Cloud & Telecom Security

云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版，对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页：

本白皮书由开放式 Web  社区的 1300  多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者，但这一队伍迅速壮大，目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。

在本白皮书撰写过程中，宣言中的三个原则至关重要：1)  用户应通力合作；2)  保持云计算 开放的任何行动应以客户利益为导向；3)  尽可能沿用现行标准。

本白皮书应不定期更新，并进行扩展和修订。我们在此将其翻译成中文版本，供中国的云 计算社区使用，借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。

衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会

今年是绿盟科技成立十周年，也是中国跌宕起伏的网络安全业界发展最为关键的十年。以下文字节选自笔者撰写的“中国网络安全发展十年”中第三部分-发展。

中国的安全业界走过了她重要的十年，防火墙、入侵检测、安全专业服务、安全管理中心SOC、AAA/AAAA、应用安全、Web安全、数据安全、云安全… 回首这一个个脚印，我们希望理清道路的脉络，发现其内在的“导航仪”，希望能看清未来的的方向。
本节希望通过下面四个话题的讨论和读者一起产生一些“脑力激荡”和启发。

• 威胁的蔓延

从本质上说，安全威胁是安全业界得以产生、得以生存的原动力，是网络攻防矛盾中最变化多端的一方。从每年各个权威结构发布的威胁报告上，可以不断的阅读发现到人类的创造力和新思维。
安全业界发展的十年中，处于对立面的威胁方也完成了从孩童期到成熟期的发育，从单纯的好奇、挑战、成名等发展到基于投入回报ROI的、有组织的、具有很强针对性的入侵攻击。
在经济利益驱使下，为了获得更大的商业利益，网络安全威胁呈现了下面的一些特点： Read more…

2010年4月22日，通信网络和信息安全高层论坛在北京鸿翔大厦召开，我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言，介绍了云计算相关的云安全保护和基于云的安全服务，对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外，还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。

点击下载发言所用PPT…

在2010年4月12日，云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立，这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。

CSA-GCC成立的宗旨有三，分别简述如下：

其一：构建平台，促进沟通。帮助大中华地区（中国大陆、香港、台湾）以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通，增进了解；

其二：合作开发，共建共赢。各个地区都有各个地区的特点，GCC希望能够促进业内的合作，在标准规范模板等方面起到催化剂和组织者的角色。

其三：引进来，走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来，为国内同行提供借鉴，少走弯路，提高效率；另一方面，增进与国际同行的沟通交流，消除误解，把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去，对国际业界的健康安全成长做出贡献。 Read more…

近来，微软完成了“思想”转变，全身心的投入到了“云”浪潮中去。下面贴上两幅图，是从微软架构师David Chou在Cloud Connect大会上的演讲稿中摘选的。

第一幅 ：全民动员 – 微软全面拥抱云计算。微软发现Google其实还是有些年轻，最近在用户隐私什么的、中国业务方面犯了不少错误。这就是反击的时机。微软高调说微软的邮件服务不会被Bing索引，不像Google的Gmail那样…

Read more…

点击下载中文版。2010年3月29日，CSA云安全指南中文版发布，下面是中文版的译者序。

云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到截稿时，企业成员达到33个，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是，中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来，企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。

自其成立起，云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日，云安全联盟发布了新版的《云安全指南》v2.1，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色：

特色1： 务实，贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业，大多在美国、欧洲、亚太和中国等的第一线工作，指南的内容较为真实地反映了最新的业界最佳实践和观点，提供了非常详详细、务实的大量建议，非常容易转化为项目的检查列表等形式，方便读者参考。 Read more…

李彦宏：……我们也看到很多其他领域把其他竞争对手弄死了，自己也没有什么好结果。尤其对一个新兴产业、快速增长的市场，尤其是这样…… 我就在想什么时候能够有一天我们也跑到某一个国家声称我要退出你这个国家，这个必须要有全球的影响力才能够称得上强大，这一点我对中国有信心 ……

马化腾：…… 在创意产业、文化数字内容产业，就像王中军说的，其实缺的就是导演、策划，技术、人工这些人才还是不缺的，这些 课补上后，完全可以成为全球数字产业大国 ……

马云：……我最怕的是老酒装新瓶的东西，你看不清他在玩什么，突然爆发出来最可怕。假如从来没有听说的，这个不可怕……

下面转帖的是新浪科技-2010中国(深圳)IT领袖峰会上-百度、腾讯、阿里巴巴三位大当家的对话，对话内容非常精彩。转帖开始…………………… Read more…

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…

This morning, you might have noticed that the blog title was changed to “Cloud & Telecom Security”. Yes, it’s true.

From one or two years ago, my interests and focus have changed to around cloud computing and telecom or ICT security, while P2P was touched very occasionally.  I believe the new title can reflect the new focus better and hope you like it.

想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件，Google上面搜索“丰田汽车召回”，刚刚的搜索结果数是8.8M+。虽然说    汽车家电等召回事件在中国国内，拜国内消费者“保护”所赐，不是很多，消费者大都哑巴吃黄连了。可是，这在西方发达国家是惯例 – 你生产的产品出了质量问题，召回-免费修补是天经地义的事情。

回过来在看看我们所处的IT和软件业呢？大家随便找到一份商业软件的license agreement等，逼着你签过字的那种，都明明白白写着 – 本软件“as-is”；不保证不出漏洞；出了漏洞不保证什么时候可以出补丁；出了补丁，不保证那个补丁管用；软件使用中出了事故，赔偿金额不会超过软件价格；….

在IT和软件作为新兴行业时，对这种高风险的新生事物特例一些保护是可以理解的。但是，当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时，对此基本市场义务的反思就成为很容易理解的动向了。

SANS和Mitre Corp，这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”，是因为我想这个问题也有不少时间了。为软件和安全厂商工作，这种感觉不会有，或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件，搞当了数百个服务器，我居然无法通过合同/许可条款获得正常的赔偿？很让人窝火。你的软件出了漏洞，厂商不但迟迟不响应补丁，还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…

ENISA的全称是欧洲网络信息安全局，前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”，但是，由于属于新生报到，在业界还没有引起太多的关注和媒体报导。大家可以Google一下，尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。

近日，ENISA与云安全联盟CSA一起，发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud， 直译为”通用保障指标-在云之上”，我们简称CAM。该名字起的很有魄力，也很有诗意（喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword，喜欢唱歌的朋友会响起“月亮之上”的旋律，呵呵）。不知看到这个题目，你是什么感觉？我的第一眼是ENISA和CSA有眼力，选题很棒。

CAM项目的使命和目标包括：
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…

Cloud Bursting是Amazon技术专家Jeff Barr创造的名词，讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量，IT自己采购硬件扩容，ROI不是很合算，因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的，随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…

网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点，养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界，天涯海角四处漫游的用户使得边界越来越“虚”，但是，边界依然是我们的第一防御重点，很多安全配置都成为标准配置，包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。

云计算环境中，上述的传统边界依然存在，但是作为云服务用户，却需要更多考虑不依赖边界防护的解决方案，更为纵深防御的解决方案，因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说，云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机，为此，Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前（1月19日）参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。

值得注意的是，这个“Deperimeterization”并不是不要边界防护，而是在传统“边界”防护的基础上，强调了“虚拟边界”和云服务内部安全。事实上，对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…