云安全聯盟簡介Cloud安全實踐物聯網安全實踐IoT安全框架發布Our

Community1

0

0

,

0

0

0

+8

0

+2

0

0

9個人會員地方分會CSA

FOUNDEDSEATTLE/Bellingham,

WA

//Americas

HEADQUARTERS5

0

0

+

5

0

+SHENZHEN,

China//GCR

HEADQUARTERSBERLIN,

GERMANY

//EMEA

HEADQUARTERS研究工作組企業會員與政府、研究機構、專業協會和行業建立戰略伙伴關系CSA

research

isFREE!SINGAPORE

//ASIA

PACIFICHEADQUARTERS中科院云計算中心是中國科學院直屬的唯一一個以云計算、大數據為核心研發領域的大型研發機構，是中國科學院首次與地方政府共建的云計算專業研發機構，擁有國內首個完全自主產權的G-cloud云計算平臺，技術處于國內領先地位。SaaSPaaSIaaS私有云

Private混合云

HybridIaaSPaaSSaaS審核監督

Audit

&Monitoring身份管理

IdentityManagement數據D

ATA消費者責任應用程序

ApplicationConsumer

responsibility數據層與開發平臺Datalayer

&

developmentplatform虛擬機與操作VirtualMachines系統安全&

OS

security供應商責任Providerresponsibility管理程序安全

HypervisorsSecurity網絡與數據中心安全Network

&

Data

CenterSecurity物理安全

Physical

Security人工智能區塊鏈與分布式ICS安全物聯網云網絡事件分享密鑰管理云組件規范云控制矩陣手機應用安全云測開放認證框架開放API云安全服務管理隱私水平協議一致性評價量子安全安全即服務容器與微服務DevSecOps組織架構軟件定義邊界TOP威脅國際標準CVEERP

安全金融服務醫療保健教育工具和標準思想先驅?

啟動CSA的基礎云安全研究?

2017年7月發布第四版本?

重要的企業經驗教訓報告下載地址：ht

tps://w

w

?

領域

1:云定義

&架構?

領域

2-5:

云端治理?

企業風險管理和治理?

合法?

合規

&審計管理?

信息治理?

領域

6-14:

云端運營?

管理層面和業務連續性?

基礎設施安全?

虛擬化和存儲?

事件響應?

應用安全?

數據安全和加密?

身份管理?

安全服務?

相關技術?

為云供應鏈風險管理設計最基本的控制框架?

劃定控制所有權（供應商，客戶）?

為云供應商類型的排名提供實用性參考?

能夠作為安全態勢和遵從態勢測量的典范?

包括16個控制域，133個控制項?

包含了全球法規和安全標準與控制項的映射關系：例如：NIST,

ISO27001,COBIT,

PCI,HIPAA

,FISMA,FedRAMP

–mappingsgrowing

virally?

被政府和企業廣泛應用1.數據泄露7.高級持續性威脅8.數據丟失2.被盜用的證書以及身份管理系統3.不安全的程序接口4.系統和App漏洞5.賬號劫持9.不充分的盡職調查10.惡意使用和濫用11.拒絕攻擊服務DoS12.共享技術中的漏洞6.內部惡意人員報告下載地址：ht

tps://w

w

?

最有價值的IT認證2016

–CertificationMagazine?

云安全競爭力的衡量標準?

基于CSA的指南和云控制矩陣?

在線考試?

不斷涌現關于云安全，風險管理和審計的需求第一級----自我評估云廠商在CSA官網注冊并提交自評估報告。第二級----第三方認證由第三方機構進行認證，確保云廠商滿足CSA云安全控制矩陣CCM要求。例如:

CSASTAR和C-STAR認證第三級----持續監控云廠商公布基于CSA云計算信任協議（TheCloudTrust

Protocol，CTP）的安全監控結果，對云服務相關安全要求進行持續的審計和評估。針對云廠商安全管理的一種嚴格的第三方獨立評估。該評估主要參考GB/T

22080-2008管理體系標準及CSA云控制矩陣（CloudControl

Matrix）的要求，以及29個國標GB/T

22239-2008（信息安全技術—信息系統安全等級保護基本要求）和GB/Z

28828-2012（信息安全技術—公共及商用服務信息系統個人信息保護指南）的相關控制措施?

安全和規模效益?

更及時的發布更新與有效的默認安全配置規模越大，實施安全控制的成本越低?

安全導致市場差異化通過默認加固的鏡像模板管理安全基線比傳統修補模式更及時的發布更新標準化的安全管理接口安全性成為云消費者的首要考慮事項?

快速智能的資源伸縮?大型云提供者的安全管理能力可以通過標準接口對外開放資源伸縮使安全防御措施也具備彈性?

審計和取證?

審計和SL

A促進更好的風險管理需要量化SL

A中各種風險場景的處罰以及安全漏洞對聲譽的可能影響，激發更為嚴格的內部審計和風險評估程序虛擬鏡像取證減少停機時間更具成本效益的云日志存儲?

資源集中的優勢每單位資源更便宜的物理邊界限制和物理訪問控制需求調研什么系統要上云，涉及哪些數據、密級如何、是結構化數據還是非結構化數據、數據量有多大，系統對環境及硬件資源的要求是什么（CPU、內存、網絡、I/O的要求都是什么樣的，分別需要多少資源），業務系統的SLA要求都是什么……廠商選型廠商規模與技術實力、公開的故障與歷史可用性、廠商整體經營風險、廠商的安全合規狀況、標桿客戶、業界口碑、互換性與可移植性（廠商瑣定的風險）、是否可以協商合同（包括SLA、保密協議等）……傳統企業安全：基于防火墻的邊界防御?

Firewall防火墻?

IDS

入侵檢測?

IPS

入侵防護?

…行業趨勢

—

變革變革1：云/移動/IoT等新技術出現讓企業數據不再局限

變革2：APT攻擊、勒索病毒等黑客技術的演進以及WIFI/5G在墻內，傳統安全邊界在瓦解等無線方式接入，讓企業內網不再100%安全防火墻等邊界防御設備WIFI/5G接入移動、IoT內網服務器企業應用移動、IoT

…行業趨勢

—

變革企業安全無法再100%依賴防火墻，國際云安全聯盟CSA定義了萬物互聯代的網絡安全模型Software-Defined-Perimeter(SDP)

軟件定義邊界SDP有效防止十大安全威脅*1.

數據泄露SDP入選《

2017年11大信息安全技術》

，《

2018最應投入的10大安全項目》，《網絡服務隔離指南》：“到2021年底，60%的企業將用SDP取代VPN”2.

弱身份、密碼與訪問管理3.

不安全的界面

和API

接口4.

系統和應用程序漏洞5.

賬號劫持2018年納斯達克上市的硅谷獨角獸，專攻SDP產品，市值已超過60億美金6.

內部惡意人員威脅7.

高級持續威脅攻擊（APTS）8.

數據丟失國外眾多老牌安全產商、CDN產商、電信運營商都推出自己的SDP產品9.

DDoS拒絕服務連續4年舉辦SDP黑客破解大賽，無人攻破10.

共享技術問題*

來自云安全聯盟CSA白皮書《SDP

for

IaaS》SDP

—

CSA技術創新安全思路的轉變傳統安全：攻防SDP安全：隱身挑戰：你永遠不知道敵人明天是否有更高級的武器優勢：敵人無法攻擊看不見的目標防彈衣SDP

—

CSA技術創新基于零信任(Zero-Trust)安全理念的軟件定義邊界(SDP)的安全模型SDP使用場景SDP核心優勢SDP安全模型架構圖網絡隱身

Information

Hiding2.管控平臺SDPfor

IoTSDPfor

IaaSSDPfor

HTTPSDPforEnterprise…隱藏服務器地址、端口，使之不被掃描發現3.應用網關預驗證

Pre-authentication在連接服務器之前，先驗證用戶和設備的合法性1.客戶端預授權

Pre-authorization云服務器用戶只能看到被授權訪問的應用（最小權限原則）應用級的訪問準入

Application

Layer

Access內網/DMZ

服務器用戶只有應用層的訪問權限，無網絡級的訪問擴展性

Extensibility基于標準協議，可以方便與其它安全系統集成SDP

—

CSA技術創新Google

BeyondCorp：基于SDP的安全辦公平臺美國國防部與中情局的實踐美

國

國

防

部

在

《

Department

of

Defense

GlobalInformation

Grid

Architectural

Vision》信息化架構指南中提出，所有敏感信息

的訪問必須嚴格遵守“needto

know”（最小權限原則）的信息安

全原則。而SDP可以有效實施該原則。/beyondcorp/BeyondCorp

一開始是

Google

內部的一項舉措，旨在讓每個員工都能在

不借助

VPN

的情況下通過零信任的網絡工作，如今它已融入大部分

Google

員工的日常工作。

BeyondCorp通過將訪問權限控制措施從網絡

邊界轉移至具體的設備，讓員工可以更安全地在任何地點工作，而不必借

助于傳統的

VPN。2009年Google內網遭受了代號為“極光行動”

的APT攻擊，推動Google

重新搭建整體安全架構，從而誕生了BeyondCorp項目。自2012年Google開始在內部實施BeyondCorp，共發表了6篇相關的論文。美國中情局的前CTO、著名安全專家Bob

Flores是國際云安全聯盟SDP標準工作組的聯席主席./working-groups/software-defined-perimeter/SDP

—

國外成功案例Forrester

:

安全是IoT發展的關鍵Vint

Cerf,

互聯網之父，谷歌首席布道師“讓我們保持萬物互聯，同時保證互聯系統的安全與可靠性。”大部份IoT技術仍然在生存及成長階段，標準和安全是成功的關鍵因素。IoT安全技術仍然在創建階段，沒有成熟的產品。Adi

Shamir@FC‘2016:

“物聯網將是安全大災難."Bruce

Schneier：現在大多數的“物”都是不安全的，有可能變成監視工具，要解決這問題會很困難…

物聯網安全不能由市場經濟原則驅動，政府要扮演主要角色，成立跨部門標準規范組織制定相應的安全規范.Ross

Anderson（劍橋大學）：物聯網安全不單純是一個技術問題，而是牽涉到心理學、道德、法律、保險等多方面的問題，安全工程將會很復雜，Safety將在未來一段時間比隱私更重要。偷聽和偽造身份資源耗盡社會工程攻擊MITM（中間人攻擊）、重放攻擊、偽造證電池消耗、通信信道DoS攻擊網絡釣魚、偽Wi-Fi熱點、APT書僵尸網絡DDoS物聯網信息流模型數據收集數據傳輸數據分析和決策指令傳輸實施操作功能擴展攻擊硬件注入

側信道攻擊代碼注入、重用

暴力破解攻擊偽基站、路由器和固件差分功耗分析（DPA）攻擊、時間差攻擊、故障注入、電磁分析攻擊（EMA）緩沖區溢出、后門、ROP（返回導向編程）、DOP字典攻擊、彩虹表海量物聯網設備感染病毒形成僵尸網

智能網聯車遭受遠程攻擊，不但威脅

智能電網、工業物聯網等關鍵基礎設施面絡，發起美國史上最大規模DDoS攻擊

車輛信息安全，更直接威脅人身安全

臨黑客組織定點攻擊，造成巨大經濟損失1、遠程無線攻入車載HMI2、多個漏洞提權，root權限登陸CID和IC上3、連接到CAN總線，任意車身和行車控制1、黑客通過釣魚郵件，植入惡意代碼2、橫向滲