科技行者

行者學院 轉型私董會 科技行者專題報道 網紅大戰科技行者

知識庫

知識庫 安全導航

知識庫分類索引
技術分類
廠商分類

云安全模型

云安全參考模型解決的是分類的關系,對于第一次接觸云計算的組織和個人來說,需要注意以下的幾點問題以避免潛在的陷阱和困惑:

1. 云服務是如何部署的”與“云服務是在哪里提供的”這樣的概念頻繁混用所帶來的困惑。例如,公共或私有可能被描述成外部或內部云,這種互換不是所有情況下都是準確的。

2. 云服務的使用方式經常被描述成與組織的管理或安全邊界位置有關(通常定義在某個防火墻上)。雖然了解云計算中安全邊界在哪里很重要,但是,“界限清晰的邊界”的這一概念是一個時代性錯誤。

3. 在企業中正在上演的對信任邊界的重組(re-perimeterizati•n)及侵蝕,被云計算放大并加速。無處不在的連接、各種形式的信息交換、無法解決云服務動態特性的傳統靜態安全控制,這些都要求針對云計算的新思維。針對企業網絡的邊界重整,Jerich• F•rum開發了相當多的材料,包括很多案例分析。

云的部署和消費模式不能僅僅在“內部”還是“外部”上討論,因為它們只是與資產、資源和信息的物理位置有關,而是還要討論由誰消費、誰負責監管、安全和政策標準的合規等。

這里不是在建議某個資產、資源和信息是在“場內”(•n-premise)還是“場外”(•ffpremise)對組織的安全和風險狀態沒有影響,它們的的確確有影響。但是,這里更想強調的是風險還與這些有關:

· 所要管理的資產、資源和信息類型

· 誰管理?如何管理?

· 選擇了哪些控制?如何集成?

· 合規性問題

例如,Amaz•n AWS EC2里部署的LAMP套件應該分類為公共的、場外的、第三方管理的IaaS解決方案,即使其中的實例、應用、數據是由消費者或某個第三方負責管理。部署在Eucalyptus的某個常規應用,為若干個業務單元服務,由某個公司控制、管理并擁有,可以分類為私有的、場內的、自管理的SaaS解決方案。兩個例子都使用了云的彈性架構和自服務能力。

下面的表格總結了這些要點:

另外一個將云服務模型、部署模型、資源物理位置、管理和所有者屬性等圖形化展示的方法是Jericho Forum (www.jerichoforum.org)的云立方體模型(Cloud Cube Model),如下圖所示:


Jericho 云立方體模型

云立方體模型很形象地闡述了市場上現有云產品的各種排列組合,提出了用以區分云從一種形態(formation)轉換到另外一種形態的四種準則/維度,以及各種組成的供應配置方式以便理解云計算影響安全路線的方式。

云立方體模型還凸顯了在理解云模型并將云模型映射到控制框架和標準上去時的挑戰,這些控制框架和標準,像ISO/IEC27002,提供了“一系列指南和通用原則,用以在組織內部啟動、部署、維護和提升信息安全管理”。

在ISO/IEC 27002 的6.2節,“外方”(External Parties)控制目標有:“… 組織的信息和信息處理設施的安全不應該因為引入外方產品或服務而降低 …”。因此,三種云服務模型的安全防護在方法和責任上有所不同,這意味著云服務的消費者面臨很有挑戰性的工作。除非云提供商愿意透露自己的安全控制以及為消費者部署的程度,同時消費者也知曉自己需要哪些控制以保持信息安全,否則,肯定會有可能出現大量的誤導下的決策并損失慘重。

這很關鍵。第一是針對云架構模型對云服務分類。接下來是映射其安全架構,以及業務、監管和其它合規要求;與其相對的是一個差距分析練習。輸出的結果決定了某個云服務的一般“安全”狀態,以及它如何和某個資產的保障保護要求關聯到一起。

下圖給出了一個很好的例子說明,如何通過對云服務組件和安全控制策略集的映射來確定哪些安全控制是存在或缺失的,這些安全控制分別由客戶,云服務提供商或第三方提供。這也可以與合規框架或者強制要求(如PCI DSS)來進行比較,同樣如下圖所示。


云模型、安全控制和合規模型的映射

完成差距分析后,按照監管方和合規方面的要求,決定需要做哪些以填入風險評估框架就容易多了。相應地,這也可以幫助決定如何對待這些安全“差距”或最終的風險 – 接受、轉移、或降低。

需要意識到的重要一點是,使用云計算作為一種運行模型并不會自然地提供或妨礙達成合規性。對于任何要求的合規是服務、所使用的部署模型、以及對范圍內的資源的設計、部署、管理等的直接結果。

下面是幾個對控制框架非常好的全面總結,它們提供了上面提及的通用控制框架的精彩闡述,包括開放安全架構小組(Open Security Architecture Group)的安全架構模式文檔,還有最近剛剛更新的NIST 800-53 revision 3 - Recommended Security Controls for Federal Information Systems and Organizations.

相關新聞
云南时时彩福利 短视频自媒体怎样赚钱 祥和之灵赚钱 美国棒球比分网 吉林快3 快的和滴滴那个赚钱多 当下零元的赚钱热门 一个人打麻将怎样作弊 广东36选7 1000炮单机捕鱼游戏 2018赚钱养家 赚钱招商网 500w足球即时比分 大话2五开任务如何赚钱吗 目前的体验店赚钱吗 福建麻将的规则 新疆25选7