下图取自ENISA关于云安全风险的白皮书,示意图阐述了云安全风险评估的两个维度,即影响和可能性。从两个维度出发,ENISA认为较为突出的几个风险点,它们是:
大家可能注意到,和ENISA相关的帖子在这里逐渐多了起来。没错,ENISA的确引起了我的关注,如同CSA一样。ENISA与CSA目前合作非常紧密,有几个项目是双方一起发起并领导,当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
ENISA的全称是欧洲网络信息安全局,前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”,但是,由于属于新生报到,在业界还没有引起太多的关注和媒体报导。大家可以Google一下,尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。
近日,ENISA与云安全联盟CSA一起,发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud, 直译为”通用保障指标-在云之上”,我们简称CAM。该名字起的很有魄力,也很有诗意(喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword,喜欢唱歌的朋友会响起“月亮之上”的旋律,呵呵)。不知看到这个题目,你是什么感觉?我的第一眼是ENISA和CSA有眼力,选题很棒。
CAM项目的使命和目标包括:
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
云计算安全联盟(CSA)在2009年12月17日发布新版云安全指南2.1(Cloud Security Guidance),在业界引起广泛的关注。虽然这次新版发布只包含了D1:云计算架构框架的全文以及其它12个域的摘要(其它12个域的全文将会随后陆续发布),但是同步开发一份中文版的云安全指南将会大大方便国内同行和其它中文读者参考使用这份最新的指南,使更多的朋友可以最快的效率接触到最新最前沿的云安全实践。事实上,新版云安全指南的中文版项目在2.1的开发过程中就已经开始酝酿了,并得到了CSA管理层和各位参与新版编写的朋友们的热情支持。
中文版开发项目是一个开放的项目,欢迎更多的朋友参与到这个翻译开发过程中来,为云计算安全和云计算安全标准的研究开发出谋划策、添砖加瓦。如果您:
欢迎您和我联系。联系方式:
Email: richard.zhaol at gmail dot com
Skype: richard1144
LinkedIn: http://www.linkedin.com/in/zhaol
Twitter: @zhaol
BTW: 以上倡议书欢迎各位朋友友情转帖,谢谢对CSA和云安全的支持和贡献。
2009年12月17日,云计算安全联盟发布了新版的《云安全指南》v2.1[1],代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。
云安全联盟CSA是在2009年RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际知名公司成为其企业成员,绿盟科技也在上个月成为企业会员(似乎应该是亚太地区的第一个企业会员,使用Twitter的朋友请关注@nsfocus_update)。其发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。下面简要回顾一下云计算、云计算面临的安全威胁、新版云安全指南及其使用。 Read more…
Recent Comments