中文字幕第1页中文字幕在_私密亚洲Av无码十八禁网站_aⅴ欧美亚洲日本免费_av无码一区二区三还_首页 亚洲 欧美 日韩_一级毛片对白刺激国产_日本久久精品黄色三级片_91视频黄色在线观看_88X永久免费视频在线观看_chinesemature老熟妇高潮

也談云安全的標準、挑戰(zhàn)和機遇問題

云安全到底是什么？是傳統(tǒng)廠商的盒子的iso化？是云廠商自身具備的安全能力？還是SaaS提供安全服務？這些觀點都比較片面，作為聊天話題還可以，但落地還需要認真討論。 一、云安全標準 要想了解云安全真正的含義，首先要了解云計算本身。根據(jù)美國國家標準與技術研究院（NIST）定義，云計算按照服務模式分為IaaS、PaaS和SaaS，按照部署模式分為私有云、公有云、社區(qū)云和混合云，按照用戶角色分為消費者、供應商、代理商、運營商和審計方。 云安全的定義根據(jù)國際的CSA TCI-RA、NIST SP500-292、NIST SP 500-29，以及國內(nèi)的GB/T 31167-2014、GB/T 31168-2014等標準來看，簡單來說就是根據(jù)云計算的服務模式、部署方式以及角色，提供有針對性的安全方案。 然而，實際的云安全建設往往錯綜復雜，把握幾個關鍵的觀點，有助于大家更了解云安全。 1、云安全責任共擔 用戶和使用的云服務商不同，安全的責任也不同。如果用戶只是使用IaaS層的服務，IaaS層安全由云服務商提供，之上的所有中間件以及業(yè)務安全責任全部由用戶自己承擔；如果使用的是SaaS層的服務，云服務商就要提供云相關全棧的服務；PaaS層的情況介于這兩者之間。 這不同于IDC環(huán)境下的安全。從用戶角度來說，安全責任變輕了：以前從建設機房到部署應用的安全全部由用戶自己承擔，現(xiàn)在云服務提供商要承擔相關的安全職責。2、組織要評估和滿足合規(guī)與審核要求 將業(yè)務從傳統(tǒng)IDC遷移到云的一個重大挑戰(zhàn)是：要遵守眾多的合規(guī)和審核的約束。尤其在國內(nèi)的環(huán)境，監(jiān)管方存在“九龍治水”的情況?！毒W(wǎng)絡安全法》已經(jīng)開始正式執(zhí)行；公安方面的等級保護針對云方面也推出了等保2.0；以覆蓋等保1.0在云計算領域的缺失；大數(shù)據(jù)中心聯(lián)盟也推出了可信云的相關標準；網(wǎng)信部門更是對每個行業(yè)都提出新的監(jiān)管要求；TC260針對政府上云提出了GB／T 31167和31168。這些規(guī)定都意味著組織要承擔更重大的監(jiān)管責任。 合規(guī)可定義為對企業(yè)義務（企業(yè)社會責任、適用法律，道德指南）的感知和遵循，包括對適當和必要的糾正性措施的評估和排序。在某些高度監(jiān)管的環(huán)境下，透明度可以對內(nèi)部特定策略進行補充，成為組織效率的優(yōu)勢而非制約。 總體上，組織要保證合規(guī)性和完成審核，需要評估自身合規(guī)狀態(tài)，借此感知和履行企業(yè)義務（社會責任、道德標準、法律責任等）；評估風險、不合規(guī)代價以及合規(guī)成本，從而評估是否采取適當或必要的糾錯性措施。 對于客戶和服務提供商而言，內(nèi)審和外審以及各種控制措施都合情合理、可為云計算效力。目前對于云計算廠商的審計并不充分，大多情況都是通過一次性的測評來證明云計算的安全性和可靠性。對于客戶而言，更有保障的方法是通過認證方式對云計算廠商進行持續(xù)的認證。 3、事件響應 信息安全領域不存在無懈可擊的防御，無論是周詳?shù)挠媱澾€是周全的預防性措施，都無法完全避免信息資產(chǎn)遭到攻擊。正因如此，致力于減少組織受攻擊損失程度的事件響應，成為了信息安全管理的重要基石。云計算不需要一個新的事件響應框架，只需將原有的響應程序、處理機制和工具與云計算相關的環(huán)境對應起來。與此同時，組織也要意識到，云計算的某些特征會影響事件響應的效果。 首先，云計算屬于按需自服務，客戶在處理安全事件的時候很難甚至不可能從云服務商那里獲得協(xié)助；第二，云服務的資源池化可能會導致 事件響應過程復雜化；第三、在多租戶場景下，如果沒有關于隱私信息的處理和資源池化的云服務方式，收集和分析事故的非直接數(shù)據(jù)和原始數(shù)據(jù)可能造成對隱私問題的擔憂。 另一方面，云計算也給事件響應帶來了新的機會。對于云的持續(xù)監(jiān)控機制，可以減少事件處理時間或者事件響應頻率。虛擬化技術和云計算平臺固有的彈性特質(zhì)，相比傳統(tǒng)數(shù)據(jù)中心技術減少了服務中斷時間，讓遏制和恢復措施變得更有效率和效果。此外，由于虛擬機可以很容易地被移動到試驗環(huán)境中并管理運行環(huán)境、取得鑒定映像及進行檢查，這些都使得事件調(diào)查更容易開展。 目前情況并不太樂觀，國內(nèi)云計算廠商對于事故響應的手段極其有限，大部分是通過人工服務的情況進行解決，責任無法定位，造成的損失也無法衡量，導致用戶和云服務提供商之間的不信任感。 二、云安全挑戰(zhàn) 為了安全地使用公有云、私有云、混合云等豐富多樣的數(shù)字化服務，越來越多的企業(yè)需要滿足不斷增多的各種安全要求。企業(yè)要滿足這些需求，必須首先意識到云安全方面的三大挑戰(zhàn)：保護多租戶環(huán)境下的信息，虛擬化和私有云安全，以及SaaS可視化和控制。這三大挑戰(zhàn)將為企業(yè)的云安全建設提供實用的分類方法。1、評估和控制多租戶環(huán)境下的安全和合規(guī)風險安全管理人員關注公有云的相關安全問題。缺乏持續(xù)性的合規(guī)和風險的評估以及安全過程，使得一些敏感的場景無法遷移到公有云。使用多租戶的云服務并不直接導致安全問題，跟云廠商采取的安全措施有關，對云廠商的形成強大的挑戰(zhàn)。持續(xù)的對云廠商進行風險監(jiān)控還需要一段路。 安全管理人員甚至所有IT人員都關注公有云廠商是否安全。實際上，沒有直接證據(jù)證明公有云廠商自身安全不到位會對用戶造成重大影響。然而，如何評估公有云廠商安全性以及監(jiān)管機構對公有云的接受度仍然值得探討。公有云廠商缺乏透明度，合規(guī)狀態(tài)不明確，風險評估和安全過程不成熟，使得一些敏感場景無法遷移到公有云。 對于企業(yè)而言，使用多租戶的云服務并不會直接導致安全問題，還得看云廠商采取哪些安全措施。綜合評估云廠商提供的服務和安全性，持續(xù)對云廠商進行風險監(jiān)控，能夠讓企業(yè)在享受優(yōu)質(zhì)云服務的同時做到安全、合規(guī)。不過，市場對云廠商的評估和持續(xù)監(jiān)控還沒有形成最佳實踐。 2、使用CWPP和微隔離等新技術保護虛擬環(huán)境下的工作負載 對硬件資源的虛擬化催生了新的安全技術，比如工作負載安全。工作負載指的是服務器、虛擬機和容器等系統(tǒng)核心業(yè)務的載體。云服務商的安全措施在某種意義來說比自建IDC機房的安全措施更好，但這并不意味著把工作負載從本地遷移到公有云上就能自動獲得安全保障。實際上，云服務使用者應該利用好云廠商的安全特點和優(yōu)勢，由此產(chǎn)生效果也會更好。比如，利用好云廠商的安全自動化，能夠大幅減少配置錯誤、管理錯誤、補丁缺失、人工操作失誤等造成安全漏洞數(shù)量，從而大大提高云的安全特性。云工作負載保護平臺（CWPP， cloud workload protection platform）和微隔離等新的技術能夠在保證各種云環(huán)境下的安全，越來越受到國內(nèi)外組織重視。 3、明確SaaS環(huán)境下的數(shù)據(jù)保護和行為監(jiān)控 從當前企業(yè)支出來看，SaaS是比IaaS更重要的計算領域。由企業(yè)的哪個角色來負責SaaS治理尚無定論，對SaaS“所有權”的監(jiān)管有所缺失，都影響了SaaS應用領域的推廣。對此，有些企業(yè)專門制定了SaaS評估、使用和部門職責的相關規(guī)定，也有些專家、架構師組成專門部門來管理SaaS應用。這些都是比較好的實踐，能夠幫助企業(yè)更好、更快做出關于SaaS使用的決策。 另一方面，安全團隊在保護數(shù)據(jù)和監(jiān)控行為時，要使用比SaaS廠商提供的控制機制更高級的技術手段。有數(shù)據(jù)顯示，在10，000個使用的SaaS應用中，諸如身份治理和管理（IGA， identity governance and administration）和CASB（云安全接入代理 cloud access security broker）等單點控制技術變得越來越重要。使用第三方產(chǎn)品來集中有效管理安全策略、權限和行為，也越來越被各種規(guī)模的企業(yè)所重視。三、云安全機遇 根據(jù)麥肯錫咨詢機構的預計，云技術至2020年全球每年創(chuàng)造的價值在3.72億美金。如果企業(yè)不重視云安全建設導致風險和損失，最終可能減少使用云技術。這種“數(shù)字反彈”的局面影響會非常嚴重，可能導致1.4萬億市場的萎縮。麥肯錫認為，企業(yè)在采用云技術的同時要同步建設云安全，這樣才會使得技術不會倒退，市場不會反彈。任何一項技術在大規(guī)模擴張之前都沒有考慮到安全問題（區(qū)塊鏈技術除外），而技術產(chǎn)生泡沫的原因之一，正是安全問題沒有得到充分的重視。 國內(nèi)云計算市場經(jīng)過十年發(fā)展已經(jīng)“賽程過半”，上半場以中小長尾和互聯(lián)網(wǎng)產(chǎn)業(yè)為主要目標客戶，以公有云為主要交付形態(tài)，洗牌基本完成。下半場將以數(shù)字化轉(zhuǎn)型為核心訴求，以傳統(tǒng)縱向行業(yè)、大型企業(yè)為主要目標客戶，以混合云為主要交付形態(tài)。 筆者大膽預測未來國內(nèi)將是行業(yè)云和私有云的爆發(fā)期，針對關鍵基礎設施的云計算建設的方式，大部門會以行業(yè)云的方式存在。行業(yè)云（Industrial Cloud）這個概念跟國外標準中的社區(qū)云（community cloud）有類似的地方又不盡相同。行業(yè)云是數(shù)據(jù)和軟件的擁有者為行業(yè)內(nèi)部的核心組織或者成員，但服務對象是大眾，滿足社會經(jīng)濟運行信息需求。社區(qū)云的定義更著重于云計算后臺的地理位置。針對于私有云和行業(yè)云的安全方案前景更加明朗，但是一般來說這些廠商的安全措施比公有云廠商的安全能力會更差一些。 國內(nèi)大環(huán)境而言，網(wǎng)絡安全領域得到了實質(zhì)性的重視和發(fā)展。國家強調(diào)在任何技術領域必須提倡自主可控，這意味著國內(nèi)安全廠商的機會大大增加。雖然我國網(wǎng)絡信息技術和網(wǎng)絡安全保障取得了不小成績，但同世界先進水平相比還有很大差距。我們要填補國內(nèi)安全市場的空白，跟國際接軌，追趕世界最高安全水平。