Cloud & Telecom Security

转贴一篇我的同事田民的文章，此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK，感兴趣考试CCSK的同学们，可以和他联系取取经。:)

摘要：在众多CSA已发布的研究文献中，《云安全指南》无疑是其中最具影响力的。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下，《云安全指南》高屋建瓴而又不乏具体的策略和实施建议，是一份不可多得的参考文献。本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。

关键词：
CSA    云安全    风险分析    合规     监管和治理

概述
云安全联盟（CSA，Cloud Security Alliance）迄今已发布了一系列的安全研究报告。《云安全指南》无疑是其中最具影响力的。
《云安全指南》全称《云计算关键领域的安全指南》（Security Guidance for Critical Areas of Focus in Cloud Computing ）。在2009年12月17日，CSA发布了《云安全指南v2.1》。2年后，CSA于2011年11月14日发布了《云安全指南v3.0》。两个版本均可以从CSA的网站上免费下载，其中，v2.1有中文版本。
《云安全指南》关注于与云计算安全相关的、可以被评估和审计的安全需求及其建议，不涉及强制性法律责任（statutory obligation），这决定了《云安全指南》归根到底是一个研究性文档，或者说是一份白皮书，而不是安全标准，更不是法律法规。事实上，迄今为止，尚无一个被业界广泛认可和普遍遵从的国际性的云安全标准，而涉及云计算安全的法律法规更是全球性的缺失。
笔者认为，CSA不是一个单纯阐述技术的文档。在CSA云安全指南中，有相当多的篇幅讲述的并非技术，而是与监管相关，涉及法律、合规、安全管理、SLA等诸多非技术性领域。因此，《云安全指南》的读者范围很广，包括企业的高管（C-level）,云计算服务的消费者（consumer）和云计算的实施者（implementer），涵盖了云安全的战略和战术方面的诸多内容，高屋建瓴而又不乏具体的策略和实施建议。 Read more…

在前不久9月2日召开的云安全联盟中国峰会上，在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料，亚太地区在云计算的接受程度和应用上与美欧相比，都有些落后。云安全的相关研究也类似的感觉，主要的体现在于公开可得的相关资料多来自美欧，来自亚太地区的贡献相对较少。

10月份澳洲犯罪学研究所发布一份彩皮书 – Cloud computing: Challenges
and future directions, 即云计算之挑战和未来方向。彩皮书对当前云计算技术的动因和主要架构进行了综述，对云计算带来的各种挑战进行了分析。应该说，挑战分析与云安全联盟的7大安全威胁相比很有特色，也很有启发性。彩皮书可以在此下载到.

彩皮书的作者是Raymond Choo博士，上个月在新加坡Govware会议上有缘结识。Raymond著述丰硕，也是很有影响的意见领袖，相关内容参见：http://www.aic.gov.au/about_aic/research_programs/staff/choo_raymond.aspx 希望以后有机会能邀请Raymond到中国来，认识更多的国内朋友。

在云安全联盟的相关活动中，除澳洲外，我们还能明显地感觉到日本和印度逐渐加快的节奏。其社区的活动温度比我们要高好几度，政府的推进，从政策上、投入上都很明显，似乎进入国家战略的范畴了。参见以下这则新闻：http://e.nikkei.com/e/fr/tnks/Nni20100616D16JFN05.htm Read more…

云安全联盟 CSA（Cloud Security Alliance）成立于2009年的RSA大会，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来， CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到目前为止，CSA的企业成员多达50个以上，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。

CISRG是一个活跃的技术研究团队，团队成员都拥有自己特定的技术研究方向，目前的研究方向主要有：操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月，让我们相聚上海，继续讨论信息安全这个永恒的主题。

• 地点：中国.上海
• 地址：上海信安左城酒店
• 时间：2010年11月25日-26日
• 邮箱：cisrg.isf@gmail.com
• 议题征集：简体中文版
• 议题征集：English CFP

详细日程和演讲嘉宾等更详细内容参见：http://www.tektalk.org/?p=12158

两则云安全联盟的新闻：

- 8月11日，云安全联盟中国区分会CSA-GCC成为正式分会。

- 7月28日，云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材，9月1日推出。企业成员将会免费获得两个认证考试指标。

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会

在2010年4月12日，云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立，这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。

CSA-GCC成立的宗旨有三，分别简述如下：

其一：构建平台，促进沟通。帮助大中华地区（中国大陆、香港、台湾）以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通，增进了解；

其二：合作开发，共建共赢。各个地区都有各个地区的特点，GCC希望能够促进业内的合作，在标准规范模板等方面起到催化剂和组织者的角色。

其三：引进来，走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来，为国内同行提供借鉴，少走弯路，提高效率；另一方面，增进与国际同行的沟通交流，消除误解，把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去，对国际业界的健康安全成长做出贡献。 Read more…

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…