Cloud & Telecom Security

转贴一篇我的同事田民的文章，此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK，感兴趣考试CCSK的同学们，可以和他联系取取经。:)

摘要：在众多CSA已发布的研究文献中，《云安全指南》无疑是其中最具影响力的。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下，《云安全指南》高屋建瓴而又不乏具体的策略和实施建议，是一份不可多得的参考文献。本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。

关键词：
CSA    云安全    风险分析    合规     监管和治理

概述
云安全联盟（CSA，Cloud Security Alliance）迄今已发布了一系列的安全研究报告。《云安全指南》无疑是其中最具影响力的。
《云安全指南》全称《云计算关键领域的安全指南》（Security Guidance for Critical Areas of Focus in Cloud Computing ）。在2009年12月17日，CSA发布了《云安全指南v2.1》。2年后，CSA于2011年11月14日发布了《云安全指南v3.0》。两个版本均可以从CSA的网站上免费下载，其中，v2.1有中文版本。
《云安全指南》关注于与云计算安全相关的、可以被评估和审计的安全需求及其建议，不涉及强制性法律责任（statutory obligation），这决定了《云安全指南》归根到底是一个研究性文档，或者说是一份白皮书，而不是安全标准，更不是法律法规。事实上，迄今为止，尚无一个被业界广泛认可和普遍遵从的国际性的云安全标准，而涉及云计算安全的法律法规更是全球性的缺失。
笔者认为，CSA不是一个单纯阐述技术的文档。在CSA云安全指南中，有相当多的篇幅讲述的并非技术，而是与监管相关，涉及法律、合规、安全管理、SLA等诸多非技术性领域。因此，《云安全指南》的读者范围很广，包括企业的高管（C-level）,云计算服务的消费者（consumer）和云计算的实施者（implementer），涵盖了云安全的战略和战术方面的诸多内容，高屋建瓴而又不乏具体的策略和实施建议。 Read more…

2012年1月，绿盟科技研究院发布2011年的安全回顾与展望年度报告，报告中总结了过去一年的安全热点事件和攻防态势。以下是报告的摘要：

2011年的安全格局看似杂乱无章，从宏观观之，则又井然有序。
攻击者的目标逐渐聚焦在两个方面：实施破坏和窃取信息。前者又逐步演化为两种趋势，针对网络空间的应用和服务使用分布式拒绝服务攻击（DDoS），针对物理世界的关键信息基础设施（CII）则采用高级持续威胁（APT）攻击。本文从DDoS的发展和趋势，针对关键基础设施的APT攻击以及利益驱动的数据泄漏三方面进行回顾和分析。
近年来DDoS攻击的规模持续增加，其复杂度不断提高，而发动攻击的代价或难度则越来越低，攻击的动机也逐渐以经济利益为主。造成这种现象的原因在于政府治理的缺失和技术发展的局限。关键基础设施防护和工业控制系统安全成为各国政府的防范重点已经多年，但是面对APT攻击任何保证似乎显得都有些无力。一方面，工业控制系统的安全性在体系、管理、运维及研究等方面均亟需完善；另一方面，对APT的防护也需要各国政府、科研机构、应用厂商和防范主体的多层次合作。从一系列相关事件中可以看出，攻击者的目标选择、协作组织和影响范围均体现出明显的系统性趋势。
本年度数据泄漏事件在国内外均层出不穷，影响越来越大。数据泄漏基本上可以分为窃密、泄密和失密三种类型，而在数据的存储、传输和使用阶段则分别存在不同的泄露方式。数据泄漏涉及信息系统的几乎所有组成部分，而市场上可得的数据泄漏保护（DLP）技术只能提供防护工作所需能力的一个子集。只有在Web应用、数据库、网络和主机系统、桌面等各方面，结合技术和管理，充分利用专业安全提供商的各种资源，多方努力，才能高效地做好数据安全防护工作。
2012年的信息安全发展会同时体现在不同层面：伴随新技术产生的安全热点、新应用带来的安全关切、新模式引发的行业变革都将对安全领域产生重大影响。此外，云安全和安全的智能化趋势，以及由此引发的“下一代安全”思潮也值得关注。
未来的一年依然将是多事之秋，行业和每个从业者都将同时面对机遇与挑战。

关键词：分布式拒绝服务攻击DDoS，关键信息基础设施CII，工业控制系统SCADA，高级持续威胁ATP，数据泄漏保护DLP

点击下载2011年安全回顾与展望

【注】下面内容是在一个研讨会上的发言，务虚的，报告了自己在检测APT、防护下一代威胁等方面的思考。对于报告相关的PPT感兴趣的同学可以和我联系。

最近一段时间以来，网络上出现了各种各样的攻击，有一些给了大家非常大的震动，觉得它已经超出了我们以前企业安全防护的范畴，大家都把它归结到APT这个词上来，或者叫定向攻击，在一些媒体的报道中或者一些技术报告里面，通常会把这种攻击分成几个步骤，几个环节，能够突破边界渗透进去，然后逐步扩大权限，收集数据，拿到“情报”，最后达成目的，这就是我们今天所探讨的APT。

在这种以APT为代表的“下一代”威胁面前，我们目前这些安全设备在防护方面，或者说安全防护体系实际的实践中非常吃力。包括传统的防火墙、IPS，以及反病毒体系都难以应对。

• 对于传统的防火墙：业务越来越复杂，新应用太多，用户位置多变，终端BYOD多样化并且很难规范化，表现在：1，端口失效 – > Applications ,2，IP地址失效 -> Users ,3，数据包层面的检查失效 -> Content。
• 对于IPS：攻击变化太快，现有的黑名单机制总是更新不及时，更加先进的恶意软件、0day漏洞和目标性极强的APT攻击等。
• 而对于反病毒体系来说，病毒样本不胜其多，反病毒程序消耗计算机资源不胜其负，病毒样本库更新太慢“特征”匹配很容易被“躲避”。

Read more…

【内容摘要】此文写于2012.03.26，2012年的RSA大会之后，从安全事件和APT攻击、智能驱动的下一代安全、大数据等三个视角回顾了会议传递的信息，对会议中的热点话题和相关技术进行了讨论，并列举了若干支持性的数据和资料。
关键词：RSA会议，APT攻击，安全智能，大数据， BDA
0 前言
2012年2月25日，一年一度的 RSA大会在旧金山Moscone会议中心如期举行。从影响力和规模等意义上说，为期一周的RSA大会都是安全业界首屈一指的活动。一般由三部分组成：其一是产品和技术展览会，每年都有数百家安全业界的公司、社区组织、教育和政府机构等参加，在经济复苏的大背景下，今年的会议参展单位又有大量增加；其二是各种各样的主旨演讲和技术报告会，从周二持续到周五，通常报告会分为多个主题（Track），例如今年的大会主题包括云安全、加密、数据安全、治理风险合规性、黑客和威胁等等；第三个部分是周一下午的创新沙盒活动，这个活动虽然历史较新，但非常引人注目，微型小型的创新公司带着自己的创意和新作通过会议前的海选进入大会，在这个舞台上有很大的机会得到投资人和用户的青睐，从而一跃龙门。
之所以今年的RSA大会特别引人瞩目，其中很重要的原因是过去的一年中发生的一系列的重大安全事件，包括RSA自己也没能幸免，而被愈演愈烈的安全攻击攻陷。何去何从？很多人都将目光聚焦在作为业界重要风向标的RSA 2012 . 本文选择了安全事件和APT攻击、智能驱动的下一代安全、大数据等三个视角来回顾RSA 2012大会传递的信息。值得注意的是，本文没有展开讨论移动互联网安全和自带设备（BYOD）、云计算和虚拟化的安全等，它们同样是RSA 2012的热点话题，笔者期待业界同仁的更多分析回顾和分享。
1 安全事件和APT攻击
在某种程度上可以说，2012年的RSA大会发生在一个“动荡”的2011年之后。这个“动荡”是指网络安全事件频发，很多事件对业界产生了深远影响，参见下图[1]，

2011安全事件图解

图1：2011安全事件图解
图中横轴表示攻击目标的影响力大小；纵轴表示攻击者组织协作的程度。安全事件用圆形区域表示，其中大小表示事件实际影响的范围，颜色的种类表示事件的类型，深浅表示事件的单位损失（损失和范围的比值）
从Aurora和Stuxnet开始，APT成了业界炙手可热的一个焦点，也谋杀了这次RSA大会的很多笔墨和目光。
按照公开的报道，RSA公司在2011年遭到了APT攻击，攻击者综合利用了钓鱼邮件、远程控制工具、内网渗透和提权、数据外泄等多种手段。虽然从范围上看，RSA安全事件没有大型互联网拒绝服务攻击那么大，但是影响却很大，很深，由于此事件的证书泄漏而导致的RSA用户的被渗透攻击可能永远也无法得到一个公开的评估。
这个安全事件给会议的主办方RSA公司带来了很大的压力，其CEO在会议开幕的第一个主旨演讲中使用“If you are going through the hell, keep going”来形容RSA自身和业界的处境 – 痛苦但需要快速前行。 Read more…

帮朋友做个广告，有朋友感兴趣分享自己云计算安全的研究成果吗？请关注TSCloud 2012。

The 2nd IEEE International Symposium on Trust and Security in Cloud Computing (TSCloud 2012) to be held in Liverpool, England, UK, 25-27 June 2012
http://tscloud.org/tscloud2012/
Sponsored by IEEE, IEEE Computer Society and IEEE Technical Committee of Scalable Computing (TCSC)

INTRODUCTION
=============
Following the success of IEEE TSCloud 2011, the IEEE TSCloud 2012 Symposium brings together researchers with an interest in theoretical foundations and practical approaches to trust and security in cloud computing. The emphasis is on high-impact, novel/adopted theories and paradigms that address mathematical and logical underpinnings in trust and security in cloud computing, e.g. encryption, obfuscation, virtualisation security, governance, accountability, etc. Read more…

【注】好长时间没有更新了，在新浪微博上活动了一阵子，熟悉了一下新媒体 . 想更新一下博客，又没有新的话题，只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后，主要是为了完成绿盟技术内刊的任务。请各位朋友指正。

2010年安全回顾

摘要：Stuxnet、WikiLeaks、3Q大战影响深远，本文从这三件安全事件延伸开来，综合云计算和云安全、安全海量数据挖掘，以及虚拟世界安全等方面，对安全行业的前沿技术进行简述和讨论，这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年！

关键词：2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…

2010年11月2日，美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件，文件阐述了美国政府对于云计算服务的基本立场和政策，分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等，并针对云计算的安全防护，以NIST和FISMA的相关安全标准和控制为基础，发布了征求意见稿。

文件首先指出采用云计算对于美国政府来说是风险也是机遇，机遇体现在更高的IT效率，成本方面的节省以及绿色计算等带来的环境保护。但是，要不要采用云计算不是一个基于技术的决定，而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险，并与自己的安全需求进行比对分析。

Cloud Computing systems are hosted on large,  multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each  customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process  once and share the results with customer agencies.

文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定，从而加速云计算的评估和采用，降低风险评估的费用。 Read more…

9月份的最后几天，有幸到新加坡参加了Govware 2010大会，整个大会从28日到30日为时三天，着实是令人兴奋的三天，不仅仅是白天的议题和展览，每天晚上的招待酒会也是让人流连忘返。回到北京，还处于国庆长假之中，有时间来回顾总结一下。

1 Govware 2010大会

我是第一次听说并很荣幸地作为受邀Speaker参加大会，有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上，Govware不仅仅是新加坡一个国家的安全展会或研讨会，它的影响已拓展至整个亚太地区，演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全，战略可以有两个意思，一个是宏观的、全局的，另一个是长期的、长远的。

2 保护关键信息基础设施CIIP

前面几次大会都参加了云计算/云安全的话题，此次Govware2010也有一个单独的云计算Track（清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲，可惜由于时间冲突没有听得上）。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题，好在公司在此方面积累甚多，不少同事热心帮助。最后定下来的题目是：Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等，介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…

Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft，他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。

总体上感觉，与RSA安全大会相比，Gartner大会偏重于“未来”，按照Gartner自己的会议定位，是意图在“战略”和“执行”，在“技术”和“业务”，之间取得平衡。会后我认为Gartner实现了自己的目标，下面把我的一些观感和大家分享。

1 会议的涉猎范围非常广泛，从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性（Resilience）企业、绿色地球、安全情报、到云计算职业人生规划等。

2 云计算和云安全，在Gartner的分析师和这次峰会的演讲者中，已经转向了实现和How的部分 Read more…

云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版，对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页：

本白皮书由开放式 Web  社区的 1300  多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者，但这一队伍迅速壮大，目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。

在本白皮书撰写过程中，宣言中的三个原则至关重要：1)  用户应通力合作；2)  保持云计算 开放的任何行动应以客户利益为导向；3)  尽可能沿用现行标准。

本白皮书应不定期更新，并进行扩展和修订。我们在此将其翻译成中文版本，供中国的云 计算社区使用，借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。

衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会

2010年4月22日，通信网络和信息安全高层论坛在北京鸿翔大厦召开，我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言，介绍了云计算相关的云安全保护和基于云的安全服务，对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外，还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。

点击下载发言所用PPT…

点击下载中文版。2010年3月29日，CSA云安全指南中文版发布，下面是中文版的译者序。

云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到截稿时，企业成员达到33个，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是，中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来，企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。

自其成立起，云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日，云安全联盟发布了新版的《云安全指南》v2.1，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色：

特色1： 务实，贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业，大多在美国、欧洲、亚太和中国等的第一线工作，指南的内容较为真实地反映了最新的业界最佳实践和观点，提供了非常详详细、务实的大量建议，非常容易转化为项目的检查列表等形式，方便读者参考。 Read more…

下图取自ENISA关于云安全风险的白皮书，示意图阐述了云安全风险评估的两个维度，即影响和可能性。从两个维度出发，ENISA认为较为突出的几个风险点，它们是：

• 合规性
• 治理（监管）缺失
• 司法
• 事件响应
• 数据保护
• 电子取证分析和传票
• 等

大家可能注意到，和ENISA相关的帖子在这里逐渐多了起来。没错，ENISA的确引起了我的关注，如同CSA一样。ENISA与CSA目前合作非常紧密，有几个项目是双方一起发起并领导，当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。