转贴一篇我的同事田民的文章,此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK,感兴趣考试CCSK的同学们,可以和他联系取取经。:)
摘要:在众多CSA已发布的研究文献中,《云安全指南》无疑是其中最具影响力的。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,《云安全指南》高屋建瓴而又不乏具体的策略和实施建议,是一份不可多得的参考文献。本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。
关键词:
CSA 云安全 风险分析 合规 监管和治理
概述
云安全联盟(CSA,Cloud Security Alliance)迄今已发布了一系列的安全研究报告。《云安全指南》无疑是其中最具影响力的。
《云安全指南》全称《云计算关键领域的安全指南》(Security Guidance for Critical Areas of Focus in Cloud Computing )。在2009年12月17日,CSA发布了《云安全指南v2.1》。2年后,CSA于2011年11月14日发布了《云安全指南v3.0》。两个版本均可以从CSA的网站上免费下载,其中,v2.1有中文版本。
《云安全指南》关注于与云计算安全相关的、可以被评估和审计的安全需求及其建议,不涉及强制性法律责任(statutory obligation),这决定了《云安全指南》归根到底是一个研究性文档,或者说是一份白皮书,而不是安全标准,更不是法律法规。事实上,迄今为止,尚无一个被业界广泛认可和普遍遵从的国际性的云安全标准,而涉及云计算安全的法律法规更是全球性的缺失。
笔者认为,CSA不是一个单纯阐述技术的文档。在CSA云安全指南中,有相当多的篇幅讲述的并非技术,而是与监管相关,涉及法律、合规、安全管理、SLA等诸多非技术性领域。因此,《云安全指南》的读者范围很广,包括企业的高管(C-level),云计算服务的消费者(consumer)和云计算的实施者(implementer),涵盖了云安全的战略和战术方面的诸多内容,高屋建瓴而又不乏具体的策略和实施建议。 Read more…
2010年11月2日,美国政府CIO委员会发布由CIO Vivek Kundra 签署的关于政府机构采用云计算的政府文件,文件阐述了美国政府对于云计算服务的基本立场和政策,分析了为什么需要考虑评估云计算、采用云计算带来了什么挑战、接下来政府、各机构、私营企业、业界等需要采用哪些行动等,并针对云计算的安全防护,以NIST和FISMA的相关安全标准和控制为基础,发布了征求意见稿。
文件首先指出采用云计算对于美国政府来说是风险也是机遇,机遇体现在更高的IT效率,成本方面的节省以及绿色计算等带来的环境保护。但是,要不要采用云计算不是一个基于技术的决定,而是基于风险的决定。因而需要政府、各机构谨慎评估云计算相关的安全风险,并与自己的安全需求进行比对分析。
Cloud Computing systems are hosted on large, multi-tenant infrastructures. This shared infrastructure provides the same boundaries and security protocols for each customer. In such an environment, completing the security assessment and authorization process separately by each customer is redundant. Instead, a government-wide risk and authorization program would enable providers and the program office to complete the security assessment and authorization process once and share the results with customer agencies.
文件建议由一个政府授权机构对云计算服务商进行统一的风险评估和授权认定,从而加速云计算的评估和采用,降低风险评估的费用。 Read more…
在前不久9月2日召开的云安全联盟中国峰会上,在F&S的Cathy分享了有关亚太地区云计算应用的调研数据。还有以前看到的不少资料,亚太地区在云计算的接受程度和应用上与美欧相比,都有些落后。云安全的相关研究也类似的感觉,主要的体现在于公开可得的相关资料多来自美欧,来自亚太地区的贡献相对较少。
10月份澳洲犯罪学研究所发布一份彩皮书 – Cloud computing: Challenges
and future directions, 即云计算之挑战和未来方向。彩皮书对当前云计算技术的动因和主要架构进行了综述,对云计算带来的各种挑战进行了分析。应该说,挑战分析与云安全联盟的7大安全威胁相比很有特色,也很有启发性。彩皮书可以在此下载到.
彩皮书的作者是Raymond Choo博士,上个月在新加坡Govware会议上有缘结识。Raymond著述丰硕,也是很有影响的意见领袖,相关内容参见:http://www.aic.gov.au/about_aic/research_programs/staff/choo_raymond.aspx 希望以后有机会能邀请Raymond到中国来,认识更多的国内朋友。
在云安全联盟的相关活动中,除澳洲外,我们还能明显地感觉到日本和印度逐渐加快的节奏。其社区的活动温度比我们要高好几度,政府的推进,从政策上、投入上都很明显,似乎进入国家战略的范畴了。参见以下这则新闻:http://e.nikkei.com/e/fr/tnks/Nni20100616D16JFN05.htm Read more…
云安全联盟 CSA(Cloud Security Alliance)成立于2009年的RSA大会,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来, CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到目前为止,CSA的企业成员多达50个以上,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。
CISRG是一个活跃的技术研究团队,团队成员都拥有自己特定的技术研究方向,目前的研究方向主要有:操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月,让我们相聚上海,继续讨论信息安全这个永恒的主题。
详细日程和演讲嘉宾等更详细内容参见:http://www.tektalk.org/?p=12158
在云计算时代,基于IP的安全策略效用将大打折扣,随时随地的数据和服务访问要求安全访问控制要能够基于“用户”和“数据”。同时,为了强化“用户”和“数据”的访问控制,双因子认证将会变得更加普遍,甚至成为缺省设置,例如网络访问与下一代身份证ID之类的硬Token结合在一起。当然,为了保护公民隐私,在实名制的ID认证和实际的网络身份之间有必要在技术上实现一种匿名层(Anonymization)…
上面都是技术层面上的讨论,事实上,最为脆弱的部分并不在于技术,而是在于社会工程打击的目标 – 缺少安全意识和技能的“人”。就如同大家在车站机场商场等公开场合到处可见的“注意保管您的随身物品”提醒牌,互联网上要安全冲浪、保护隐私最重要的就是要有“意识”。撇开普通老百姓,从政府、企业、组织等高度来看,就是要让安全意识从安全经理和安全主管那里,外延到最高管理层、财务和业务负责人、所有的普通员工等。
这是个典型的“说起来容易做起来难”的事,难在有钱有权的没有动力,有动力没有资源。大洋对岸从去年开始设立了全国的安全月 – 十月份。今年的主题是 – 我们共同的责任 (Our Shared Responsibility)。这个事情值得我们借鉴。
今天在浏览Beaker的博客时,看到一则很有趣的活动。Beaker在推动一个叫做Hackid的公益项目 – 安全从孩子们抓起。
Hackid通过举办以孩子们为主的技术沙龙和动手活动,来激发孩子们对于基础电子、互联网、创新等的兴趣,提高孩子们的动手能力,提升孩子们对于互联网基础知识的了解…下面是其官方页面中的活动内容介绍: Read more…
欢迎您对CSA-GCC的徽标提出建议
按照CSA对于各地分会的要求,分会应该:
- 成立相应的理事会,理事会人数在5-15人;
- 并制定徽标logo;
- 定义未来一年的工作计划等。
如果您是学术机构、云计算用户或政府机构、安全提供商等某个领域的专家学者:
- 1 对云计算和云安全有深入研究和丰富的行业经验
- 2 对云计算和云安全、云安全联盟CSA有浓厚兴趣和热情,有时间精力参与相关的技术和其它分会活动
- 3 愿意贡献和分享自己的经验、观点、文档以及其它资源,来帮助分会成长
- 4 相信社区团队合作能够有效推动云安全技术进步,提升在大中华地区的实践,
大潘和我热情欢迎您自荐或推荐理事会成员,并对分会的运行和工作计划提出建议、指导和批评。
就目前而言,讨论中的项目计划包括以下内容:
- 1 CSA发布的安全控制矩阵、云安全威胁、D12 IAM,组织小组抽时间翻译
- 2 借鉴安全控制矩阵,组织小组进一步开发面向大中国地区的落地版本,更适合于定义需求和选购云服务
- 3 研究当前主要云服务提供商和云安全服务商的用户协议,评价其合理性,开发一个更为标准通用的模板,定义安全相关的职责和权利,为业界提供借鉴
- 4 与日本分会CSA-JC合作开发关于J-SOX的云安全审计相关的框架
- 5 在8月份召开一次云安全研讨会
- 6 其它开放的项目机会
2010年4月22日,通信网络和信息安全高层论坛在北京鸿翔大厦召开,我很荣幸被邀做了题为“浅谈云计算安全威胁和防护要点”的发言,介绍了云计算相关的云安全保护和基于云的安全服务,对云安全联盟CSA发布的云安全威胁和新版云安全指南做了简要回顾。另外,还介绍了刚刚成立的云安全联盟CSA大中华分会的情况。
点击下载发言所用PPT…
在2010年4月12日,云安全联盟CSA的大中华区分会Greater China Chapter (CSA-GCC)成立,这是继今年3月份CSA云安全指南中文版完成后的又一件有意义的举措。
CSA-GCC成立的宗旨有三,分别简述如下:
其一:构建平台,促进沟通。帮助大中华地区(中国大陆、香港、台湾)以及其它以汉语沟通的专家、业内人士就云安全相关话题进行沟通,增进了解;
其二:合作开发,共建共赢。各个地区都有各个地区的特点,GCC希望能够促进业内的合作,在标准规范模板等方面起到催化剂和组织者的角色。
其三:引进来,走出去。GCC希望能够帮助将国际同行在云计算和云安全方面的经验、教训、标准规范、最佳实践等引进来,为国内同行提供借鉴,少走弯路,提高效率;另一方面,增进与国际同行的沟通交流,消除误解,把GCC相关地区对云计算和云安全的观点、看法、经验、建议等传递出去,对国际业界的健康安全成长做出贡献。 Read more…
点击下载中文版。
2010年3月29日,CSA云安全指南中文版发布,下面是中文版的译者序。
云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。到截稿时,企业成员达到33个,名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。值得注意的是,中国领先的专业安全公司绿盟科技成为中国、乃至亚太地区第一个企业成员。相信在不远的将来,企业成员中还会出现越来越多的中国知名和新兴企业机构的身影。
自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。2009年12月17日,云安全联盟发布了新版的《云安全指南》v2.1,代表着云计算和安全业界对于云计算及其安全保护的认识的一次重要升级。新版安全指南有以下两大鲜明特色:
特色1: 务实,贴近当前的最新的业界实践。参加编写的数十位专家横跨学术界和各主要行业,大多在美国、欧洲、亚太和中国等的第一线工作,指南的内容较为真实地反映了最新的业界最佳实践和观点,提供了非常详详细、务实的大量建议,非常容易转化为项目的检查列表等形式,方便读者参考。 Read more…
下图取自ENISA关于云安全风险的白皮书,示意图阐述了云安全风险评估的两个维度,即影响和可能性。从两个维度出发,ENISA认为较为突出的几个风险点,它们是:
- 合规性
- 治理(监管)缺失
- 司法
- 事件响应
- 数据保护
- 电子取证分析和传票
- 等
大家可能注意到,和ENISA相关的帖子在这里逐渐多了起来。没错,ENISA的确引起了我的关注,如同CSA一样。ENISA与CSA目前合作非常紧密,有几个项目是双方一起发起并领导,当然也存在良性竞争关系。也推荐大家多关注一下ENISA及其业界活动。
引子:
观放白鹰二首(李白)
八月边风高,胡鹰白锦毛;
孤飞一片雪,千里见秋毫。
RSA大会一向是网络安全圈子里的大场面,传统上各路老大都会赶来捧场,也作为自己后面一年市场理念、产品技术的首发之地。好,对于到场的老大们就不一一赘述了,我们看看哪些大厂没有来。
缺席的第一家是Oracle。大家知道,Oracle其实已经悄悄成为安全圈子里的实力派,尤其是在2005年购并Oblix、2009年购并Sun以后,其在身份和访问控制IAM领域、数据库安全领域、审计等都有很长的产品线。一方面,Oracle的CEO Larry Ellison经常对云计算冷嘲热讽,一方面在几次展会都看到Oracle在不断推进Oracle的云计算解决方案。一方面,Oracle在迅速发展其网络安全解决方案能力,另一方面Oracle又不“与狼共舞”,来拜RSA的山头。这就叫有个性。期间碰到了几位从Oracle过来的朋友,个人身份参与。
缺席的另外一家是Juniper。Juniper在购并Netscreen后,安全产品行销全球,在FW/IPS/VPN等领域实力强劲,是相关产品评论不能不提的厂商,“地球人没有不知道的”。不知为什么,Juniper对家边上的RSA不对眼。Juniper有Speaker出场,可是不参展。Juniper不到场,肯定不是“差钱”。
华为的缺席也情理之中,又在意料之外。华为-赛门铁克(华赛)在国内也一直以国际行销出名,很多同行以其为国际化的模范。华为不愿与这些充满小资情调、脸上写着盲目自信的展览会同流合污,甚至也不屑参加什么Gartner、什么SC Mag的产品评比。”酒香不怕巷子深“吗!呵呵。
闲话讲完,还是来看看这次大会有什么新鲜内容吧。 Read more…
Categories: -Chinese-, Architect, Cloud, Security, Telecom Tags: 2010, CSA, 网络安全, RSA, 云计算, 云安全, 云安全联盟
ENISA的全称是欧洲网络信息安全局,前几天刚刚写了一个帖子讲了它发布的社会安全网络白皮书(http://sbin.cn/blog/2010/02/08/enisa-msn-security-wp/)。该组织的名称和法律地位非常令人“敬仰”,但是,由于属于新生报到,在业界还没有引起太多的关注和媒体报导。大家可以Google一下,尤其是中文内容更是少之又少。http://www.enisa.europa.eu/ 是该组织的官方网站。
近日,ENISA与云安全联盟CSA一起,发起了一个非常引入注目的业界项目 – Common Assurance Metric – Beyond the Cloud, 直译为”通用保障指标-在云之上”,我们简称CAM。该名字起的很有魄力,也很有诗意(喜欢文明系列游戏的人会联想到CIV4-Beyond the Sword,喜欢唱歌的朋友会响起“月亮之上”的旋律,呵呵)。不知看到这个题目,你是什么感觉?我的第一眼是ENISA和CSA有眼力,选题很棒。
CAM项目的使命和目标包括:
- 开发一个能够为业界机构验证测量信息保障成熟度的客观的、可量化的指标框架。
- 避免消费者被主观的、人为的提供商安排所左右
- 促使不需要第三方审计公司即可达成的、相对透明和公正的安全运行评价 Read more…
Cloud Bursting是Amazon技术专家Jeff Barr创造的名词,讲的是如何使用云计算来解决在线零售网站季节性“突发”流量带来的“溢出”请求。也就是短时间的、时效性很强的那种突发流量,IT自己采购硬件扩容,ROI不是很合算,因为有效的使用时间很短。这时候就是云计算大显身手的商业时刻show time。因为云计算服务天生就是“租”的,随用随租的模式使得云服务更有效率地解决季节性、或事件性突发业务。 Read more…
网络安全最常谈及的一个词 – 边界。这个边界是最早的网络安全焦点,养育了Checkpoint,PIX,Netscreen,ISS,等等安全公司和著名品牌。很多安全威胁、攻防、解决方案都围绕边界发生。我们讲P2P/IM/SNS等的出现侵蚀了传统的企业网络边界,天涯海角四处漫游的用户使得边界越来越“虚”,但是,边界依然是我们的第一防御重点,很多安全配置都成为标准配置,包括防火墙/IPS/IDS/UTM, Anti-DoS, VPN, WAF,等等。
云计算环境中,上述的传统边界依然存在,但是作为云服务用户,却需要更多考虑不依赖边界防护的解决方案,更为纵深防御的解决方案,因为云服务从性质上说是多租户的。你无法保证你的“室友”对你是无害的。从此意义上说,云计算环境下的安全架构设计需要更多考虑“边界”或“虚拟边界”的“室内卫生”。这是个巨大的商机,为此,Oracle,IBM,HP,CA,等近期都提高了基于数据库、大型应用自身的、IAM等的安全方案。两周前(1月19日)参加了Oracle在泽西城办的一个技术论坛。Oracle重点推介了围绕着数据库的身份、认证、授权、SOD职责分离、超级用户权限管理、审计等等一长线产品和解决方案。CA的安全广告也到处可见。
值得注意的是,这个“Deperimeterization”并不是不要边界防护,而是在传统“边界”防护的基础上,强调了“虚拟边界”和云服务内部安全。事实上,对抗拒绝服务、及时发现并修复Web漏洞、面向Web服务的细粒度有能力身份认证授权的WAF等在云安全中至关重要。 Read more…
在第一版中头一次看到这个词,觉得很好玩,很好玩的英语后缀变化 – Compart, compartment, compartmentalize, compartmentalization。这个词在新版中应该出现了有5,6次。觉得好玩的同时,有点觉得他们在玩造词游戏。有几次在这边乘坐火车、看儿子接回来的图画词典时,才知道Compartment用的很多。下面是一本英汉词典里对compartment的解释:
compartment
n.[C]
1. 区划;划分;隔间
The dresser drawer was partitioned into four compartments.
梳妆台的抽屉隔成四小格。
2. (火车上的)小客房
There were ten compartments in each car of the train.
那辆火车每节车厢有十个小客房。
vt.
1. 分隔;划分
云计算的一个重要特征是“多租户”,每个“租户”都想火车乘客那样都有自己的一个隔间,很形象,对吗?
下面的Wiki字条还有一层更为恰当的含义: Read more…
摘要:在众多CSA已发布的研究文献中,《云安全指南》无疑是其中最具影响力的。在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,《云安全指南》高屋建瓴而又不乏具体的策略和实施建议,是一份不可多得的参考文献。本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。
Recent Comments