Cloud & Telecom Security

引子：

观放白鹰二首（李白）
八月边风高，胡鹰白锦毛；
孤飞一片雪，千里见秋毫。

RSA大会一向是网络安全圈子里的大场面，传统上各路老大都会赶来捧场，也作为自己后面一年市场理念、产品技术的首发之地。好，对于到场的老大们就不一一赘述了，我们看看哪些大厂没有来。

缺席的第一家是Oracle。大家知道，Oracle其实已经悄悄成为安全圈子里的实力派，尤其是在2005年购并Oblix、2009年购并Sun以后，其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面，Oracle的CEO Larry Ellison经常对云计算冷嘲热讽，一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面，Oracle在迅速发展其网络安全解决方案能力，另一方面Oracle又不“与狼共舞”，来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友，个人身份参与。

缺席的另外一家是Juniper。Juniper在购并Netscreen后，安全产品行销全球，在FW/IPS/VPN等领域实力强劲，是相关产品评论不能不提的厂商，“地球人没有不知道的”。不知为什么，Juniper对家边上的RSA不对眼。Juniper有Speaker出场，可是不参展。Juniper不到场，肯定不是“差钱”。

华为的缺席也情理之中，又在意料之外。华为-赛门铁克（华赛）在国内也一直以国际行销出名，很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污，甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗！呵呵。

闲话讲完，还是来看看这次大会有什么新鲜内容吧。 Read more…

想必大家都关注到了这次获得媒体广泛关照的丰田汽车召回事件，Google上面搜索“丰田汽车召回”，刚刚的搜索结果数是8.8M+。虽然说    汽车家电等召回事件在中国国内，拜国内消费者“保护”所赐，不是很多，消费者大都哑巴吃黄连了。可是，这在西方发达国家是惯例 – 你生产的产品出了质量问题，召回-免费修补是天经地义的事情。

回过来在看看我们所处的IT和软件业呢？大家随便找到一份商业软件的license agreement等，逼着你签过字的那种，都明明白白写着 – 本软件“as-is”；不保证不出漏洞；出了漏洞不保证什么时候可以出补丁；出了补丁，不保证那个补丁管用；软件使用中出了事故，赔偿金额不会超过软件价格；….

在IT和软件作为新兴行业时，对这种高风险的新生事物特例一些保护是可以理解的。但是，当这个行业里占据了越来越多的500强、产生了越来越多的亿万富翁时，对此基本市场义务的反思就成为很容易理解的动向了。

SANS和Mitre Corp，这两个大名鼎鼎的组织联袂发起了这个很有思想性的项目。说其“很有思想性”，是因为我想这个问题也有不少时间了。为软件和安全厂商工作，这种感觉不会有，或不会很明显。但是作为内部IT运行人员就不一样了。你的病毒系统误杀了几千台电脑的软件，搞当了数百个服务器，我居然无法通过合同/许可条款获得正常的赔偿？很让人窝火。你的软件出了漏洞，厂商不但迟迟不响应补丁，还似乎成了用户的责任 – 当初签字画押时就说好的 as-is… Read more…

ENISA的全称是欧洲网络信息安全局，近年来领导开展了若干个成员国内部的、欧盟外部参与的信息网络安全标准研究项目。今天发布的移动社会网络MSN很全面的总结了社会网络SNS和移动社会网络MSN的定义、当前在欧盟的使用情况等，分享不少统计数字；较为全面的总结分析了SNS+MSN面临的各种安全威胁以及隐私方面的威胁。白皮书还对欧盟与此相关的法律法规进行了综述 – 包括DPD (数据保护法)以及电子隐私法等

• Directive 95/46/EC on data protection (DPD )
• Directive 2002/58/EC on e-privacy
• RFID recommendation

在白皮书的最后，ENISA列举了17条安全建议，很值得借鉴。这些让我们看到ENISA工作非常务实的一面。下载地址：http://www.enisa.europa.eu/act/ar/deliverables/onlineasithappens/at_download/fullReport

另外感兴趣的朋友，还可以下载DPD的实施指南…

Cloud Bursting是Amazon技术专家Jeff Barr创造的名词，讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量，IT自己采购硬件扩容，ROI不是很合算，因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的，随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…

网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点，养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界，天涯海角四处漫游的用户使得边界越来越“虚”，但是，边界依然是我们的第一防御重点，很多安全配置都成为标准配置，包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。

云计算环境中，上述的传统边界依然存在，但是作为云服务用户，却需要更多考虑不依赖边界防护的解决方案，更为纵深防御的解决方案，因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说，云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机，为此，Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前（1月19日）参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。

值得注意的是，这个“Deperimeterization”并不是不要边界防护，而是在传统“边界”防护的基础上，强调了“虚拟边界”和云服务内部安全。事实上，对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…

在第一版中头一次看到这个词，觉得很好玩，很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5，6次。觉得好玩的同时，有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时，才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释：

compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分

云计算的一个重要特征是“多租户”，每个“租户”都想火车乘客那样都有自己的一个隔间，很形象，对吗？

下面的Wiki字条还有一层更为恰当的含义： Read more…

引子：
前几天艳阳高照，今天早上的纽约却飘了纷纷扬扬的大雪！
住处在布鲁克林，离称作康尼岛的海滩不远，到后来确认是世界第八长悬索桥Verrozano Narrow大桥也是步行的距离。每当端起一杯绿茶、或者一杯咖啡什么的时候，经常能够听见从远处飘来的汽笛声。
望着窗外飘扬的雪花，夏威夷旖旎的风光悄悄爬了进来。那里没有雪，一直像春夏之交的季节那样温暖。2009年11月底在那里举行的IEEE Globecomm会议上，Karl在演讲中介绍了他为主开发的8i模型，颇受启发。

电信业的网络安全与X.805
我们所做的专业领域一般叫做网络安全，或者有时与信息安全、信息网络安全、网络信息安全混在一起叫。而电信业是网络安全的一个重要服务对象或者研究领域。笔者在几年前写过几篇东西来介绍国际电联X.805标准安全模型。该模型很全面地概括了电信业网络安全的三个层面 – 基础设施安全层、服务安全层、应用安全层，三个平面 – 最终用户安全平面 、控制/信号安全平面、管理安全平面，以及八个维度 – 访问控制、认证、不可否认、数据机密性、通讯安全、数据完整性、可用性、隐私。X.805很全面、很具体、也很直观。比传统教科书中的CIA模型要更贴近产业的实践需求。

我们看到X.805在CIA的基础上，将电信业的各种系统和业务活动分成了不同的平面、不同的层次。如果大家原来做路由器、交换机、各种服务器等的安全，在此都可以找到相关的映射分类，很容易找到合作的共同语言，也较为容易确认项目范围、发现遗漏的内容。在安全维度需求上，X.805引入了“隐私”这个较为“现代”的话题，并且将数据机密性和通讯安全分开阐述，以强调他们之间完全不同的角度（如果不太清楚，Google一下吧）

那么什么是8i呢？
夏威夷的八个岛吗？非也。8i指的是电信业基础设施的八大要素 – 它们分别是：人（Human）、方针政策（Policy）、硬件（Hardware）、软件（Software）、网络（Network）、业务载荷（Payload）、环境（Environment）、电力（Power）。哇塞，看到这八个要素，不仅大吃一惊，有几样东西似乎不是网络安全常谈的名词吗，似乎在传统的业务连续性或者灾难恢复什么的才有的吧。你说对了。8i的出发点不是紧紧讨论电信业的基础设施，而是将电信业看做整个国家、或者整体全球经济的基础设施。讨论的是更为广义的“安全”。皮之不存，毛将焉附。 Read more…

两个月前参加了EWI的关于网络犯罪预防和立法问题的圆桌讨论会，碰巧认识了边上座位的一位很有风度的女士 – Marsali。聊天中知道她不仅是ikeepsafe.org的总裁，更令人惊奇的是她还是六个孩子的妈妈。我是头一次听她讲起ikeepsafe.org，讲起来她们的业务，讲起来她们为什么要致力于保护儿童和青年上网，讲到她们的成就，她们甚至还在中国有过一些业务…

回来后我也在这个方面比较留心 – 因为我也是一个父亲，儿子现在也开始经常上网了。儿子班级有个博客，在chinaren.com上有个班级主页，老师和同学们天天在那里更新作业、交流想法，孩子们都喜欢呆在哪里，相互留言，使用各种表情符号… 虽然他们在上面的很多时间大人们看来很单调，可是孩子们喜欢。这有什么问题吗？

即使是Chinaren.com/Sohu.com这样的国内著名 – 第一级的网站，上面有着大量的“少儿不宜”、不算色情但是算“灰色”或“擦边”的广告或其它内容。坦白说，这些内容和广告让我对sohu/Chinaren颇为不齿。这些大人看来都会脸红耳热的文字和图片，在孩子们那里会是什么影响呢？现在的儿子，基本上来说，对那些内容还无动于衷。但是，还有更多的更为“少儿不宜”，更为“擦边”的内容？更大些的孩子们呢？ Read more…

云计算安全联盟（CSA）在2009年12月17日发布新版云安全指南2.1（Cloud Security Guidance），在业界引起广泛的关注。虽然这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要（其它12个域的全文将会随后陆续发布），但是同步开发一份中文版的云安全指南将会大大方便国内同行和其它中文读者参考使用这份最新的指南，使更多的朋友可以最快的效率接触到最新最前沿的云安全实践。事实上，新版云安全指南的中文版项目在2.1的开发过程中就已经开始酝酿了，并得到了CSA管理层和各位参与新版编写的朋友们的热情支持。

中文版开发项目是一个开放的项目，欢迎更多的朋友参与到这个翻译开发过程中来，为云计算安全和云计算安全标准的研究开发出谋划策、添砖加瓦。如果您：

• 是信息安全的专业人士，或者
• 是IT治理、IT相关法律法规、合同和项目管理等方面的专家，或者
• 深刻了解数据中心、存储和虚拟化技术，或者
• 对云计算及其安全保护有深厚的兴趣，并愿意通过社区参与来分享和贡献，或者
• 您是英语和中文高手、愿意为中文化项目做出贡献，或者
• …

欢迎您和我联系。联系方式:

Email:        richard.zhaol at gmail dot com
Skype:        richard1144
LinkedIn:  http://www.linkedin.com/in/zhaol
Twitter:     @zhaol

BTW: 以上倡议书欢迎各位朋友友情转帖，谢谢对CSA和云安全的支持和贡献。

前注：前两天感谢朋友推荐得以看到这篇“猛”文，纵横捭阖，条理分明，呵呵，可以说是不可多见的好文章。作者ITSense神龙不见首尾，问了几个朋友，大家也都是“不识庐山真面目”。虽然作者很是谦虚，但从文中可以看出深厚的行业背景和独特的观察。转帖没有事先经过ITSense同意，还望见谅。我的联系方式可以在博客上找到，随时欢迎联系，并期待作者之“待续”。以下是转帖的正文…

itsense认为安全公司的综合实力体现在以下几个方面
一、军队战力——产品研发与技术服务实力
单安全行业来说，安全发展经历了边界安全–>应用安全–>动态安全过程 ,如今大多公司都在即将完成第一个转变。
二、纵横游说——营销策略与品牌影响力
安全行业的目前的营销策略主要是直销和渠道销售，也就是傍大款和带小弟，终极目标是提高单人产出。
三、国库盈余——资金实力与盈利收入
主流安全公司亏损的多，赢利的少，能否持续稳定发展，资金是个瓶颈，风投还是上市是个问题。
四、争霸之魂——公司战略与团队凝聚力
核心人员流失，管理层战略转变，安全行业是否值得留恋？ Read more…

2009年12月17日，云计算安全联盟发布了新版的《云安全指南》v2.1[1]，代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。

云安全联盟CSA是在2009年RSA大会上宣布成立的。自成立后，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际知名公司成为其企业成员，绿盟科技也在上个月成为企业会员（似乎应该是亚太地区的第一个企业会员，使用Twitter的朋友请关注@nsfocus_update）。其发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。下面简要回顾一下云计算、云计算面临的安全威胁、新版云安全指南及其使用。 Read more…

美国NationalJournal发表文章，总结描述了美国政府官员关于网络战的很多意见。摘录如下，供大家参考。

McConnell，前任美国情报局长，网络战权威，提出“计算机网络攻击”是一个技术词汇，而实际上它造成的杀伤力远远不止计算机网络，而是针对敌方的现实世界。他还强调说网络战的威力甚至可以与核弹相比，针对电力、交通、银行金融系统等的网络攻击造成的杀伤力不亚于核弹。

渗透电话系统只是网络战武库中的一小部分，或许也是最轻量级的。美国国家安全官员还有总统本人都比以往更加关注能够摧毁敌方电力系统、金融系统、或者劫持空中交通控制系统等计算机病毒或恶意软件。

虽然都在抱怨网络战专家人手不足，但是陆军、海军、空军以及海军陆战部队都有自己的网络空间作战小组，他们能够处理攻击和防守任务，互相竞争，都想控制军方的整体战略。现在看来，他们可能都要想新履任的网络战司令部司令Alexander汇报了。
文章提到令亚历山大认为，非常需要像“门罗主义战略”那样清楚地定义一组利益和行动步骤，并由政府执行来保护美国。

美国国防情报局首席技术官Bob Gourley说：“我们已经有美国自己的网络空间勇士部署在海外，并和海外的对手保持直接的接触。这些专家生活在对手的网络中，不用交换计算机破坏指令而侦察外国网络。就像同一水域的两艘船，彼此知晓对方的存在，但并一定碰撞或相互开火”。

McAfee Labs的安全研究和通信总监Dave Marcus提出：“你可以分析攻击代码，改变它，然后你自己可以使用它或者用以对付下一次攻击。” 从这个谈话角度理解，McAfee Labs应该参与了至少部分网络空间战的研究或开发等项目。 Read more…