似于当前的PCI SSC 和DSS，QSV等，云计算相关领域或许也会出现某个或某些联盟认证授权的安全规范标准，并授权认证一些安全服务提供商。前些时候成立的CSA在其当前版本的CSA Security Guidance中已经就15个安全领域进行开发，涉及到从安全架构、管控和风险管理、法律法规、符合性和审计、信息生命周期、身份和访问控制等等。但CSA是不是会按照上面的步子走，是不是可以走到那一步，还请大家拭目以待。

关于安全管理SOC

安全管理中心SOC在2003-2005年前后在国内大大小小也实施了不下上百个，从始作俑开始的MSSP的SOC到企业自用型的SOC,再回到MSSP的SOC。在2006年“安全技术发展趋势 – 2006”（http://sbin.cn/blog/2006/01/13/security-trends-2006/），我写下过下面的文字：

【安全管理中心SOC】经历了2003年的预热和2004－2005两年的建设后，拥有SOC的运行维护者对SOC带来的实际效益也心存疑虑，头上的光环正在被一些灰尘笼罩，虽然还有一些后来者不停地摇旗呐喊，同时更多的用户关注，但是对于SOC的定位和期望相对于前面两年显然出现相当的回归。这种回归还将继续，舆论和客户的计划对SOC的评价将会逐渐趋于理性。SOC产品和集成商还需要向客户进一步证明产品的可扩展性、对安全事件的挖掘能力和趋势分析，以及投入的回报。

在云计算模式下，云计算服务提供者为了在透明性和安全性上具有竞争优势，SOC将会成为一个必选项。换句话说，这个SOC即是企业自用，也是MSSP，二者结合的可能性很大。

小型的云服务提供商，尤其是SaaS提供商，在没有能力建设自己的安全管理中心之前，有可能租用联盟的PaaS/IaaS大型服务商提供的虚拟SOC，然后提供给自己的客户。

从上面的讨论也可以看出，云计算服务商的SOC在形态上是一个集成的安全平台，能够提供从应用、基础设施、数据、符合性等个层面的安全的集中监视和管理，具有虚拟专用SOC和细粒度的用户授权能力，能够提供详尽的审计记录，满足用户和伙伴内审和外审的需要。

沿着这个思路，如何提供跨云、跨企业边界的日志收集和审计分析能力成为关键技术之一。在这方面，Splunk的思路做法值得参考。

Be Sociable, Share!

•