【注】好长时间没有更新了,在新浪微博上活动了一阵子,熟悉了一下新媒体 
. 想更新一下博客,又没有新的话题,只好把前面几个月一些老文章拿出来重贴一下。本文写于RSA2011之后,主要是为了完成绿盟技术内刊的任务。请各位朋友指正。
2010年安全回顾
摘要:Stuxnet、WikiLeaks、3Q大战影响深远,本文从这三件安全事件延伸开来,综合云计算和云安全、安全海量数据挖掘,以及虚拟世界安全等方面,对安全行业的前沿技术进行简述和讨论,这些方面看似无关却有千丝万缕的联系。2010年是充满动感和生机的一年!
关键词:2010, Stuxnet, Wikileaks, 3Q, 云安全, 虚拟世界安全, DDoS, CIIP Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
9月份的最后几天,有幸到新加坡参加了Govware 2010大会,整个大会从28日到30日为时三天,着实是令人兴奋的三天,不仅仅是白天的议题和展览,每天晚上的招待酒会也是让人流连忘返。回到北京,还处于国庆长假之中,有时间来回顾总结一下。
1 Govware 2010大会
我是第一次听说并很荣幸地作为受邀Speaker参加大会,有机会较为深入的了解了不少这个大会。Govware要比想象中的、从其官方网页上传递出来的地位、意义都要大。事实上,Govware不仅仅是新加坡一个国家的安全展会或研讨会,它的影响已拓展至整个亚太地区,演讲和参会人员来自新加坡、美国、欧洲、日本、澳大利亚、以色列、中国等很多国家。其意义也从产品的展示交流扩展到技术研究和展望。今年的主题是战略安全,战略可以有两个意思,一个是宏观的、全局的,另一个是长期的、长远的。
2 保护关键信息基础设施CIIP
前面几次大会都参加了云计算/云安全的话题,此次Govware2010也有一个单独的云计算Track(清华大学的李军院长有一个关于云计算中心交换技术和安全的受邀演讲,可惜由于时间冲突没有听得上)。这次演讲的话题是保护关键信息基础设施-CIIP。这是头一次讲这个话题,好在公司在此方面积累甚多,不少同事热心帮助。最后定下来的题目是:Protect Critical Information Infrastructure – Thought to Practice. 其中讨论了全球化和工业化后的安全威胁、分布式拒绝服务攻击DDoS和数据盗窃、关键信息基础设施CII威胁分析框架等,介绍了G8/ITU-T/8i/X.805/SAFECode/EWI ICT Development Supply Chain Integrity等。 Read more…
Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft,他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。
总体上感觉,与RSA安全大会相比,Gartner大会偏重于“未来”,按照Gartner自己的会议定位,是意图在“战略”和“执行”,在“技术”和“业务”,之间取得平衡。会后我认为Gartner实现了自己的目标,下面把我的一些观感和大家分享。
1 会议的涉猎范围非常广泛,从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性(Resilience)企业、绿色地球、安全情报、到云计算职业人生规划等。
2 云计算和云安全,在Gartner的分析师和这次峰会的演讲者中,已经转向了实现和How的部分 Read more…
云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版,对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页:
本白皮书由开放式 Web 社区的 1300 多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者,但这一队伍迅速壮大,目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。
在本白皮书撰写过程中,宣言中的三个原则至关重要:1) 用户应通力合作;2) 保持云计算 开放的任何行动应以客户利益为导向;3) 尽可能沿用现行标准。
本白皮书应不定期更新,并进行扩展和修订。我们在此将其翻译成中文版本,供中国的云 计算社区使用,借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。
衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…
欢迎您对CSA-GCC的徽标提出建议
按照CSA对于各地分会的要求,分会应该:
如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者:
大潘和我热情欢迎您自荐或推荐理事会成员,并对分会的运行和工作计划提出建议、指导和批评。
就目前而言,讨论中的项目计划包括以下内容:
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
点击下载中文版。
2010年3月29日,CSA云安全指南中文版发布,下面是中文版的译者序。
云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到截稿时,企业成员达到33个,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是,中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来,企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。
自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日,云安全联盟发布了新版的《云安全指南》v2.1,代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点,提供了非常详详细、务实的大量建议,非常容易转化为项目的检查列表等形式,方便读者参考。 Read more…
下图取自ENISA关于云安全风险的白皮书,示意图阐述了云安全风险评估的两个维度,即影响和可能性。从两个维度出发,ENISA认为较为突出的几个风险点,它们是:
大家可能注意到,和ENISA相关的帖子在这里逐渐多了起来。没错,ENISA的确引起了我的关注,如同CSA一样。ENISA与CSA目前合作非常紧密,有几个项目是双方一起发起并领导,当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。
最近这两周成了开会专业户了,刚从RSA那边回来,又被拉到曼哈顿的Marriott酒店参加NetworkWorld搞的ITRoadmap大会。看到边上的照片了,大家对其中的图标相比非常熟悉 – 中国三大运营商之一的联通?没错。联通在美国成立了分公司(http://www.unicomamericas.com/,总部设在了LA,熟悉CMC/CTC/CUC的海外拓展、美国运营等情况的朋友也来介绍分享一下),赞助了这次会议,下面的照片是展会中联通的展台,背对着镜头这位老兄是联通美国公司的BD总监Jack先生。
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
云计算安全联盟(CSA)在2009年12月17日发布新版云安全指南2.1(Cloud Security Guidance),在业界引起广泛的关注。虽然这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要(其它12个域的全文将会随后陆续发布),但是同步开发一份中文版的云安全指南将会大大方便国内同行和其它中文读者参考使用这份最新的指南,使更多的朋友可以最快的效率接触到最新最前沿的云安全实践。事实上,新版云安全指南的中文版项目在2.1的开发过程中就已经开始酝酿了,并得到了CSA管理层和各位参与新版编写的朋友们的热情支持。
中文版开发项目是一个开放的项目,欢迎更多的朋友参与到这个翻译开发过程中来,为云计算安全和云计算安全标准的研究开发出谋划策、添砖加瓦。如果您:
欢迎您和我联系。联系方式:
Email: richard.zhaol at gmail dot com
Skype: richard1144
LinkedIn: http://www.linkedin.com/in/zhaol
Twitter: @zhaol
BTW: 以上倡议书欢迎各位朋友友情转帖,谢谢对CSA和云安全的支持和贡献。
Recent Comments