大家下午好,我实际上也是替补,本来这边云安全主席来做这报告,他正好在外面出差,也是临时委托我来这边汇报。刚才雷老师讲的安全简史实际上很多人在学,这里面很多的思想尤其是沿用了一些跨学科的思想,对安全的参考意见非常大。但实际上云安全这一方面,也是一个跨学科、跨技术、跨应用的方面在里面,人是高度复杂的系统。CSA是几年前成立的组织,这组织是希望通过中立的方式通过云聚大家的力量一起把云安全的工作往前推进,今天主要是介绍CSA这组织到底是什么?干什么?主要做的工作让大家在云安全方面的一些研究还有具体的工作可能会有密切的关系,也希望大家能够参与到这组织里面来。
说到云安全我们先讲一下云几个大的风险,实际上后面CSA的工作都是跟云里面的风险相关的。第一个公有云风险最大的问题还是很多内部的云安全的问题,第一个这些员工凭证滥用未授权大概有63%,第二是不正确的访问控制以及帐号的劫持这里面有61%。还有恶意的内部人士这里面也很多,前一些年最早开始云安全的浪潮时候大家也非常担心,就是我的数据或者我的业务交付到你云上时候,你的安全如何保障,实际上现在看来的话,这问题它依然存在,但是我们也看到了很多云厂商它都是通过自己一个自律,第二个是在整个行业里面加强整个的安全标准的实践推进。第三个是我们看到所有的安全上具有强大的一级响应。
第二个云安全方面的趋势,是在这一些方面体现,第一是无服务器框架的体现,是指我们自己去买硬件,我们搭建软件、容器在上面做配置,以及在上面运行应用。现在住进的简化为我们只需要做我们的应用,用我们的内容就可以了,很多的硬件、软件的问题,甚至服务器上面的问题都不需要去解决,都有云计算、云服务的厂商来提供,这无服务器框架自己不需要去控制管理服务器,只需要用一些简单的API来构建自己的业务就可以了,典型的代表像亚马逊AWS还有Paas代码服务,甚至开发都有云服务上面的提供。
这也会带来一些额外的问题,就是说新的服务模式毕竟带来新的漏洞,这新的漏洞在我们没有成熟的方法,或者很好的感知技术之前,肯定会成立一个中端期。就是在控制器上,或者云计算的管理端上,它的很多安全能力或者说安全管控的措施、策略都在这上面,这变化也有利有弊,集中管控一方面会带来额外的安全风险,但是同样也有一些好处,如果说我们有强大的感知能力,并且有自上而下的通畅的政策通道、策略通道,就可以通过云的粉饰去致使,通过API网上服务能力,第二响应的也许也非常大。还有一些趋势云安全解决方案一千都是一些新的公司在交付,越来越多的大规模的安全产业也都看到安全的业务,所以更多的大厂商来交付原来的服务,所以这里面给我们整个安全带来了好的方面。 另外大的厂商一旦正式出市场以后很多创新的团队就有可能通过收购或者是合并的方式。
还有安全成为持续集成和持续部署的工具集,也就是说安全在云服务里面变成了一个基础能力,就跟我们以前网红设备慢慢把安全的特性融入到基础的功能一样,安全不再是被认为开发杜立德世亲,是在跟云服务是一种根据的,或者基本的运动,它会跟很多的业务紧密的结合在一起。我们在使用云服务的时候就会直接享用到这云安全能力。像很多说的静态服务工具和动态的工具在云平台里面基本成立。
还有一些像云安全的发展速度,远超过我们的预期,这是因为云本身的发展。很多企业它开始信任云,更多的数据跟业务都直接上到这云里面,这种发展的趋势也导致云被越来越成为攻击的目标。攻击有很多配置错误造成的,还有一些管理上的漏洞,还有一些内部窃密的问题,所以总体上来看的话这超出我们的预期,并且我们同步关注网络空间的信息,因为云计算有很多的应用,硬件、软件还有其他的一些业务都极力相连,所以网络空间的总体研究趋势会对云安全的产生非常大的影响,这一些趋势主要是几个方面,一个是总威胁表现来看,主要是网络攻击的卷求化和网络犯罪的运营化。
第二是从产品形态来看,主席是安全产品化。
第三个就是安全分析的知识化和智能化。 昨天还有一个公司是获得了一个亿的,这公家是相关驱动的信号。
再看一下CSA联盟整体的情况。全称是云安全的编码,它的是2008年12月份在美国发起,是中立的行业组织,它本身就是推动整个全球的云计算业务的发展,它的是从安全的角度来做具体的工作,所以到目前为止已经有全球300个服务单位,7万多个本地,作为企业或者事业单位都可以进入到组织里面来,作为个人也可以做贡献。
CSA的宗旨主要是提供和供应商必要的云计算安全需求和保证证书,并达到同样的认识水平,说白了它是站在用户的角度,收集用户的需求,然后从这厂商这一端出发,大家形成行业的自律还有技术的标准以及相关的要求,促进云计算安全最佳实践的独立研究,推广正确使用云计算解决方案的宣传,以及创建有关于云安全保障的问题方针的明细表。
整个的CSA组织从全球来看,分为美洲区、欧亚中东还有亚太,大中华区本来是在亚太区,但是因为大种花区的地位比较重要,在全球的他实际上是跟亚太平衡,有一些人员交叉的关系。
CSA大众化区下面又为秘书处、研究院、云计算大数据按照实验室。支撑它的还有一些专家智库顾问等等这一些机构。CSA持续从事新兴领域的前瞻性研究就是CSA筹建了这一些工作组大概有30多个,涉及到政策、法规、以及架构和框架、还有一些评估安全的标准,数据等等。覆盖的面非常广,就是涉及到云安全的事故基本上都是工作室来承担相关的工作。整个CSA的研究院就是前面所的研究圆有一千多个专家在全球,重点是在新兴领域进行前瞻性的要求。CSA的大中华区有1000多个安全专家,这是覆盖了很多很重要的公司。
CSA做了很多很多的这一些工作,它也有很多的成果输出,这一些成果都是免费分享给大家,大家通过CSA入会或者它的网站获取了很多的资料,这立宪很重要的就是云安全的框架,以及相关的认证、人才的培养体系,还有像云安全的威胁严重,以及下面云安全标准框架它是从市场、从用户的需求出发去构建这标准的,所以它是一个行业内自发的标准。这种标准也有可能通过分会的努力,我们逐渐来跟国家的权威机构联系起来,把它变成国家标准的一部分。
还有大数据安全威胁,物联网安全的框架,下面这STAR跟认证部分是核心的推广它的标准和成果的一些方法。下面介绍它几个优秀的事件,第一个就是源泉指南,从2009年到开始到2009就开始重点这指南,前几个月就更新到4.0版本。 所以我们看到很多资料里面有云安全的框架基本上都是云安全指南这里面出来的。在全球的影响力也非。
基于前面的云安全指南又做了一些推迟跟演绎的结果,对于安全的控制各个方面形成了一个举证,这也是云计算行业的国际公认的标准,它的特点结合云计算业务特点匹配主要的国内信息安全,对这一些标准做了很深度的融合,并且做了很多的技术的指导,依据控制取证呢我们可以将对自己的云计算业务可以做一些安全的具体操作和实践。
还也一个优秀实践就是OCF和STAR认证体系,这两类都是开放式的,OCF开放的认证体系,CSA跟英国标准协会DSA联合开展,它在中国叫SIR如认罪。这是云安全标准这是全第一套的解决标准,主要是云服务商解决案例的优秀成果,去年CSA大中华区峰会的时候发布的。也针对CSATI五推出过继的认证。
领有一个优秀实践就是STAR云计算安全体系,它这体系是认证基础上开展,这主要的业务是跟深圳的实验室做的认证,这是针对云计算安全认证。另外针对专家人才这一部分有一个系列是从CCSK、初级、中级、还有CCSMP还有CCSSP就是高级专家,这一些全系列是开放的。
实际上云安全在做这一些体系开发的时候,不是在整个社区里面也希望各位能够积极的参与到合作里面来,为这行业一起来做一些贡献。这是2017年年初的时候,在深圳的CSA物联网安全标准启动会。后来在4月份在360会场又启动了CSA大数据安全标准工作情况。
最后我也大家介绍一下这边CSTR云安全技术标准一些基本的情况。它的背景主要是基于之前退出的STAR认证去满足这企业、满足客户的云安全的需求。在这过程中还发现有很多的安全技术细节,指南的东西在某一些场景下针对特定的情况下,有的时候不是特别的清晰,后来是作为产品开发和认证的一个公共的要求。所以当时设计了一个框架,这框架是基预云安全的指南的思想,首先就是把Laas和Paas和Saas。有几个公共的层,一个用户层还有访问层还有安全管理和安全服务,这四个层是公共层。服务层跟资源层安全跟计算的框架有不同的层次对比,里面还有具体的不同内容。比如说Laas还有Paas还有Saas它们的安全都有不同的内容。
举一个例子像Laas重点是针对资源层安全,但是除了资源层安全里面物理资源、虚拟资源还有一些管理的问题之外,实际上也对访问层来讲,比如说网络层面、服务层安全、资源层、安全管理也要有一些安全管理的要求,可见除了服务层的特殊要求之外,在其他的四个层面都有要求。再看Saas重点服务层的管理,它对资源层的诉求就没有那么多,所以像Saas总共有136条其中基础是102条增强要求是34条,这是在做STAR认证的时候就会根据这样一些要求设定。
相应的要求我们都有条款和规范,看这里面的例子是针对虚拟资源的安全,要一层层的分解自身的计算资源、存储资源,再分解出来基础的要求,逐条的展开,这里面每一条都是尽量做成标准。除了标准文本,针对每一个标准的条款,也就是前面虚拟资源来讲,它的节点是虚拟化的网络安全,这标准的要求符合支持防止虚拟机使用虚假IP和MAC地址对外发起攻击的能力。在解读的时候我们就要求对它的安全风险具体什么场景要进行设定,这里面就说明了两种场景,另外就是对条款进行进一步的解读,具体就是说这种发起的攻击能力是什么?里面有什么限制条件,进一步的提供参考的方案,具体出现这个安全风险怎么去应对。最后要这对一条标准给出测试方案,这样的话我们对整CSA标准就有一个标准到解读,最后我们拿了这文本之后怎么来使用、怎么来避免一些问题,以及最后我们自己怎么来测试、我们测试机构怎么来测试,都有一个很详尽、具体的指导方案,这也是CSA为什么在推出安全指南标准以后,因为从理论的框架一直到具体的标准、具体的实践,它是可以落地的。很多的安全厂商也都在里面提供各种各样的贡献。
我们希望通过这种测试虚拟机上的方式能够真正帮我们解决一些问题,我们希望从云计算的安全跟云相关的周边一些新兴的技术安全,都能够逐渐得到解决也欢迎大家参与到CSA事业里面来,谢谢大家,有时可以联系我。
热门专题
