精华内容
下载资源
问答
  • CSA云计算安全技术要求PaaS安全技术要求.pdfCSA云计算安全技术要求PaaS安全技术要求.pdfCSA云计算安全技术要求PaaS安全技术要求.pdfCSA云计算安全技术要求PaaS安全技术要求.pdfCSA云计算安全技术要求PaaS安全技术...
  • CSA云计算标准化白皮书,包括云计算概述、云计算支撑技术分析、云计算应用情况分析、国际云计算标准化工作、国内云计算标准化工作和如何实施云计算等内容。
  • CSA云计算安全技术要求 SaaS安全技术要求.pdfCSA云计算安全技术要求 SaaS安全技术要求.pdfCSA云计算安全技术要求 SaaS安全技术要求.pdfCSA云计算安全技术要求 SaaS安全技术要求.pdfCSA云计算安全技术要求 SaaS安全...
  • CSA云计算安全技术要求 总则.pdfCSA云计算安全技术要求 总则.pdfCSA云计算安全技术要求 总则.pdfCSA云计算安全技术要求 总则.pdfCSA云计算安全技术要求 总则.pdfCSA云计算安全技术要求 总则.pdfCSA云计算安全技术...
  • 云计算关键领域安全指南的第四个版本是建立在之前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之 上的。该版本集成了云、安全性和支持技术方面的进展,反映了现实世界的云安全...
  • CSA云计算安全技术要求-IaaS安全技术要求 CSA云计算安全技术要求-IaaS安全技术要求
  • 2017年7月28日,CSA国际云安全联盟在广州举办CSA云计算关键领域安全指南V4.0》(简称:《云安全指南》4.0)发布会。 《云安全指南》第1版在2009年4月1日发布,也就是在2009年的RSA会议上CSA成立后的第一个月。...

    飞絮  赛博朔方

          2017年7月28日,CSA国际云安全联盟在广州举办CSA《云计算关键领域安全指南V4.0》(简称:《云安全指南》4.0)发布会。


         《云安全指南》第1版在2009年4月1日发布,也就是在2009年的RSA会议上CSA成立后的第一个月。在当时尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,《云安全指南》高屋建瓴而又不乏具体的策略和实施建议,无疑是其中最具影响力的。随着云计算领域的发展,CSA不断研究迭代更新发布新的标准。时隔6年,CSA在V3.01版上本同时发由V4.0中英文版。云安全指南版本发布历史如下图:

     

    《云安全指南》v4.0由CSA大中华区研究院组织志愿者进行翻译,感谢参与翻译工作的志愿者!文末提供云安全指南下载。

     


    云安全指南导读


          云计算是信息安全行业的基础,已经成为各种计算形式的后端,包括无处不在的物联网。容器化和DevOps等技术与理念已在组织内已成为IT新常态,已经与云计算密不可分,我们需要必要的安全知识来管理和减轻采用云计算技术相关的风险。


           《云安全指南4.0》相比2011年发布的《云安全指南3.0》,在结构和内容上有超过80%的更新改动。新指南从架构(Architecture)、治理(Governance)和运行(Operational)三个方面14个领域对云、安全性和支持技术等方面提供最佳实践指导。


    下面重点对第1章节:云计算概念和体系架构及第13章节:安全即服务进行导读。

                    云计算概念和体系架构


    本章是介绍云计算相关概念及本指南其他13个章节的简要说明。


    云计算一组用于管理计算资源共享池的技术,更是一种运作模式、一种商业模式。NIST 对云计算的定义中,包括了五个基本特征(资源池化、按需分配、网络获取、弹性管理、可测量服务)、三个云服务模型(IaaS/PaaS/SaaS)、以及四个云部署模型(公有云、私有云、社区云、混合云)。


    在云安全范围、职责和模型安全方面,本指南对三种云服务模型下的安全职责与角色进行了概述,更提供了用于帮助建立共享责任模式的两个工具,即共识评估问卷(CAIQ)与云控制矩阵(CCM)。同时也提供了一个简单的云安全实施流程模型。


    指南的其它13个领域概述:
    D2:治理和企业风险管理。组织治理和度量云计算带来的企业风险的能力。例如违约的判决先例,用户组织充分评估云提供商风险的能力,当用户和提供商都有可能出现故障时保护敏感数据的责任,及国际边界对这些问题有何影响等都是关注点。
    D3:法律问题:合同和电子举证。使用云计算时潜在的法律问题。本节涉及的的问题包括信息和计算机系统的保护要求、安全漏洞信息披露的法律、监管要求,隐私要求和国际法等。
    D4:合规性和审计管理。保持和证明使用云计算的合规性。本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中证明合规性的一些指导。
    D5:信息治理。治理云中的数据。本节涉及云中数据的识别和控制;以及可用于处理数据迁移到云中时失去物理控制这一问题的补偿控制。也提及其它项,如谁负责数据机密性、完整性和可用性等。
    D6:管理平面和业务连续性。保护访问云时使用的管理平台和管理结构,包括Web控制台和API。确保云部署的业务连续性。
    D7:基础设施安全。核心云基础架构安全性,包括网络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。
    D8:虚拟化及容器技术。虚拟化管理系统、容器和软件定义的网络的安全性。
    D9:事件响应、通告和补救。适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证,在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。
    D10:应用安全。保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行,如果可行,什么类型的云平台是最合适的(SaaS,PaaS,IaaS)。
    D11:数据安全和加密。实施数据的安全和加密控制,并保证可扩展的密钥管理。
    D12:身份、授权和访问管理。管理身份和利用目录服务来提供访问控制。关注点是组织将身份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。
    D13:安全即服务。提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。
    D14:相关技术。与云计算有着密切关系的已建立的新兴技术,包括大数据,物联网和移动计算。

     

    安全即服务      

    安全即服务(SecaaS)提供商提供安全能力作为云服务,这些服务不一定只用于保护云部署,他们同样有可能帮助保护传统的本地部署的基础设施。


    SecaaS的潜在优势:

    1、云计算本身带来的优势。如在成本低、敏捷、弹性。

    2、人员配置和专业知识。不用雇用、培训和保留安全相关领域的专业人士。

    3、智能共享。客户相互间共享信息情报和数据。

    4、部署灵活。服务通常可以处理更灵活,不需要复杂的硬件安装。

    5、客户无感知。如在达到客户资产前处理某些攻击。

    6、伸缩和成本。按您的成长付费,安全问题留给专家。

    SecaaS的潜在问题:

    1、能见度不足。由于安全即服务的运行是从客户中迁移过来的,因此与运行自己的操作相比,它们往往提供较少的可见性或数据。

    2、监管差异。鉴于全球监管要求,SecaaS供应商可能无法实现以确保组织在所有司法管辖区的合规。

    3、处理监管的数据。客户还需要保证根据任何合规性要求处理任何受管制数据,可能会违反在数据居住地区有限制的规定。

    4、数据泄漏。与其它任何云计算服务或产品一样,一直存在数据从一个云消费者泄漏到另一个云消费者的顾虑。

    5、更换供应商。虽然简单地切换SecaaS提供商比替换本地部署的硬件和软件可能在表面上更容易,但组织可能需要关注因锁定效应而丢失对数据的访问,包括遵守或调查支持所需的历史数据。

    6、迁移到SecaaS。对于已经具有安全操作和本地部署的传统安全控制解决方案的组织,迁移到SecaaS以及任何内部IT部门和SecaaS提供商之间的边界和接口,必须进行良好的计划、实施和维护。

     

    SecaaS的主要分类:

    1、身份,授权和访问管理服务

    2、云访问安全代理(CASB:又称云安全网关)

    3、Web安全(Web安全网关)

    4、电子邮件安全

    5、安全评估:

    1)在云中部署的资产的传统安全/漏洞评估(例如虚拟机/实例的补丁和漏洞)或本地化部署。

    2)应用安全评估,包括SAST、DAST和RASP的管理。

    3)通过API直接与云服务连接的云平台评估工具,不仅可以评估部署在云中的资产,还可以评估云配置。

    6、Web应用程序防火墙(WAF)

    7、入侵检测/防御(IDS/IPS)

    8、安全信息与事件管理(SIEM/SOC/威胁情报/态势感知)

    9、加密和密钥管理

    10、业务连续性和灾难恢复

    11、安全管理。如终端保护、代理管理、网络安全、移动设备管理等。

    12、分布式拒绝服务保护

    展开全文
  • CSA云计算安全指南.pdf

    2021-10-10 14:59:27
    CSA云计算安全指南.pdf
  • CSA云计算安全技术要求总则.pdf
  • 云安盟"云计算安全技术要求" 2016年10月发布,四标准合一文档。完整目录。 起草单位: 华为技术有限公司、 阿里云计算有限公司、 腾讯云计算(北京) 有限责任公司、 中兴通讯股份有限公司、 北京百度网讯科技有限...
  • CSA云计算安全技术要求-PaaS 安全技术要求-表格版.docx
  • CSA 云计算关键领域安全指南 v4.0 -完整中文电子版(161页).zip
  • 应用和接口安全 审计保证及合规性 业务连续性管理和操作弹性 变更控制和配置管理 数据安全和信息生命周期管理 数据中心安全 加密和密钥管理 治理和风险管理 人力资源 身份识别和访问管理 基础设施和虚拟化安全 ...
  • “危险的12大威胁:云计算的顶级威胁”案例研究分析以及相关的安全行业违规分析
  • CSA云安全指南(中文版) pdf版 云计算关键领域安全指南
  • 读《CSA云计算关键领域安全指南》

    千次阅读 2012-09-20 10:39:57
    在导师的指导下,开始看云计算领域的... 看的第一篇文章是《CSA云计算关键领域安全指南》。  恰如编者所说:我们希望这本指南将帮助您更好地了解需要什么问题、最新的建议措施、避免什么潜在的陷阱。本手册对云

        在导师的指导下,开始看云计算领域的相关文章,按老师的说法,我还太菜,暂时不用深究各种细节,看了也看不懂,主要是要对整个行业有大概的理解,能够建立起大概的框架即可。所以,文中不免有不足甚至错误,还望批评指正。


        看的第一篇文章是《CSA云计算关键领域安全指南》。


        恰如编者所说:我们希望这本指南将帮助您更好地了解需要什么问题、最新的建议措施、避免什么潜在的陷阱。本手册对云计算进行了定义,从宏观上介绍了云的特点、模型和服务,通过对云计算安全的若干安全问题重点特别是十二个关注点进行阐述,使读者对云计算安全有个更为清晰的全景图,并提出深刻的、更富针对性的建议。而这也是我阅读本手册的初衷。


    风险

        所谓安全指南,本手册首先描述了入云的风险评估。


        由于云计算提供的种类繁多的服务以及不同的云部署模型,所以,不可能用一个安全控制模型列表涵盖所有情况,各组织在云迁移和安全控制选择过程中英采取以风险为本的路线,存在很多风险评估框架用来对迁移到云计算模型进行评估。

    云架构

        云计算是一个演化中的词汇,描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。根据NIST(美国国家标准技术研究院)对云计算的定义,云计算有五个关键特征、三个服务模型和四个部署模型。模型如下图所示:


        SaaS、PaaS和IaaS之间具有很强的依赖性,IaaS是所有云服务的基础,PaaS建立在IaaS之上,而SaaS又建立在PaaS之上。而正如云服务能力的继承一样,信息安全风险和问题也可以继承,云安全的一个关键特点就是云服务提供商所在等级越低,云服务用户自己所要承担的安全能力和管理职责就越多。

    关注领域

       手册从12个方面突出了云计算安全的关注领域,包括治理和运行两部分。
    • 治理

      • 治理和企业风险管理
      • 法律和电子证据发现
      • 合规和审计
      • 信息生命周期管理
      • 可移植性和互操作性
    • 运行
      • 传统安全、业务连续性和灾难恢复
      • 数据中心运行
      • 应急响应、通告和补救
      • 应用安全
      • 加密和密钥管理
      • 身份和访问控制
      • 虚拟化
         其中治理范围更广,解决云计算环境的战略和策略,二运行这关注更战术性的安全考虑以及架构内的实现。

         其中加密和密钥管理、身份和访问控制是我关注的重点。

         强加密及密钥管理师云计算系统需要用以保护数据的一种核心机制,加密不仅仅需要加密静态数据,还需要对网络传输中的数据进行加密、对备份没接中的数据加密。除此之外,还可能需要进一步分析加密动态数据。同时,云计算的密钥管理还存在挑战,如保护蜜月存储、访问密钥存储和密钥备份和恢复等。
    展开全文
  • 2017年7月28日,国际云安全联盟(CSA)发布了《云计算关键领域安全指南V4.0》(简称:《云安全指南4.0》)。随着云计算领域的发展,国际云安全联盟(CSA)不断研究迭代更新发布新的标准。时隔6年,国际云安全联盟(CSA)将...
  • 介绍CCSK体系结构和考试大纲,梳理云计算安全知识体系
  • CSA云安全指南V4.0 D1 D2

    2021-07-28 16:16:03
    CSA云安全指南V4.0 D1 D2CSA云安全指南V4.0 D1 D2D1:云计算概念和体系架构定义云计算云逻辑模型基础设施元结构信息结构应用结构云概念、架构和参考模型IAASPAASSAAS云安全性和合规管理范围、职责和模型软件即服务...

    CSA云安全指南V4.0 D1 D2

    CSA云安全指南V4.0 D1 D2D1:云计算概念和体系架构定义云计算云逻辑模型基础设施元结构信息结构应用结构云概念、架构和参考模型IAASPAASSAAS云安全性和合规管理范围、职责和模型软件即服务平台即服务基础设施即服务共享责任云安全模型概念模型或框架控制模型或框架参考架构设计模式推荐模型云安全流程模型运行域管理域D2:治理与企业风险管理云治理的工具合同供应商评估合规报告企业风险管理(ERM)风险容忍度服务模式和部署方式的影响公有云私有云混合云评估云风险云风险管理的工具管理转移规避接受云供应商评估

    D1:云计算概念和体系架构

    定义云计算

    NIST

    云计算是一个模式,它是一种无处不在的、 便捷的、 按需的,基于网络访问的,共享使用的,可配置的计算资源 (如:网络、服务器、存储、应用和服务) 可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。

    ISO / IEC

    通过自服务置备和按需管理,实现网络可访问、可扩展的、弹性的共享物理或虚拟资源池的范式。

    创建云的关键技术是抽象和调配。我们从底层的物理基础设施中抽象出资源来创建我们的池,并使用调配(和自动化)来协调从池分割和分发各种资源到用户。正如您将看到的,这两种技术创造了我们用来定义“cloud”的所有基本特征。

    云逻辑模型

    五个基本特征、三个云服务模型、以及四个云部署模型

    展开全文
  • 云计算环境中,虚拟服务器经常成群成组的排布在一起,这就可能产生“热点”。优先采取的办法是将较高功率密度的设备迁移至特定的机柜或机柜行,与较低功率密度的设备分区布局。这样的高密度“区域部署”具有更高的...

    第1个挑战:功率密度增加

    高功率密度区域势必会面临散热难的挑战。在云计算环境中,虚拟服务器经常成群成组的排布在一起,这就可能产生“热点”。优先采取的办法是将较高功率密度的设备迁移至特定的机柜或机柜行,与较低功率密度的设备分区布局。这样的高密度“区域部署”具有更高的可预测性,并且可以确保每机柜的功率密度实现最大。

    第2个挑战:PUE恶化

    虚拟化可以大幅降低服务器能耗。但是,如果供电和制冷基础设施仍保持未进行虚拟化前的状态,则会导致PUE(能源利用率)恶化。以可扩展供电和制冷解决方案,通过对新负载“按需规划”,可显着降低这些低效表现。

    第3个挑战:宕机风险上升

    云计算数据中心的负载可能因时间和位置的不同而变化。经过高度虚拟化的云计算数据中心的负载波动可能更大。在云计算环境中,使用可预测的管理工具是保持数据中心精简、高效的安全方法。实时配合虚拟机(VM)管理器,确保供电量和制冷量与动态负载高效匹配。

    第4个挑战:采用不必要的冗余等级

    云计算数据中心配有高级别的IT容错系统,这可能会降低供电和制冷基础设施的冗余需求。将物理基础设施冗余配合虚拟化云计算环境容错特性就是按需规划的另一种形式,可以大幅降低成本。
      人工智能、大数据、云计算和物联网的未来发展值得重视,均为前沿产业,有兴趣的朋友,可以查阅多智时代,在此为你推荐几篇优质好文:
    企业为何采用云计算?主要用途是什么?
    http://www.duozhishidai.com/article-14574-1.html
    企业云计算的基本特征是什么,在建设过程中主要分为哪几个阶段?
    http://www.duozhishidai.com/article-13379-1.html
    什么是云计算技术,对云计算技术的产生、概念、原理、应用和前景又在哪里?
    http://www.duozhishidai.com/article-527-1.html


    多智时代-人工智能大数据学习入门网站|人工智能、大数据、物联网云计算的学习交流网站

    多智时代-人工智能大数据学习入门网站|人工智能、大数据、云计算、物联网的学习服务的好平台
    展开全文
  • CSA云安全指南V4.0

    2018-06-20 14:16:06
    云安全联盟CSA发布的,云安全指南V4.0版本,包括了各种要求和建议
  • CSA - 云计算的11类顶级威胁(无水印)
  • 常由云计算按需和共享的天生特征导致,最新报告按调查结果重要程度着重介绍了前11 个威胁(括号中是以往的排名): 1.数据泄露 2.配置错误和变更控制不足 3.缺乏云安全架构和策略 4.身份,凭证,访问和密钥管理不足 5...
  • 本域为云计算安全指南的其它所有部分介绍一个概念性的框架。它描述和定义了云计算,设置了我们的基本术语,并详细描述了文档其余部分中使用的总体逻辑和架构框架。
  • 在9月2日的云安全联盟高峰论坛上,CSA主席和eBay首席信息安全官Dave Cullinane为我们展示了安全之于云计算的重要意义。 在今年的RSA大会上,RSA总裁亚瑟·科维洛曾表示,当下,我们需要一个对与IT产业上云计算浪潮...
  • 云计算的技术架构与实现分析

    千次阅读 2012-03-21 00:22:26
    云计算的技术架构与实现分析 作者:Eugene 来源: MySQLOPS 数据库与运维自动化技术分享 时间:2012-02-07 23:19:31 人气:545 评论:0  标签: 云计算 引言 当前的“云计算”一词已经被神话,...
  • 云计算的顶级威胁:深度分析-CSA-2018.pdf
  • CSA资料 - 云计算的11 类顶级威胁 - 完整中文电子版(51页)pdf.zip
  • 云计算&云安全.zip

    2020-03-02 17:18:36
    4.CSA云安全指南-中文V4.0。5.云安全现状报告2018(中国云安全联盟)。6.国内外云+安全动态报告--201810--启明星辰云计算安全事业部。7.国内第一本深入剖析云计算技术的教材《云计算》。8.阿里云云计算专业认证-考试...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 817
精华内容 326
关键字:

csa云计算