返回
云安全联盟化担忧为行动课件

云安全联盟化担忧为行动课件

ID:34563844

大小:5.66 MB

页数:34页

时间:2019-03-08

云安全联盟化担忧为行动课件_第1页
云安全联盟化担忧为行动课件_第2页
云安全联盟化担忧为行动课件_第3页
云安全联盟化担忧为行动课件_第4页
云安全联盟化担忧为行动课件_第5页
资源描述:

《云安全联盟化担忧为行动课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、云安全化担忧为行动潘柱廷云安全联盟中国分会理事中国计算机学会理事启明星辰公司首席战略官2011年3月17日上海云:新时代的曙光云–短期内过度宣传,长期看过于低估计算成为了一种实用工具改变一切:商业模式、风险投资、研究开发……什么是云计算?计算成为了一种实用工具:计算的第三个时代来临云的推动者摩尔定律超速连接服务导向架构供应商等级主要特征灵活,按需服务多租户计量服务云计算NIST工作定义可视化模式宽带网络快速灵活测量服务按需自助服务资源共享软件即服务(SaaS)平台即服务(PaaS)基础设施即服务(IaaS)共有私有混合社区基本特征交付方

2、式配置模式42011-2014:混合企业enterprise boundary共有云ExtendedVirtualDataCenter私有云用户云假定组织边界应用程序传播数据传播用户传播终端设备传播云形成的重要问题数据拥有者和数据处理者之间的临界质量匿名数据中心和设备地域匿名供应商瞬态供应商关系用虚拟控制替代物理控制身份管理变得非常重要云会改变安全现状重新回归安全生态系统当今重要的云安全问题主要威胁恶意使用数据丢失/数据泄漏恶意业内人士账户服务或流量劫持共享技术潜在风险不安全的API未知风险预测恶意使用数据丢失/数据泄漏恶意业内人士流量

3、拦截或劫持共享技术潜在风险不安全的API未知风险预测当今重要的云安全问题重要威胁恶意使用数据丢失/数据泄漏恶意内部人员账目服务或流量劫持共享技术潜在威胁不安全的API未知风险预测更新信息信任:缺少供应商透明度,影响管治、风险管理和符合性数据:泄漏、丢失或存储在不利地域不安全云软件云服务的恶意使用账目/服务劫持恶意内部人员特定云攻击未来的主要问题全球范围内不兼容的法律和政策非标准私有云和公有云缺少持续性风险管理和符合性监控不完整的身份管理对安全事件的杂乱回应关于云安全联盟全球性非盈利组织超过17,000名个人用户,90个企业用户打造最佳实

4、践和一个值得信任的云生态系统灵活的理念,应用研究的快速发展GRC:与风险管理同步参考模型:使用现有标准创建身份:云经济运行的关键基础一流的互用性提倡审慎的公共政策“推进使用最佳实践以提供云计算的安全保证,对云计算使用进行培训,帮助保护所有其他形式的计算。”CSA的相关研究CSA指导研究指导>100k下载:cloudsecurityalliance.org/guidance治理和企业风险管理法律和电子发现符合性和审计信息生命周期管理可移植性和互用性安全、商务、控制和运作复原数据中心运营事件反应、通知和整治应用程序安全加密和密钥管理身份和访

5、问管理虚拟化云结构云运行云治理保护云计算的流行的最佳实践2009年12月发布的V2.1计划于2011年第三季发布V3wiki.cloudsecurityalliance.org/guidance请搜索云安全指南样本指导-治理保证云安全性的最佳机会是在采购前——合同、SLA(服务等级协议)、结构了解供应商的第三方,BCM/DR、财政可行性和员工审查如可能,确认数据位置计划供应商终端和资产收益如可能,保留审计权利将供应商节省开支重新投入尽职调查样本指导-运行如可能,对数据进行加密,云供应商提供单独的密钥管理改写安全软件开发生命周期了解供应商

6、的修正、供应与保护记录、数据渗漏、精细客户分离强化的虚拟机形象评估供应商IdM整合,例如SAML、OpenID云控制矩阵工具通过指导进行控制定等级应符合S-P-I的要求客户vs供应商作用映射为ISO27001、COBIT、PCI、HIPAA帮助IT和IT审计员连接“云空隙”一致性评估倡议提供研究工具和流程,进行云供应商共用评估轻质“通用标准”概念与控制矩阵相整合2010年发布第1版本的CAI调查问卷,提出了约140个供应商问题以确认现在的安全控制或实践情况——用于评估现在的云供应商云审计开放标准和API,自动生成安全断言将数据采集改为数

7、据分析按照云供应商的规模要求提供审计和保证将云控制矩阵用作控制命名空间用于持续性云监控下的云指导A6:自动审计、断言、评估和保证APICSA和GRC栈一套工具、最佳实践和适用技术综合行业研究并简化云中的GRC适用于云供应商、企业、解决方案供应商和审计/符合性控制架构、调查问卷和持续性控制监控自动化www.cloudsecurityalliance.org/grcstack控制要求供应商断言私有和公有云一致性评估倡议云控制矩阵CCSK–云安全知识证书仅用于云安全的用户认证CSA指导中的能力网络测试价格为$295美元www.cloudsec

8、urityalliance.org/certifyme正在开放培训课程可信任云计算计划综合云安全参考结构云中的安全和互操作身份获得SaaS和PaaS以成为企业的“信赖者”可扩展为身份供应商列出责任使用现有标

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。