11-云安全技术.pdf

中国电信 2016-7 CSA STAR认证 可信云认证 ISO 27001认证 云数据中心安全框架 阿里的安全策略云计算安全安全云CSA STAR认证是一项全新而有针对性的国际专业认证项目，由全球标准奠基者 ——英国标准协会（ bsi）和国际云安全权威组织云安全联盟（ CSA）联合推出，旨在应对与云安全相关的特定问题云安全国际认证（ CSA-STAR）以 ISO/IEC 27001认证为基础，结合云端安全控制矩阵 CCM的要求，运用 BSI提供的成熟度模型和评估方法，为提供和使用云计算的任何组织，从沟通和利益相关者的参与；策略、计划、流程和系统性方法；技术和能力；所有权、领导力和管理；监督和测量等 5个维度，综合评估组织云端安全管理和技术能力，最终给出独立第三方外审结论为全球第一个获得 CSA STAR全球金牌认证的公司，充分证实了在安全云计算中的技术领导地位，验证了业务安全性符合国际上最先进的云安全标准要求该认证可确保管理层能够掌握全面的信息，从而评估其管理体系是否能够有效达到国际标准与云安全行业的预期CSA STAR认证可以为客户提供比业界要求更高的云厂商服务能力透明度，帮助客户在购买和使用服务时作出更为明智的决策。

其价值还体现在让更多的用户信任并敢于尝试云计算服务，从而让其借助云的力量实现快速发展与业务创新Threat #1: Abuse and Nefarious Use of Cloud Computing云计算的滥用、恶用、拒绝服务攻击Threat #2: Insecure Interfaces and APIs 不安全的接口和 APIThreat #3: Malicious Insiders恶意的内部员工Threat #4: Shared Technology Issues共享技术产生的问题Threat #5: Data Loss or Leakage数据泄漏Threat #6: Account or Service Hijacking账号和服务劫持Threat #7: Unknown Risk Profile未知的风险场景• 攻击者使用云的理由与合法消费者相同 ——低成本进行巨量处理说明• 密码破解、 DDoS、恶意存取、垃圾邮件、 c&c服务器、CAPTCHA破解等影响• 现在在 中搜索 MalwareDomainL，可获得 21个结果• “过去三年中， ScanSafe记录了与 amazonaws相关的 80个恶意事件” – ScanSafe博客• Amazon的 EC2出现了垃圾邮件和恶意软件的问题 - Slashdot举例• 由于不合适的访问控制或弱加密造成数据破解• 因为多租户结构，不够安全的数据风险较高说明• 数据完整性和保密性影响• 社保系统漏洞曝光，险泄露千万用户信息• 网易邮箱数据疑似泄露，却遭官方矢口否认• 国家旅游局漏洞致 6套系统沦陷，涉及全国 6000万客户• 草榴遭攻击，千万狼友 ...• 15年信息泄露第一弹，机锋网被曝泄 2300万用户信息举例• 云供应商的员工可能滥用权力访问客户数据 /功能• 减少内部进程的可见性可能会妨碍探测这种违法行为说明• 数据保密性和完整性• 名誉损失• 法律后果影响• 5月 28日上午 11时许，携程网突然陷入瘫痪，官方表示是由于携程部分服务器遭到不明攻击，而导致官方网站及 APP无法正常使用。

对于事故原因，社交网站和群中都有不同的猜测，主要包括数据库被物理删除、业务代码被删除或者安全漏洞举例• 对客户或云进行流量拦截和 /或改道发送• 偷取凭证以窃取或控制账户信息 /服务说明• 数据保密性和完整性• 声誉影响• 资源恶意使用造成的后果（法律）影响• 2010年 12月 7日在中国互联网行业掀起轩然大波的百度域名遭 "劫持 "事件举例• 公共的硬件、运行系统、中间件、应用栈和网络组件可能有着潜在风险说明• 成功使用可能影响多个用户影响• Cloudburst - Kostya Kortchinksy (Blackhat 2009)• 在虚拟 PCI显示卡 Vmware SVGA II设备中确认的任意代码执行的潜在风险• VMware Workstation、 VMware Player、 VMware Server和VMware ESX中的脆弱部件举例• API用于允许功能和数据访问，但其可能存在潜在风险或不当使用，让程序受到攻击说明• 数据保密性和完整性• 拒绝服务影响• P0wning可编程网络 (Websense – AusCERT 2009_• 80%的测试应用程序没有使用 API中的安全保护（例如不加密流量和基本验证）• 经验证的 CSRF、 MITM和数据泄漏攻击举例• 对安全控制的不确定性可能让顾客陷入不必要的风险。

说明• 可能因为云用户没有相关知识，造成重大的数据外泄影响• Heartland支付系统“只愿意做最小的工作量并符合国家法律，而不会通知每一位客户他们的数据是否被盗取• 简单密码举例云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书1、云安全联盟（ CSA） 在云安全标准化工作方面– 以白皮书的形式向全球发布云安全方面的参考与建议– 已完成《云计算面临的严重威胁》、《关键领域的云计算安全指南》、 《 身份隐私与接入安全 》 等 3项标准化建议– 发布了《如何保护云数据》、《定义云安全：六种观点》等 2项云安全相关的建议书云安全标准建议组织国外云安全组织及标准 -云安全建议白皮书1、云安全联盟（ CSA）CSA：云模型、安全控制和合规模型的映射云参考模型 安全控制模型 合规模型 D1: 云计算架构框架 D2: IT治理和企业风险管理 D3: 法律和电子发现 D4: 合规性和审计 D5: 信息生命周期管理 D6: 可携带性和可交互性 D7: 传统安全、业务连续性和灾难恢复 D8: 数据中心运行 D9: 事件响应、通告和补救 D10: 应用安全 D11: 加密和密钥管理 D12: 身份和访问管理 D13: 虚拟化云计算的安全管控1. 云计算迁移前理清相关合同、 SLA和架构是保 护云的最好时机2. 了解云提供商的“供应商”、BCM/DR、财务 状况以及雇员审查等3. 尽可能识别数据的物理位置4. 计划好供应商终止和资产清退5. 保留审计权利6. 对再投资引起的成本节省谨慎注意云计算的安全运行1. 能加密则加密之 ,独立保管好密钥 2. 适应安全软件开发生命周期的环境要求3. 理解云提供商的补丁和配置管理、安全保护等措施4. 记录、数据渗漏和细粒化的客户隔离5. 安全加固虚拟机镜像6. 评估云提供商的 IdM集成 ,例如 SAML, OpenID等[DoS]对抗各种形式的拒绝服务攻击的能力 – D7/D8/D9 [SLA]清晰、细化、合同化的安全 SLA – D2/D7/D8 [IAM]完备的身份和访问控制管理 – D12/D13 [SVM]全面及时的漏洞扫描和修补 – D4/D10/D13[Data]透明和明确定义的数据安全 – D5/D6/D11  [Audit]完备的电子证据和审计系统 – D3/D4 [SDL]应用生命周期的安全和供应商安全管理 – D10/D11 可信云服务认证是由数据中心联盟组织，中国信息通信研究院 (工信部电信研究院 )测试评估的面向云计算服务的评估认证。

 数据中心联盟是由工信部通信发展司指导，中国信息通信研究院 (原工信部电信研究院 )联合国内外互联网企业、电信运营商、软硬件制造商等单位共同发起组建的可信云服务认证的核心目标是建立云服务的评估体系，为用户选择可信、安全的云服务提供支撑，并最终促进我国云计算市场健康、有序的发展 通过可信云服务认证，意味着向用户披露的企业基本信息、服务基本信息，以及服务承诺（ SLA）得到专业的第三方机构评估、持续测量和认证，第三方机构对披露信息的完备性、规范性、真实性进行专业测评，为用户选择云服务商提供参考 可信云服务认证是 2013年由数据中心联盟和云计算发展与政策论坛联合组织的面向公有云服务可信度和规范的认证，核心标准为中国通信标准化协会YDB 144 –2014《 云计算服务协议参考框架 》 ，写入 ITU-T Y.3501的可信云服务相关内容是从YDB144-2014提炼出来的 为满足整个云计算产业规范的需求，在面向IaaS/PaaS的可信云服务认证基础上，经过 3年的发展，可信云认证已经建立四大子品牌认证，包括可信云服务认证、企业级 SaaS认证、金牌运维认证和面向私有云的开源解决方案认证。

 企业级 SaaS认证比可信云服务增加了 SaaS特有的安全指标和用户体验指标 金牌运维是面向 IaaS/PaaS服务商运维能力的认证，是可信云服务认证基础上的能力分级，对注重运维服务能力的政企客户有很大参考价值 开源云解决方案认证是云计算开源产业联盟（ OSCAR）联合数据中心联盟和云计算发展与政策论坛开展的首个面向私有云的认证，使用全新的私有云指标体系，目前正在对云计算开源产业联盟的会员进行试评估这是中国云计算标准走向世界的第一步，是中国公有云产业竞争力的体现，这标志着可信云服务标准获得更广泛的国际关注和认可，将进一步助力国内公有云服务商出海可信云标准来源于产业，根植于产业，将为提升中国云计算产业整体实力和国际竞争力不懈努力 ITU-T： 国际电信联盟是主管信息通信技术事务（ ICT）的联合国机构 , 制定 ICT领域的技术标准，推动所有利益攸关方之间的战略合作和理解国际电联于 1865年在巴黎成立，目前拥有 193个成员国和 700多家私营部门实体和学术机构 SG13： SG13是 ITU-T的第 13个工作组，即未来网络和云计算研究组（ Future Network and Cloud），目前一共有 19个议题（ Question），其中 Q17、 Q18和Q19和云计算有关，分别为 Q17：云计算生态系统、一般要求和能力； Q18:云计算架构、基础设施和组网；Q19:端到端云计算服务和资源管理。

Q17负责标准Y.3501的讨论 ITU-TSG13全会的中国代表团成员和各国代表对标准的支持：包括中国信息通信研究院、国家新闻出版广电总局广播电视规划院、 CETC54、中国电信、中国移动、中国联通、华为、中兴、烽火科技、 南京邮电大学 、北邮，以及微软、法国电信、 BT、韩国 ETRI等各国代表 所有参与可信云服务相关标准编写的企业：中国电信、中国移动、中国联通、阿里巴巴、腾讯、 UCloud、新浪、百度、华为、中兴、 IBM、微软、 Oracle、金山、360、烽火通信、华三、世纪互联、浪潮、网宿、蓝汛、浪潮、中企、京东、万国数据、迅达云成、联想、七牛、苏宁、中联润通、飞天诚信、畅捷通、 Udesk、SendCloud等企业 可信云保险 —一份真正诚意的保障，一份真正可靠的保障可信云大会 —可信云保险 —投保平台，我们 9月份北京见！ 可信云保险 —一个熟悉又陌生的名字：已经投保的云厂商对他再熟悉不过了，高效的出险，有保障的赔付 …… 它是中国业内首个专业的针对云服务的保险；但对于初涉云计算领域的厂商以及绝大多数客户来说，它又是很陌生的 可信云保险 —一份云服务背后的保障：可信云保险由中国信息通信研究院牵头人保、平安、渤海三家保险公司组成共。