2019年CSS互联网安全领袖峰会：云安全.pdf

1、云：服务规模万亿，没有安全为零Y 云安全联盟CSA 中国科学院云计算中心 云计算发展历程 （单位：十亿美元）在最近的一份报告中，云计算市场预计将在 2019 年达到 2060 亿美元的惊人规模，2018 年为 1750 亿美元，2017 年为 1450 亿美元。（Gartner）数 据 研 究 机 构 S y n e r g y Research Group发布了2018年云计算市场调查报告。报告显示：2018年里，云运营商和供应商的收入达到2500亿美元。微软、亚马逊2家云计算为主的公司市值均超过万亿美金。云计算市场规模 SaaSPaaSIaaS私有云 Private混合云 Hybrid公有

2、云 Public不同的云服务有着本质上的区别 IaaSPaaSSaaS消费者责任Consumer responsibility供应商责任Provider responsibility审核监督 Audit&Monitoring身份管理 Identity Management数据 DATA应用程序 ApplicationVirtual Machines&OS security虚拟机与操作系统安全管理程序安全 Hypervisors Security网络与数据中心安全Network&Data Center Security物理安全 Physical Security数据层与开发平台Datalayer

3、&development platform云安全责任共担模型 中美政府云平台监管体系的思路 第一级-自我评估云厂商在CSA官网注册并提交自评估报告。第二级-第三方认证由第三方机构进行认证，确保云厂商满足CSA云安全控制矩阵CCM要求。例如:CSA STAR和C-STAR认证。第三级-持续监控云厂商公布基于CSA云计算信任协议（The Cloud Trust Protocol，CTP）的安全监控结果，对云服务相关安全要求进行持续的审计和评估。CSA OCF（开放认证框架）适合一带一路（数字丝路）国家Suitable for Digital Silk Road Countries针对云厂商安全管理

4、的一种严格的第三方独立评估。该评估主要参考GB/T 22080-2008管理体系标准及CSA云控制矩阵（Cloud Control Matrix）的要求，以及29个国标GB/T 22239-2008（信息安全技术信息系统安全等级保护基本要求）和GB/Z 28828-2012（信息安全技术公共及商用服务信息系统个人信息保护指南）的相关控制措施。云厂商安全认证 CSA C-STAR 为云供应链风险管理设计最基本的控制框架；划定控制所有权（供应商，客户）；为云供应商类型的排名提供实用性参考；能够作为安全态势和遵从态势测量的典范；包括16个控制域，133个控制项；包含了全球法规和安全标准与控制项的映射

5、关系：例如：NIST,ISO 27001,COBIT,PCI,HIPAA,FISMA,FedRAMP mappings growing virally；被政府和企业广泛应用。CCM 云控制矩阵 1.数据泄露；2.被盗用的证书以及身份管理系统；3.不安全的程序接口；4.系统和App漏洞；5.账号劫持；6.内部恶意人员；7.高级持续性威胁；8.数据丢失；9.不充分的尽职调查；10.恶意使用和滥用；11.拒绝攻击服务DoS；12.共享技术中的漏洞。报告下载地址：https:/www.c-云安全顶级威胁 安全和规模效益 规模越大，实施安全控制的成本越低。安全导致市场差异化 安全性成为云消费者的首要考虑

6、事项。快速智能的资源伸缩 资源伸缩使安全防御措施也具备弹性。审计和取证 虚拟镜像取证减少停机时间；更具成本效益的云日志存储。资源集中的优势 每单位资源更便宜的物理边界限制和物理访问控制。更及时的发布更新与有效的默认安全配置 通过默认加固的镜像模板管理安全基线；比传统修补模式更及时的发布更新。标准化的安全管理接口 大型云提供者的安全管理能力可以通过标准接口对外开放。审计和SLA促进更好的风险管理 需要量化SLA中各种风险场景的处罚以及安全漏洞对声誉的可能影响，激发更为严格的内部审计和风险评估程序。云安全的最大收益 需求调研什么系统要上云，涉及哪些数据、密级