精华内容
下载资源
问答
  • 云计算安全性研究.pdf

    2021-07-18 19:16:25
    云计算安全性研究.pdf
  • 舰载指控云计算安全性研究.pdf
  • 云计算安全性探究

    2021-01-19 23:13:04
    首先讨论了云计算系统中的不安全因素,同时也对云计算技术带来的安全改善进行了分析,对云安全性进行了深入剖析。指出云计算系统安全取决于现有安全策略的正确部署,只要与云提供商签署适当的安全契约,云计算系统并...
  • 改善云计算安全性的5个小技巧.pdf
  • 智能电网云计算安全性防护浅析及区块链的安全应用.pdf
  • 具有可证明的云计算安全性的保护隐私的多重身份验证密钥交换协议
  • 云计算时代,如何安全地管理信息是所有组织不得不面临的一项艰巨任务,即使那些暂时还不用云计算的机构也不例外。管理信息具体包括内部数据管理、云迁移,以及被分散于多个单位组织的应用和服务中的数据的安全保障...
  • 云计算时代,如何安全地管理信息是所有组织不得不面临的一项艰巨任务,即使那些暂时还不用云计算的机构也不例外。管理信息具体包括内部数据管理、云迁移,以及被分散于多个单位组织的应用和服务中的数据的安全保障...

    信息安全的首要目标是保护我们的系统和应用所处理的数据资料。随着单位组织陆续把应用迁移到云端,甚至是迁移到几年前不可想象的外部或公共云端,传统的数据安全措施面临巨大挑战,随“云”而来的资源弹性、多租户、全新的物理和逻辑架构及抽象层控制,迫切寻求新的数据安全策略。

     

     

    在云计算时代,如何安全地管理信息是所有组织不得不面临的一项艰巨任务,即使那些暂时还不用云计算的机构也不例外。管理信息具体包括内部数据管理、云迁移,以及被分散于多个单位组织的应用和服务中的数据的安全保障。信息管理和数据安全在云计算时代需要新的战略和技术架构。幸运的是,不仅用户拥有需要的工具和技术,而且迁移到云端后,数据还能得到更好的保护。

    其实想要学习云计算技术,零基础永远不是借口,没时间永远不是借口,坚持学习才是我想要传递的!抓住千锋逆战班直播体验课的机会,用勤奋与汗水,铸就美好的明天。在下方留言即可试听课程外加领取千锋900G+视频教程。

    建议采用数据安全生命周期来评估和定义云端数据的安全策略,在制定明确的信息治理策略的基础上,通过诸如加密和专门的监测手段等关键技术来增强其安全性。不同的云服务模式具备不同的云信息架构。无论是私有还是公共 IaaS 云服务模式,通常包括下面的存储。

    1)原始块存储

    存放数据的物理介质,如磁盘、光盘、磁带等。在一些特定的私有云中,这些物理介质能被直接访问。

    2)卷存储

    包括被附加到 IaaS 实例的卷(如虚拟硬盘驱动器)。在存储后端,卷通常被打散存储以增强可靠性和安全性。卷不同于磁盘分区,磁盘分区是对一块基本的磁盘进行逻辑划分。

     

     

    3)对象存储

    通常指文件存储。不像虚拟机硬盘这种块设备,对象存储更像文件共享服务。

    4)内容分发网络(CDN)

    对象存储中的内容被分发到离用户最近的地方,以便增强终端用户的网络体验。

    PaaS 云服务在对外提供存储服务的同时也要消耗存储空间。PaaS 能提供的存储服务主要有数据库服务、Hadoop/MapReduce 大数据服务,以及应用存储(被整合到 PaaS 应用平台且通过 APIs 访问的其他存储)服务。

     

     

    数据放在云端和放在本地到底哪个更安全呢?其实数据放在云端比放在本地更安全。

    云端通过采用服务器集群、异地容灾和容错等技术,可保证数据万无一失,采用数据快照回滚技术,能最大程度降低用户误删数据的损失,所以云端的数据丢失的概率极低;相反,如果数据保存在本地(计算机硬盘、U 盘、光盘、SD 卡、磁带等),这些存储介质都很容易损坏,另外没有任何措施可防止用户误删数据,现在的数据恢复公司业务火爆就充分说明了本地数据丢失的普遍性。

    使用密码是目前最常用的防止数据泄密的方法,无论是云计算,还是使用本地计算机,都是如此。比如打开计算机,输入账号和密码登录,然后再输入密码登录 QQ、输入密码登录微博、输入密码登录邮箱、输入密码登录云等。另外,也有采用密码加密文档的,如密码保护的 Word 文档、压缩包等。

     

     

    在当下云计算还不普遍的情况下,因为本地的存储介质(如硬盘、U 盘、SD 卡、手机、光盘等)丢失而导致数据泄密的概率占到 70% 以上,而其他诸如通过网络泄密的概率不到 30%。因此,把数据保存在云端,可以消除因丢失存储介质而泄密的可能性。另外,就算不用云计算,也存在网络泄密的可能性,除非你的计算机不连接网络。

    展开全文
  • 我们建议在此研究工作中使用一种新的弱点跟踪协议来增强云计算安全性,该协议可用并将混合,线性和动态计算混合到云计算中。 我们建议的主要协议会静态评估对象并记录潜在的敏感项目。 因此,半自动为机器学习...
  • 组织需要对自己的云计算安全负责,而五个实用技巧将会对此有所帮助。毫无疑问,云计算的广泛采用促进了更大规模的协作,推动了创新和创造。企业分布在各地的员工可以更加和谐地工作,IT部门可以减少昂贵的硬件和维护...

    随着云采用率上升到新的高度,安全标准未能跟上其发展的步伐。组织需要对自己的云计算安全负责,而五个实用技巧将会对此有所帮助。

    毫无疑问,云计算的广泛采用促进了更大规模的协作,推动了创新和创造。企业分布在各地的员工可以更加和谐地工作,IT部门可以减少昂贵的硬件和维护成本,组织可以从软件工具的最新发展中受益。但不可避免地会面临安全性这个问题。

    盘点|提高云计算安全性的5个技巧

    安全性已经在云计算应用的兴奋中被遗忘,许多企业已经做出一些危险假设,认为如果发生代价高昂的数据泄露,云计算服务提供商应该负有责任。企业需要担心许多不同的云计算安全威胁,因此制定一个强大的、全面的云安全策略至关重要。

    为此,企业可以采取以下五个技巧来改善云计算的安全性。

    (1)建立完全可见性

    组织有机地开发、获取和采用必须与遗留系统集成的新工具,并与不同的供应商和合作伙伴建立新的关系。在本地服务器和多个外部云计算服务之间传播数据,这并不罕见。日益增加的复杂性使得难以保持全局视图。

    在调查中,当570名网络安全人员和IT专业人员被问及尝试保护云计算工作负载时最头痛的问题时,43%的受访者表示是基础设施安全性的可见性,38%的受访者表示是合规性,35%的受访者表示设置一致的安全策略。如果没有完全映射并建立实时可见性,企业无法保护其云计算环境,无论它看起来如何。

    (2)培训员工

    绝大多数数据泄露事件都能追溯到人为错误,无论是错误配置、访问控制不良、网络钓鱼攻击还是简单错误。这就是适当的安全意识培训如此重要的原因。为企业员工提供所需的信息和技能,以降低恶意软件或未经授权的访问风险,并确保及时报告潜在事件。

    确保企业的员工具备正确配置他们正在使用的工具所需的技能,这只是其中的一部分。还需要灌输良好的安全意识,并制定非常明确的政策,规定谁负责以及发生潜在事件时的程序。完全防止错误是不可能的,但正确的反应可以创造一个与众不同的世界。

    (3)尽早包含安全性

    对于任何试图保护云计算平台的人来说,部分问题在于他们通常会将安全性改造为在设计时很少考虑的系统。负责安全的人往往努力说服压力不足的团队改变他们的流程。部门之间的障碍可能导致怨恨和抵制。

    企业引入安全性并消除障碍是向DevSecOps转变的一部分,DevSecOps允许从任何项目的开始设计安全性。这可能是一个雄心勃勃的目标,但在任何讨论中尽早包含安全性的基本原则是有效的,无论是采用新工具,开发软件,还是云计算架构的变更。

    (4)持续监控

    创建云计算的快照,并精确映射数据在任何给定时刻的位置只是基础,企业还需要不断警惕以应对产生的问题。数据应始终加密,应严格控制访问,监控流量,并尽快识别和修复漏洞。

    企业需要持续监控网络,并持续提供有关潜在威胁的新信息。确保标记可疑行为,以便可以发现恶意内部人员以及未经授权的访问。为任何数据修改或删除构建清晰的审计路径。企业发现问题的速度越快,解决问题的机会就越大。

    (5)定期测试

    与流行的看法相反,将数据转移到云中并不会将责任转移到云计算提供商。如果发生数据丢失,企业仍将承担监管处罚、丧失用户信任,以及所有其他相关后果的责任。这就是为什么企业必须对合作伙伴进行尽职调查并确保他们完全理解合规的意义的原因。

    唯一可以确保企业内部和外部防御工作正常的方法就是测试。应该规划和实施定期测试程序,其中包括从渗透测试到模拟网络钓鱼攻击的所有内容。创建反馈循环并激发新兴威胁是确保企业的安全系统快速发展的最佳方法,但不要忘记将测试与可操作的补救建议联系起来,使企业的团队能够进行必要的更改。此外,不要忘记文档的安全。

    云计算安全需要深入挖掘,每个组织的网络和业务都各不相同,但这些指导原则应该对其有益。

    展开全文
  • 第8章中间件与云计算安全 ;学习任务;学习任务;第8章 中间件与云计算安全;第8章 中间件与云计算安全;第8章 中间件与云计算安全;8.1 中间件技术安全;8.1 中间件技术安全;8.1 中间件技术安全;8.1 中间件技术安全;8.1 ...
  • PAGE 1 云计算安全规划方案 云计算安全规划方案 随着信息化对低成本海量数据存储和大规模并行计算的需求快速增长云计算应运而生它是基于互联网的新型 IT 服务提供架构是利用集群计算能力通过互联网向公众提供服务的...
  • 互联网与信息安全 云计算及其安全 摘要在信息高速发展信息处理技术呈几何增长的今天计算机现有有的基本模式已 经不能应对当前大量的信息处理速度为了解决这一问题云计算顺应时代潮流应运而生 这篇文章简述了云计算的...
  • 云计算与云计算安全

    2012-06-09 13:47:05
    云计算与云计算安全 期刊文章 综述文章 适合了解阅读
  • 云计算安全性分析.pdf
  • 云计算安全

    2013-06-16 17:53:46
    云计算已广泛应用于计算机各领域,获得了令人瞩目的成就,其中尤以亚马逊、谷歌等公司提供的...在高德纳(Gartner)、Novell等公司发布的研究报告中也表明云计算安全问题将成为公司部署云服务时首先需要考虑的因素。
  • 云计算安全架构

    2018-06-03 09:33:46
    云计算安全可以促进云计算创新发展,将有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等很多问题 。下一代安全使用各种服务来控制和保护基础设施数据。应用程序防火墙、基于API的安全以及网络...
  • 云计算安全性问题,长久以来一直占据了人们的视线,业界普遍把安全性问题列为用户对云计算的最大的质疑之一。安全性问题是否是云计算发展不可逾越的障碍?我们试图从三个层次理解这个问题:  云计算服务提供商的...
  • 云计算安全性问题是当今云计算技术推广落地中遇到的最重要和最困难的问题之一。本文将从云计算安全性中的信息安全部分进行阐述,通过对云计算和云计算中信息安全的基本内容进行描述,对当前的云计算信息安全问题进行...
  • 云计算安全架构模式

    2014-12-25 09:29:17
    随着云计算服务的广泛使用, 租户对云计算安全性提出了越来越高的要求, 云计算环境的动态性、 随机 性、 复杂性和开放性使得原有安全方案难以适用, 这也阻碍了云计算的进一步发展与应用. 文中在分析云计算服务 ...
  • 云计算作为一个新名词,人们甚至还没有弄清楚它的确切...第二部分涉及广义的云计算安全问题,即可靠和可用;第三部分介绍云计算对传统信息安全领域的影响;第四部分讨论解决云计算安全问题的措施;第五部分是结语。
  • 云计算 安全

    2014-01-08 11:33:15
    云计算诞生之日起,其安全问题就一直为业界所关注。 IDC在2008年10月发布的关于企业IT主管的意向调查报告中,安全成为他们在考虑将云计算引入企业时面临的最大挑战。总的来说,云安全主要涉及两个 领域的问题,一...
    自云计算诞生之日起,其安全问题就一直为业界所关注。 IDC在2008年10月发布的关于企业IT主管的意向调查报告中,安全成为他们在考虑将云计算引入企业时面临的最大挑战。总的来说,云安全主要涉及两个 领域的问题,一个是数据隐私,一个是系统安全。今天我们主要说的是数据安全!

    数据隐私问题是云计算这种新兴的服务模式无法回避的问题。虽然云计算从服务提供方式上可以划分为IaaS(基础设施即服务)、PaaS(平台即服务)和 SaaS(软件即服务)3个层次,但是在本质上,它们都是将数据中心外包给云计算服务提供商的模式。因此,如何保证用户数据的私密性及如何让用户相信他们 的数据能够获得必要的隐私保护是云计算服务提供商需要特别关注的问题。

    对数据映射的保护是云计算服务能够被大众广泛认可并获得深入推广的必要前提,它要求为用户交付的服务的每一个环节都能得到安全性保证。

    在数据传输方面,传统的企业数据中心中保存了大量代表企业核心竞争力的私密数据,如企业的客户信息、财务信息、关键业务流程等,这些数据是企业的命脉。在 云计算模式下,这些数据通过网络传递给云计算服务提供商进行处理,它面临的问题主要是如何确保企业的数据在网络传输过程中不被窃取、修改,或者即使被窃取 也不会泄露企业的有用信息,这就需要对网络监测技术和数据加密技术进行深入研究,同时在网络传输过程中对用户进行严格的权限认证,以确保只有合法的数据访 问发生,保证数据的完整性。

    在数据存储方面,数据隐私是传统企业数据中心的关键所在,包括数据的存储位置、数据的隔离、数据的灾难恢复等。在云计算模式下,云计算服务提供商在高度整 合的大容量存储空间上为企业开辟出一部分存储空间供其使用,但用户并不清楚自己的数据被放置在哪一台服务器上,甚至根本不了解这台服务器放置在哪个地方, 已经服务器所在地是否有相关政策从而导致信息泄露,这需要云计算服务提供商要能保证数据之间的合同约定。

    在数据审计方面,为了保证数据的准确性,传统的企业内部数据管理方式往往会引入第三方认证机构进行审计或认证。在云计算模式下,企业的审计需要借助云计算 服务提供商的配合,这要求云计算服务提供商必须能在确保不对其他用户的数据和相关计算带来风险的前提下为第三方机构提供必要的信息支持,满足用户企业的数 据审计需求。另外,云计算服务提供商的服务提供资质必须获得认证,以确保在提供有效的云计算服务的同时不损害用户的利用,否则,一家技术实力弱、难以长期 存在的云计算服务提供商将在企业营业云计算时引入更高的安全风险。

    转自:http://blog.people.com.cn/article/1378277820042.html
    展开全文
  • 看着微软、Google、亚马逊、Salesforce的巨大成功,人们对云计算的质疑声越来越少、越来越弱,云计算作为IT发展...
  • 根据IDC在2009年年底发布的一项调查报告显示,云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。该三大挑战排名同IDC于2008年进行的云计算服务调查结论完全一致。2009年11月,ForresterResearch...
  • CCSK云安全认证-M3-管理云计算安全性和风险

    万次阅读 多人点赞 2020-03-07 23:57:27
    CCSK-M3-管理云计算的安全性和风险一.云计算安全治理与风险管理1.1 治理1.2 云治理工具二. 企业风险管理2.1 企业风险管理2.2 服务模式和部署方式的影响2.3 云风险管理的工具三.法律问题,合同和电子举证四.合规和...


    一.云计算安全治理与风险管理

    1.1 治理

    管理云计算时要记住 的首要问题是,一个组织永远不能外包治理的责任,即使是使用外部供应商的情况下。 无论采用云计算或不采用云计算服务,这都是正确的
    云计算影响治理关系:
    在公有云及托管私有云的情况下,要引入对第三方过程管理
    在私有云的情况下可能改变内部的治理结构

    1.2 云治理工具

    与任何其他领域一样,也有用于治理的特定管理工具。下列几项侧重于外部云服务提供者的管理工具,但这些工具通常也可以运用在在内部私有化部署的环境下

    1.2.1 合同

    • 管理的主要工具是云提供商和云客户之间的合同(对公有云和私有云都一样)

    • 合同是把一切都变成法律条款,从而保障任何服务水平或承诺不会违约的唯一方式。

    • 合同是将治理扩展到业务合作伙伴和服务提供者的主要工具。

    1.2.2 供应商(云提供商)评估

    • 这些评估是云客户利用可用的信息和允许的流程/技术, 来对潜在的云提供商进行考核的方法。

    1.2.3 合规报告

    • 合规报告包括供应商内部(即自身)和外部合规评估的所有文件

    • “云安全联盟 STAR 注册”可以用来看做是一种保证程序,它提供了一系列文件 注册表信息,供云提供商基于 CSA
      的云控制矩阵(CCM)和(CAIQ)开展通用评估 的报告。一些云服务提供商还披露额外的认证信息和评估文件(包括自我评估)。


    二. 企业风险管理

    2.1 企业风险管理
    • 企业风险管理(ERM)是组织对所有类型风险的全面管理。与治理一样,合同定义了云服务提供商和云客户之间的风险管理的角色和职责。

    • 与治理一样,你永远不能外包你的整体责任,你必须承担对外部供应商的风险管理的职责

    • 云环境下,风险管理是基于责任共享模型的,对某些风险来说,云提供商承担一定的责任,而云客户要承担比这个范围更 大的风险责任。云客户对风险的所有权负责,他们只是向云服务提供商的传递了一些风险管理的要求。

    • 迁移到云端不会改变你的风险承受能力,它只 是改变了管理风险的方式。

    2.2 服务模式和部署方式的影响

    不仅需要考虑选择不同的云服务提供商,而且在云服务的交付模式上,也必须注 意不同的服务模式和部署模式是如何影响风险的管理、治理和能力的。
    2.2.1 服务模式

    • 软件及服务Saas
      合同谈判的重要性都是SaaS服务最明显的例子

    • 平台即服务Pass
      客户必须在确定云服务商的合同约定方面,有效地提出了控制或支持所需的水平能力,以满足治理或风险管理的要求,同时PAAS提供商需收集一些必要的数据来证明符合SLA要求的达成情况

    • IAAS基础设施服务

      基础设施即服务的云模式最接近传统的数据中心服务(甚至就是一个传统的外包 管理数据中心服务

    2.2.2 部署方式

    • 公有云环境

      运维治理能力减少,流量,日志等运行商不会公布,在用户看来,相对应的资金投入会进行减少。

      合同谈判能力减少(标准化的产品只能按照云提供商的定义而定义,没有可谈判的空间,以同样的合同模板应对多租户的需求是公有云的自然属性云供应商不能调整为每一个 云客户运行使用一套流程,定制一组资源的合同和操作。适应不同的客户需求,是会增加成本的;云供应商需要权衡,而且这往往是使用公有云和私有云之间的分界线。

      举一个例子:类似航运服务。当你使用一个普通的运营商/供应商,你无法定义他 们的业务模式。而你需要把你的敏感文件包委托给他们交付,希望他们履行安全义务, 并满足预期的服务水平协议要求共享责任模型

    • 私有云环境
      组织内部的私有云的治理模式一般是通过内部服务水平协议(企业或其他组织单 位)并提供访问云服务和计费的模式。
      公共云并不是影响风险治理的唯一模式,私有云也会产生影响。如果一个组织允许第三方拥有和/或管理私有云(这是很常见的),这种情况下的风险治理情况与任何 其他的外包供应商都是类似的。通过合同中规定双方的义务和责任是非常重要的。

    • 社区/混合云环境

      在考虑混合云环境时,治理策略必须考虑由云提供商的合同和该组织的内部治理 策略共同组成的最小的公共控制措施集。云消费者同时采用两个云环境或数据中心的 服务。在这两种情况下,整体治理是这两种模式的交集

      由于社区云是多个组织共享的不对外开放的平台,它的治理延伸到各个社区成员 之间的关系,而不仅仅是云供应商和云客户。混合了公有云和托管私有云的治理要求,可以利用合同和其他治理工具,参考一定规模的公有云提供商的模式,但是基于社区 的方式进行调整,如托管私有云模式。这也包括社区成员关系,财务关系,以及如何 响应成员离开社区时的控制方式。

      2.2.3 云风险管理的权衡

      少:
      需要管理提供接受的风险
      管理控制资产
      多:
      依赖SLA和合同
      管理好供应商的关系并保持最新
      用评估代替测试

    2.3 云风险管理的工具

    风险管理的核心方法依然是管理、转移、接受或规避风险,但一切都应从正确的评估开始。

    2.3.1 对供应商的评估为云风险管理计划奠定了基础:

    • 请求或获取的文件。

    • 审查其安全程序和文件。

    • 审查供应商和相关的任何法律、法规、合同和管辖要求。

    • 在你的信息资产范围内评估合同中的服务要求。

    • 评估云提供商的整体情况,如财政稳定,信誉,和外包商管理等。

    • 不要假定来自某一特定提供商的所有服务都符合相同的审核/评估标准,它们是会 变化的。

    • 如果可能的话,应定期安排评估或采取自动评估的方式。

    2.3.2 相关建议

    • 根据选定的云部署和服务模型确定安全和风险管理的责任共担模型

    • 参考相关行 业最佳实践、国际标准和法规,开发一个云治理框架/模型,例如 CSA CCM、COBIT 5、NIST RMF、ISO /
      IEC 27017、HIPAA、PCI DSS、欧盟 GDPR 等。

    • 了解合同是如何影响您的治理框架/模型的

    • 在签订协议之前获得和审查合同

    • 不要假设您可以有效地与云提供商协商合同,但这也不一定阻止您使用该提供商。

    • 如果合同不能有效协商,并且你认为具有无法接受的风险,那么考虑采用其他机制来管理这种风险(例如监控或加密)。

    • 云提供商应提供云客户所需的文档和报告。例如,CSA STAR 注册表。

    • 风险要求应与所涉及的具体资产和这些资产的风险承受能力相一致。

    • 建立一种具体的风险管理和风险接受/缓解方法,以评估每个解决方案的风险。

    • 控制剩余风险。如果仍然存在剩余风险,选择接受或规避风险。

    • 基于资产类型(例如与数据分类相关联)、云的使用情况和管理情况,使用工具跟踪已批准的供应商。


    三.法律问题,合同和电子举证

    • 法律问题
      适各大洲的国家都建立了有时相互冲突的数据保护制度。 这样的结果就是,在多个地区运营的云提供商和云用户难以满足合规性要求。在许多 情况下用的法律要求应针对不同司法管辖区域,最广泛的吸收多种法律主体和框

    • 云服务协议(合同)
      云合同的目的是准确地描述各方的理解。众多的注意事项和措施可以减少当事人 使用云服务中暴露在法律,商业接触,和声誉风险的不利影响。

    • 电子举证
      云计算将成为诉讼或调查中所需要的电子化存储信息的仓库,云服务提供商 和他们的客户必须仔细规划如何识别案件涉及的所有文档,为了能够满足联邦民事诉 讼规则中电子证据发现条款的严格要求,各州也要与这些法律条款相吻合。


    四.合规和审计

    4.1 云计算上的合规和审计挑战

    当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。

    云计算所拥有的分布式和虚拟化的特性,使得原本基于确定目标和物理实 体的信息和过程的监管方法需要进行 重大的框架调整。云服务供应商和用户以及监管和审计机构在面对组织合规性的外部审计时面临很大挑战

    理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。云计算用户、审核机构和供应商务必考虑并且理解以下几点:

    • 针对特定的云服务或者服务提供商的监管的影响,对适用跨境或者多管辖权的事例给予特别关注。

    • 云服务提供商和客户的合规责任分配,包括间接提供商(如:你所采用云服务提供商的云服务提供商)。这包括合规继承的概念,其中提供商可能有他们服务的 一部分被认证为合格,这部分可以从客户的审核范围中剔除,但客户仍然对建立 在顶层的供应商的合规性负责。

    • 云服务提供商证明其合规的能力,包括及时的文档生成、证据产生以及过程合规性。

      一些附加的云服务特定的问题需要特别关注,包括以下几点:

       	1.供应商审核和认证的作用以及如何影响客户审核(或评估)范围。
       	2.了解云提供商的哪些功能和服务属于审核和评估的范围。
       	3.随着时间的推移管理合规性和审计。
       	4.与可能缺乏云计算技术经验的监管和审核机构合作。
       	5.与可能缺乏审核或合规性经验的供应商合作。
      
    4.2 云对合规的改变

    合规性在云服务中是一个共享责任模式。云服务供应商和客户都 有责任,但客户始终对自己的合规性负责。这些责任是通过合同、审核/评估和具体的 合规性要求的细节来确定的

    4.2.1 准入型审计

    许多云供应商被各种法规和行业要求认证,准入型审计是合规性继承的一种形式。在这个模型中,云供应商的所有或者某些基础设施和服务依照合规标准进行审核。供应商承担这些认证的成本和并维护认证。对供应商进行审计,包括准入型审计,都需要了解其局限性:

    • 这些审计证明供应商是合规的。

    • 在云服务上建立合规的应用程序和服务仍然是客户的责任。

    • 这意味着供应商的基础设施/服务不在客户审核/评估范围之内。但客户建立自己的一切仍在审计范围内。

    • 客户为他们自己所建立和维护的,承担最终的合规责任。

    • 云计算的元结构可能跨越司法管辖区,数据/资产则不能,这必须纳入合规活动

      4.2.2 相关建议

    • 合规、审核和保证应该是持续性的。

      云供应商应该:

    • 清楚地传达他们的审计结果、认证和证明

    • 云供应商必须随时间变化维护其认证/证明并主动沟通任何状态变化。云供应商应参与持续遵守措施,避免为客户造成任何差距,从而暴露风险。

    • 为客户提供通常需要的合规所需的证据及文件,如客户不能自行收取的管理活动日志

      云客户应该:

    • 在部署、迁移或开发云技术之前,明确全部合规义务。

    • 评估提供商的第三方认证和认证,并将其与合规性要求保持一致。

    • 了解评估和认证的范围,包括涵盖的控制和系统特性/服务。

    • 尝试选择具有云计算经验的审核人员,尤其是当准入型审计和认证会被用于客户审计范围的情况下。

    • 确保他们了解供应商提供的合规性证据,并有效地收集和管理这些证据。当供应商的证据不充足时,创建和收集自己的证据。

    • 云安全联盟云控制矩阵可以支持提供云供应商的注册表、相关的遵从性要求以及当前的状态。


    五.CSA 工具

    5.1 CCM、CAIQ简介

    CCM
    CMM(云安全控制列表)分为 16 个域,133 个控制项。CCM 将云安全控制映 射到通用的合规框架、法规和标准,为这些控制构建通用语言。(包括标准 HIPAA/HITECH, PCI, …),它有助于构建云安全需求列表,并帮助您评估和部署程序, 同时指导云服务提供者和云消费者。总的来说:CCM 告诉你做什么,而指南告诉你怎 么做。

    CAIQ
    CAIQ(共识评估问卷),云提供者的标准问卷,直接与 CCM 保持一致。许多提 供者在 CSA STAR 注册表中预先填写并公开。

    展开全文
  • 中国移动云计算安全思考中国移动云计算安全思考
  • 云计算安全需求分析与网络一、云计算安全概念与威胁分析1.1云计算基本概念1.2云计算安全分析1.2.1云“端”安全威胁1.2.2云"管”安全威胁1.2.3云计算平台安全威胁1.3云计算安全要求二、云计算服务安全需求2.1云计算...
  • 云计算平台的安全性分析.pdf

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 100,933
精华内容 40,373
关键字:

云计算的安全性