云计算安全架构与标准调研报告
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据安全
云数据安全涉及到: 数据导入导出以及云内迁移(数据污染、数据泄露)
• 访问控制 • 加密
• 数据库和文件审计系统(数据活动监测(DAM,Database Activity Monitoring ) 和文件活动监测(FAM,File Activity
Monitoring ))
• DLP系统 • URL过滤
访问控制
NIST:《公共云计算中安全域隐私》(标准草案),《通用云计算环境》(标准草案)
DMTF:《云管理体系结构》(白皮书)
安全的云
ISO/IEC:《云计算安全与隐私管理系统》(标准草案)
虚拟运行环 境安全
ISO/IEC:《ISO/IEC DIS 17203》—虚拟机迁移(标准草案) NIST: 《完全虚拟化技术安全指南》(标准), 《云计算安全障碍与缓和措施》(标准 草案)
云风险评估
NIST:《云计算安全障碍与缓和措施》(标准草案) ENSIA:《云计算--信息安全保障框架》,《云计算--信息安全的好处,风险和建议》
数 据 安 全 与 NIST:《云计算安全障碍与缓和措施》(标准草案)
可信的云 数据隐私 云审计
CSA: 《如何保护云数据》(白皮书) CSA:《云审计》(白皮书)
CSA:governance-D3 合规与审核
此外,以下标准分别代表了 ISO/IEC 和 ITU-T 发布的云安全标准: ISO/IEC 27017:云计算安全和隐私管理系统安全控制 ISO/IEC27036-x:众多标准涉及供应商关系管理信息安全,后续计划将作为云供应链的一部分纳入。 ITU-T X.ccsec:通信领域云计算安全指引 ITU-T X.srfcts:基于云的通信服务环境安全要求和框架(X.srfcts) ITU-T X.sfcse :软件即服务(SaaS)应用环境安全功能要求
云漏பைடு நூலகம்扫描
虚拟运行环境安全
云DDoS/EDoS检测
云安全风险评估 云安全防御
可靠的云
云容错 云容灾
云备份 富云(云联盟)
云 云安 安全 全体 术系 语架
构
已有标准 已有白皮书
待开发
5
云安全分类 安全子类
相关组织、标准(白皮书)
NIST:《云计算参考体系》(标准)
云安全体系
CSA: 《云计算关键领域安全指南》(白皮书)
云计算安全 架构与标准调研报告
1
综述
云计算
比较深入 持续研究和开发中
= 计算云 + 桌面云 + 网络云 + 应用云 + 存储云
云安全
=
移动安全
+ 云数据中心安全
移动互联网安全 =
移动安全
+ 数据中心安全
互联网安全 =
设备、软件、数据、隐私的安全
2
云计算安全架构与标准
3
国际云计算安全标准制定机构及标准建议组织
国际比较具有影响力的云计算安全标准建议组织: 云安全联盟(CSA) 分布式管理任务组(DMTF) 结构化信息标准促进组织(OASIS)
4
SaaS PaaS
IaaS
可控的云
云用户行为监控
云内容安全监控
可信的云 可信云基础设施
云审计
数据安全与隐私保护 云信誉管理
安全 云身份认证与访问控制 的云
CSA:governance-D4 信息管理与数据安全
数据存放位置:离 散的
访问数据的方式:多 样化的
访问
处理
存储
CSA:governance-D4 信息管理与数据安全
信息治理
信息治理包括管理信息用途的策略和流程,有如下主要特征: 信息分类
高阶描述重要信息的分类。与数据分类不同,其目标不是为组织 的每一个信息打标签,而是 定义高阶分类,如“受控的”和“商业 秘密”等用于明确需要的安全措施。
国际主要的云安全标准制定机构: ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) 国际电信联盟--电信标准化部(ITU-T) 美国国家标准技术研究所(NIST) 区域标准组织(美国)CIO委员会 欧洲网络与信息安全管理局(ENISA ) 开放式组织联盟(TheOpenGroup)
可靠的云 可控的云 云for安全
云容灾与数 据备份
云内容管理
NIST:《云计算安全障碍与缓和措施》(标准草案)
ISO/IEC:《ISO/IEC IDS 13187》—一种多虚拟机管理通信协议(标准草案) DMTF:《云管理体系结构》(白皮书),《云管理用例与交互》(白皮书) NIST:《云计算安全障碍与缓和措施》(标准草案)
数据传输安全 加密:客户端/应用程序加密、网络加密、代理加密
云内数据安全
• 内容过滤(属于DLP系统的一部分) • 块存储(卷)加密(秘钥存放在卷内,存放在卷外,代理加密) • 对象存储加密(文件/文件夹加密、数字版权加密、客户端/应用程序加密、代理加密) • 数据库加密
6
CSA:https://cloudsecurityalliance.org/
CSA:云计算部署模型、服务模型与关键特性
+
Jericho Forum:www.jerichoforum.org
OpenCrowd:云计算服务类别
CSA:云计算安全的职责划分
CSA:云计算13关键域安全指南(governance)
信息管理策略 策略用于定义各类信息被允许的操作。
位置及合规要求 数据可被存放的地理区域,以及这个区域的重要法律法规等。
授权 定义各类员工和用户允许访问的信息。
所有者 谁最终应对信息负责。
保管职责 在信息所有人所遗留下来的信息中,谁该为管理这些信息承担责 任。
CSA:governance-D4 信息管理与数据安全
CSA:云计算13关键域安全指南(operation)
CSA:governance-D1 公司治理与企业风险管理 公司治理的五项原则
CSA:governance-D2 法律问题
将数据迁移到云后引发的法律问题 云服务协议需要考虑的法律问题
CSA:governance-D3 合规与审核
合规更多关注是企业的外部,治理则更多关注企业内部
架构及术语
ITU-T:《电信领域云计算安全指南》(标准草案)
TheOpenGroup:《云安全和SOA参考架构》(标准)
OASIS:《身份在云中的使用》(白皮书)
CSA:《云控制矩阵》(白皮书),《身份管理与接入控制指导建议书》(白皮书), 《云
身 份 隐 私 与 计算安全障碍与缓和措施》(白皮书)
云数据安全涉及到: 数据导入导出以及云内迁移(数据污染、数据泄露)
• 访问控制 • 加密
• 数据库和文件审计系统(数据活动监测(DAM,Database Activity Monitoring ) 和文件活动监测(FAM,File Activity
Monitoring ))
• DLP系统 • URL过滤
访问控制
NIST:《公共云计算中安全域隐私》(标准草案),《通用云计算环境》(标准草案)
DMTF:《云管理体系结构》(白皮书)
安全的云
ISO/IEC:《云计算安全与隐私管理系统》(标准草案)
虚拟运行环 境安全
ISO/IEC:《ISO/IEC DIS 17203》—虚拟机迁移(标准草案) NIST: 《完全虚拟化技术安全指南》(标准), 《云计算安全障碍与缓和措施》(标准 草案)
云风险评估
NIST:《云计算安全障碍与缓和措施》(标准草案) ENSIA:《云计算--信息安全保障框架》,《云计算--信息安全的好处,风险和建议》
数 据 安 全 与 NIST:《云计算安全障碍与缓和措施》(标准草案)
可信的云 数据隐私 云审计
CSA: 《如何保护云数据》(白皮书) CSA:《云审计》(白皮书)
CSA:governance-D3 合规与审核
此外,以下标准分别代表了 ISO/IEC 和 ITU-T 发布的云安全标准: ISO/IEC 27017:云计算安全和隐私管理系统安全控制 ISO/IEC27036-x:众多标准涉及供应商关系管理信息安全,后续计划将作为云供应链的一部分纳入。 ITU-T X.ccsec:通信领域云计算安全指引 ITU-T X.srfcts:基于云的通信服务环境安全要求和框架(X.srfcts) ITU-T X.sfcse :软件即服务(SaaS)应用环境安全功能要求
云漏பைடு நூலகம்扫描
虚拟运行环境安全
云DDoS/EDoS检测
云安全风险评估 云安全防御
可靠的云
云容错 云容灾
云备份 富云(云联盟)
云 云安 安全 全体 术系 语架
构
已有标准 已有白皮书
待开发
5
云安全分类 安全子类
相关组织、标准(白皮书)
NIST:《云计算参考体系》(标准)
云安全体系
CSA: 《云计算关键领域安全指南》(白皮书)
云计算安全 架构与标准调研报告
1
综述
云计算
比较深入 持续研究和开发中
= 计算云 + 桌面云 + 网络云 + 应用云 + 存储云
云安全
=
移动安全
+ 云数据中心安全
移动互联网安全 =
移动安全
+ 数据中心安全
互联网安全 =
设备、软件、数据、隐私的安全
2
云计算安全架构与标准
3
国际云计算安全标准制定机构及标准建议组织
国际比较具有影响力的云计算安全标准建议组织: 云安全联盟(CSA) 分布式管理任务组(DMTF) 结构化信息标准促进组织(OASIS)
4
SaaS PaaS
IaaS
可控的云
云用户行为监控
云内容安全监控
可信的云 可信云基础设施
云审计
数据安全与隐私保护 云信誉管理
安全 云身份认证与访问控制 的云
CSA:governance-D4 信息管理与数据安全
数据存放位置:离 散的
访问数据的方式:多 样化的
访问
处理
存储
CSA:governance-D4 信息管理与数据安全
信息治理
信息治理包括管理信息用途的策略和流程,有如下主要特征: 信息分类
高阶描述重要信息的分类。与数据分类不同,其目标不是为组织 的每一个信息打标签,而是 定义高阶分类,如“受控的”和“商业 秘密”等用于明确需要的安全措施。
国际主要的云安全标准制定机构: ISO/IEC 第一联合技术委员会(ISO/IEC JTC1) 国际电信联盟--电信标准化部(ITU-T) 美国国家标准技术研究所(NIST) 区域标准组织(美国)CIO委员会 欧洲网络与信息安全管理局(ENISA ) 开放式组织联盟(TheOpenGroup)
可靠的云 可控的云 云for安全
云容灾与数 据备份
云内容管理
NIST:《云计算安全障碍与缓和措施》(标准草案)
ISO/IEC:《ISO/IEC IDS 13187》—一种多虚拟机管理通信协议(标准草案) DMTF:《云管理体系结构》(白皮书),《云管理用例与交互》(白皮书) NIST:《云计算安全障碍与缓和措施》(标准草案)
数据传输安全 加密:客户端/应用程序加密、网络加密、代理加密
云内数据安全
• 内容过滤(属于DLP系统的一部分) • 块存储(卷)加密(秘钥存放在卷内,存放在卷外,代理加密) • 对象存储加密(文件/文件夹加密、数字版权加密、客户端/应用程序加密、代理加密) • 数据库加密
6
CSA:https://cloudsecurityalliance.org/
CSA:云计算部署模型、服务模型与关键特性
+
Jericho Forum:www.jerichoforum.org
OpenCrowd:云计算服务类别
CSA:云计算安全的职责划分
CSA:云计算13关键域安全指南(governance)
信息管理策略 策略用于定义各类信息被允许的操作。
位置及合规要求 数据可被存放的地理区域,以及这个区域的重要法律法规等。
授权 定义各类员工和用户允许访问的信息。
所有者 谁最终应对信息负责。
保管职责 在信息所有人所遗留下来的信息中,谁该为管理这些信息承担责 任。
CSA:governance-D4 信息管理与数据安全
CSA:云计算13关键域安全指南(operation)
CSA:governance-D1 公司治理与企业风险管理 公司治理的五项原则
CSA:governance-D2 法律问题
将数据迁移到云后引发的法律问题 云服务协议需要考虑的法律问题
CSA:governance-D3 合规与审核
合规更多关注是企业的外部,治理则更多关注企业内部
架构及术语
ITU-T:《电信领域云计算安全指南》(标准草案)
TheOpenGroup:《云安全和SOA参考架构》(标准)
OASIS:《身份在云中的使用》(白皮书)
CSA:《云控制矩阵》(白皮书),《身份管理与接入控制指导建议书》(白皮书), 《云
身 份 隐 私 与 计算安全障碍与缓和措施》(白皮书)