Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft,他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。
总体上感觉,与RSA安全大会相比,Gartner大会偏重于“未来”,按照Gartner自己的会议定位,是意图在“战略”和“执行”,在“技术”和“业务”,之间取得平衡。会后我认为Gartner实现了自己的目标,下面把我的一些观感和大家分享。
1 会议的涉猎范围非常广泛,从“科学、安全和怀疑主义”、隐私和可用性的平衡、弹性(Resilience)企业、绿色地球、安全情报、到云计算职业人生规划等。
2 云计算和云安全,在Gartner的分析师和这次峰会的演讲者中,已经转向了实现和How的部分 Read more…
云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版,对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页:
本白皮书由开放式 Web 社区的 1300 多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者,但这一队伍迅速壮大,目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。
在本白皮书撰写过程中,宣言中的三个原则至关重要:1) 用户应通力合作;2) 保持云计算 开放的任何行动应以客户利益为导向;3) 尽可能沿用现行标准。
本白皮书应不定期更新,并进行扩展和修订。我们在此将其翻译成中文版本,供中国的云 计算社区使用,借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。
衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…
欢迎您对CSA-GCC的徽标提出建议
按照CSA对于各地分会的要求,分会应该:
- 成立相应的理事会,理事会人数在5-15人;
- 并制定徽标logo;
- 定义未来一年的工作计划等。
如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者:
- 1 对云计算和云安全有深入研究和丰富的行业经验
- 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情,有时间精力参与相关的技术和其它分会活动
- 3 愿意贡献和分享自己的经验、观点、文档以及其它资源,来帮助分会成长
- 4 相信社区团队合作能够有效推动云安全技术进步,提升在大中华地区的实践,
大潘和我热情欢迎您自荐或推荐理事会成员,并对分会的运行和工作计划提出建议、指导和批评。
就目前而言,讨论中的项目计划包括以下内容:
- 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM,组织小组抽时间翻译
- 2 借鉴安全控制矩阵,组织小组进一步开发面向大中国地区的落地版本,更适合于定义需求和选购云服务
- 3 研究当前主要云服务提供商和云安全服务商的用户协议,评价其合理性,开发一个更为标准通用的模板,定义安全相关的职责和权利,为业界提供借鉴
- 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
- 5 在8月份召开一次云安全研讨会
- 6 其它开放的项目机会
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
点击下载中文版。
2010年3月29日,CSA云安全指南中文版发布,下面是中文版的译者序。
云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到截稿时,企业成员达到33个,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是,中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来,企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。
自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日,云安全联盟发布了新版的《云安全指南》v2.1,代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点,提供了非常详详细、务实的大量建议,非常容易转化为项目的检查列表等形式,方便读者参考。 Read more…
下图取自ENISA关于云安全风险的白皮书,示意图阐述了云安全风险评估的两个维度,即影响和可能性。从两个维度出发,ENISA认为较为突出的几个风险点,它们是:
- 合规性
- 治理(监管)缺失
- 司法
- 事件响应
- 数据保护
- 电子取证分析和传票
- 等
大家可能注意到,和ENISA相关的帖子在这里逐渐多了起来。没错,ENISA的确引起了我的关注,如同CSA一样。ENISA与CSA目前合作非常紧密,有几个项目是双方一起发起并领导,当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
Categories: -Chinese-, Architect, Cloud, Security, Telecom Tags: 2010, CSA, 网络安全, RSA, 云计算, 云安全, 云安全联盟
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
云计算安全联盟(CSA)在2009年12月17日发布新版云安全指南2.1(Cloud Security Guidance),在业界引起广泛的关注。虽然这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要(其它12个域的全文将会随后陆续发布),但是同步开发一份中文版的云安全指南将会大大方便国内同行和其它中文读者参考使用这份最新的指南,使更多的朋友可以最快的效率接触到最新最前沿的云安全实践。事实上,新版云安全指南的中文版项目在2.1的开发过程中就已经开始酝酿了,并得到了CSA管理层和各位参与新版编写的朋友们的热情支持。
中文版开发项目是一个开放的项目,欢迎更多的朋友参与到这个翻译开发过程中来,为云计算安全和云计算安全标准的研究开发出谋划策、添砖加瓦。如果您:
- 是信息安全的专业人士,或者
- 是IT治理、IT相关法律法规、合同和项目管理等方面的专家,或者
- 深刻了解数据中心、存储和虚拟化技术,或者
- 对云计算及其安全保护有深厚的兴趣,并愿意通过社区参与来分享和贡献,或者
- 您是英语和中文高手、愿意为中文化项目做出贡献,或者
- …
欢迎您和我联系。联系方式:
Email: richard.zhaol at gmail dot com
Skype: richard1144
LinkedIn: http://www.linkedin.com/in/zhaol
Twitter: @zhaol
BTW: 以上倡议书欢迎各位朋友友情转帖,谢谢对CSA和云安全的支持和贡献。
Gartner每年一度的安全与风险管理峰会在6月21日-23日在华盛顿DC特区附近秀丽的Gaylord酒店举行。大会再次云集了Gartner的数十位安全分析专家、数十位的CSO/CISO演讲者以及业界的各路精英。第一个Keynote的演讲者是前总律师Attoney General John Ashcroft,他就是那个在电影Breach中出现的审讯大间谍汉森的那个总律师。
Recent Comments