Cloud & Telecom Security

两则云安全联盟的新闻：

- 8月11日，云安全联盟中国区分会CSA-GCC成为正式分会。

- 7月28日，云安全联盟在Blackhat大会上宣布推出“云安全知识认证 – CCSK。该认证将以《云安全指南》v2.1作为认证教材，9月1日推出。企业成员将会免费获得两个认证考试指标。

云计算用例组织专注于云计算相关的应用实例和云计算的推广。新版白皮书同时发布有英文版、简体和繁体中文版，对大家的阅读和使用非常方便。以下内容直接摘抄自白皮书封页：

本白皮书由开放式 Web  社区的 1300  多位参与者撰写而成。最初的研讨组成员只是《开放云计算宣言》的支持者，但这一队伍迅速壮大，目前成员遍布世界各地。其中社区成员包括来自各大中小型公司、政府机构、咨询公司和服务供应商的代表。

在本白皮书撰写过程中，宣言中的三个原则至关重要：1)  用户应通力合作；2)  保持云计算 开放的任何行动应以客户利益为导向；3)  尽可能沿用现行标准。

本白皮书应不定期更新，并进行扩展和修订。我们在此将其翻译成中文版本，供中国的云 计算社区使用，借此扩大交流范围。本白皮书的开放式论坛的网址为 http://www.cloudusecases.org。

衷心希望本书的读者群能为中国云计算供应商和用户创建富有价值的资源。我们期待能从 您的视角收获新的灵感。 Read more…

欢迎您对CSA-GCC的徽标提出建议

按照CSA对于各地分会的要求，分会应该：

• 成立相应的理事会，理事会人数在5-15人；
• 并制定徽标logo；
• 定义未来一年的工作计划等。

如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者：

• 1 对云计算和云安全有深入研究和丰富的行业经验
• 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情，有时间精力参与相关的技术和其它分会活动
• 3 愿意贡献和分享自己的经验、观点、文档以及其它资源，来帮助分会成长
• 4 相信社区团队合作能够有效推动云安全技术进步，提升在大中华地区的实践，

大潘和我热情欢迎您自荐或推荐理事会成员，并对分会的运行和工作计划提出建议、指导和批评。

就目前而言，讨论中的项目计划包括以下内容：

• 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM，组织小组抽时间翻译
• 2 借鉴安全控制矩阵，组织小组进一步开发面向大中国地区的落地版本，更适合于定义需求和选购云服务
• 3 研究当前主要云服务提供商和云安全服务商的用户协议，评价其合理性，开发一个更为标准通用的模板，定义安全相关的职责和权利，为业界提供借鉴
• 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
• 5 在8月份召开一次云安全研讨会
• 6 其它开放的项目机会

2010年4月22日，通信网络和信息安全高层论坛在北京鸿翔大厦召开，我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言，介绍了云计算相关的云安全保护和基于云的安全服务，对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外，还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。

点击下载发言所用PPT…

近来，微软完成了“思想”转变，全身心的投入到了“云”浪潮中去。下面贴上两幅图，是从微软架构师David Chou在Cloud Connect大会上的演讲稿中摘选的。

第一幅 ：全民动员 – 微软全面拥抱云计算。微软发现Google其实还是有些年轻，最近在用户隐私什么的、中国业务方面犯了不少错误。这就是反击的时机。微软高调说微软的邮件服务不会被Bing索引，不像Google的Gmail那样…

Read more…

点击下载中文版。2010年3月29日，CSA云安全指南中文版发布，下面是中文版的译者序。

云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。到截稿时，企业成员达到33个，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是，中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来，企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。

自其成立起，云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日，云安全联盟发布了新版的《云安全指南》v2.1，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色：

特色1： 务实，贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业，大多在美国、欧洲、亚太和中国等的第一线工作，指南的内容较为真实地反映了最新的业界最佳实践和观点，提供了非常详详细、务实的大量建议，非常容易转化为项目的检查列表等形式，方便读者参考。 Read more…

李彦宏：……我们也看到很多其他领域把其他竞争对手弄死了，自己也没有什么好结果。尤其对一个新兴产业、快速增长的市场，尤其是这样…… 我就在想什么时候能够有一天我们也跑到某一个国家声称我要退出你这个国家，这个必须要有全球的影响力才能够称得上强大，这一点我对中国有信心 ……

马化腾：…… 在创意产业、文化数字内容产业，就像王中军说的，其实缺的就是导演、策划，技术、人工这些人才还是不缺的，这些 课补上后，完全可以成为全球数字产业大国 ……

马云：……我最怕的是老酒装新瓶的东西，你看不清他在玩什么，突然爆发出来最可怕。假如从来没有听说的，这个不可怕……

下面转帖的是新浪科技-2010中国(深圳)IT领袖峰会上-百度、腾讯、阿里巴巴三位大当家的对话，对话内容非常精彩。转帖开始…………………… Read more…

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…

想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件，Google上面搜索“丰田汽车召回”，刚刚的搜索结果数是8.8M+。虽然说    汽车家电等召回事件在中国国内，拜国内消费者“保护”所赐，不是很多，消费者大都哑巴吃黄连了。可是，这在西方发达国家是惯例 – 你生产的产品出了质量问题，召回-免费修补是天经地义的事情。

回过来在看看我们所处的IT和软件业呢？大家随便找到一份商业软件的license agreement等，逼着你签过字的那种，都明明白白写着 – 本软件“as-is”；不保证不出漏洞；出了漏洞不保证什么时候可以出补丁；出了补丁，不保证那个补丁管用；软件使用中出了事故，赔偿金额不会超过软件价格；….

在IT和软件作为新兴行业时，对这种高风险的新生事物特例一些保护是可以理解的。但是，当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时，对此基本市场义务的反思就成为很容易理解的动向了。

SANS和Mitre Corp，这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”，是因为我想这个问题也有不少时间了。为软件和安全厂商工作，这种感觉不会有，或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件，搞当了数百个服务器，我居然无法通过合同/许可条款获得正常的赔偿？很让人窝火。你的软件出了漏洞，厂商不但迟迟不响应补丁，还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…

ENISA的全称是欧洲网络信息安全局，前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”，但是，由于属于新生报到，在业界还没有引起太多的关注和媒体报导。大家可以Google一下，尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。

近日，ENISA与云安全联盟CSA一起，发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud， 直译为”通用保障指标-在云之上”，我们简称CAM。该名字起的很有魄力，也很有诗意（喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword，喜欢唱歌的朋友会响起“月亮之上”的旋律，呵呵）。不知看到这个题目，你是什么感觉？我的第一眼是ENISA和CSA有眼力，选题很棒。

CAM项目的使命和目标包括：
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…

Cloud Bursting是Amazon技术专家Jeff Barr创造的名词，讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量，IT自己采购硬件扩容，ROI不是很合算，因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的，随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…

网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点，养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界，天涯海角四处漫游的用户使得边界越来越“虚”，但是，边界依然是我们的第一防御重点，很多安全配置都成为标准配置，包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。

云计算环境中，上述的传统边界依然存在，但是作为云服务用户，却需要更多考虑不依赖边界防护的解决方案，更为纵深防御的解决方案，因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说，云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机，为此，Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前（1月19日）参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。

值得注意的是，这个“Deperimeterization”并不是不要边界防护，而是在传统“边界”防护的基础上，强调了“虚拟边界”和云服务内部安全。事实上，对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…

在第一版中头一次看到这个词，觉得很好玩，很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5，6次。觉得好玩的同时，有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时，才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释：

compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分

云计算的一个重要特征是“多租户”，每个“租户”都想火车乘客那样都有自己的一个隔间，很形象，对吗？

下面的Wiki字条还有一层更为恰当的含义： Read more…

云计算安全联盟（CSA）在2009年12月17日发布新版云安全指南2.1（Cloud Security Guidance），在业界引起广泛的关注。虽然这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要（其它12个域的全文将会随后陆续发布），但是同步开发一份中文版的云安全指南将会大大方便国内同行和其它中文读者参考使用这份最新的指南，使更多的朋友可以最快的效率接触到最新最前沿的云安全实践。事实上，新版云安全指南的中文版项目在2.1的开发过程中就已经开始酝酿了，并得到了CSA管理层和各位参与新版编写的朋友们的热情支持。

中文版开发项目是一个开放的项目，欢迎更多的朋友参与到这个翻译开发过程中来，为云计算安全和云计算安全标准的研究开发出谋划策、添砖加瓦。如果您：

• 是信息安全的专业人士，或者
• 是IT治理、IT相关法律法规、合同和项目管理等方面的专家，或者
• 深刻了解数据中心、存储和虚拟化技术，或者
• 对云计算及其安全保护有深厚的兴趣，并愿意通过社区参与来分享和贡献，或者
• 您是英语和中文高手、愿意为中文化项目做出贡献，或者
• …

欢迎您和我联系。联系方式:

Email:        richard.zhaol at gmail dot com
Skype:        richard1144
LinkedIn:  http://www.linkedin.com/in/zhaol
Twitter:     @zhaol

BTW: 以上倡议书欢迎各位朋友友情转帖，谢谢对CSA和云安全的支持和贡献。

2009年12月17日，云计算安全联盟发布了新版的《云安全指南》v2.1[1]，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。

云安全联盟CSA是在2009年RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际知名公司成为其企业成员，绿盟科技也在上个月成为企业会员（似乎应该是亚太地区的第一个企业会员，使用Twitter的朋友请关注@nsfocus_update）。其发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。下面简要回顾一下云计算、云计算面临的安全威胁、新版云安全指南及其使用。 Read more…