云计算与云控制矩阵工具

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,精彩展示,路漫漫其悠远,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,学而时习之不亦乐乎,精彩展示,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,精彩展示,不畏艰辛勇攀高峰,云计算与云控制矩阵工具,2024/11/21,云：新时代的曙光,云 短期内过度宣传，长期看过于低估,计算成为了一种实用工具,改变一切：商业模式、风险投资、研究开发,什么是云计算？,计算成为了一种实用工具：计算的第三个时代来临,云的推动者,摩尔定律,超速连接,服务导向架构,供应商等级,主要特征,灵活，按需服务,多租户,计量服务,云计算NIST工作定义可视化模式,宽带网络,快速灵活,测量服务,按需自助服务,资源共享,软件即服务（SaaS）,平台即服务（PaaS）,基础设施即服务（IaaS）,共有,私有,混合,社区,基本特征,交付方式,配置模式,4,2011-2014：混合企业,enterprise boundary,共有云,Extended Virtual Data Center,私有云,用户云,假定组织边界,应用程序传播,数据传播,用户传播,终端设备传播,云形成的重要问题,数据拥有者和数据处理者之间的临界质量,匿名数据中心和设备地域,匿名供应商,瞬态供应商关系,用虚拟控制替代物理控制,身份管理变得非常重要,云会改变安全现状,重新回归安全生态系统,当今重要的云安全问题,主要威胁,恶意使用,数据丢失/数据泄漏,恶意业内人士,账户服务或流量劫持,共享技术潜在风险,不安全的API,未知风险预测,恶意使用,数据丢失/数据泄漏,恶意业内人士,流量拦截或劫持,共享技术潜在风险,不安全的API,未知风险预测,当今重要的云安全问题,重要威胁,恶意使用,数据丢失/数据泄漏,恶意内部人员,账目服务或流量劫持,共享技术潜在威胁,不安全的API,未知风险预测,更新信息,信任：缺少供应商透明度，影响管治、风险管理和符合性,数据：泄漏、丢失或存储在不利地域,不安全云软件,云服务的恶意使用,账目/服务劫持,恶意内部人员,特定云攻击,未来的主要问题,全球范围内不兼容的法律和政策,非标准私有云和公有云,缺少持续性风险管理和符合性监控,不完整的身份管理,对安全事件的杂乱回应,关于云安全联盟,全球性非盈利组织,超过17,000名个人用户，90个企业用户,打造最佳实践和一个值得信任的云生态系统,灵活的理念，应用研究的快速发展,GRC：与风险管理同步,参考模型：使用现有标准创建,身份：云经济运行的关键基础,一流的互用性,提倡审慎的公共政策,“推进使用最佳实践以提供云计算的安全保证，对云计算使用进行培训，帮助保护所有其他形式的计算。”,CSA的相关研究,CSA指导研究,指导 100k下载：,cloudsecurityalliance.org/guidance,治理和企业风险管理,法律和电子发现,符合性和审计,信息生命周期管理,可移植性和互用性,安全、商务、控制和运作复原,数据中心运营,事件反应、通知和整治,应用程序安全,加密和密钥管理,身份和访问管理,虚拟化,云结构,云运行,云治理,保护云计算的流行的最佳实践,2009年12月发布的V2.1,计划于2011年第三季发布V3,wiki.cloudsecurityalliance.org/guidance,请搜索,云安全指南,样本指导-治理,保证云安全性的最佳机会是在采购前合同、SLA（服务等级协议）、结构,了解供应商的第三方，BCM/DR、财政可行性和员工审查,如可能，确认数据位置,计划供应商终端和资产收益,如可能，保留审计权利,将供应商节省开支重新投入尽职调查,样本指导-运行,如可能，对数据进行加密，云供应商提供单独的密钥管理,改写安全软件开发生命周期,了解供应商的修正、供应与保护,记录、数据渗漏、精细客户分离,强化的虚拟机形象,评估供应商IdM整合，例如SAML、OpenID,云控制矩阵工具,通过指导进行控制,定等级应符合S-P-I的要求,客户vs供应商作用,映射为ISO 27001、COBIT、PCI、HIPAA,帮助IT和IT审计员连接“云空隙”,一致性评估倡议,提供研究工具和流程，进行云供应商共用评估,轻质“通用标准”概念,与控制矩阵相整合,2010年发布第1版本的CAI调查问卷，提出了约140个供应商问题以确认现在的安全控制或实践情况 用于评估现在的云供应商,云审计,开放标准和API，自动生成安全断言,将数据采集改为数据分析,按照云供应商的规模要求提供审计和保证,将云控制矩阵用作控制命名空间,用于持续性云监控下的云指导,A6：自动审计、断言、评估和保证API,CSA和GRC栈,一套工具、最佳实践和适用技术,综合行业研究并简化云中的GRC,适用于云供应商、企业、解决方案供应商和审计/符合性,控制架构、调查问卷和持续性控制监控自动化,控制要求,供应商断言,私有和公有云,一致性评估倡议,云控制矩阵,CCSK 云安全知识证书,仅用于云安全的用户认证,CSA指导中的能力网络测试,价格为$295美元,正在开放培训课程,可信任云计算计划,综合云安全参考结构,云中的安全和互操作身份,获得SaaS和PaaS以成为企业的“信赖者”,可扩展,为身份供应商列出责任,使用现有标准组建参考结构,身份管理最佳实践白皮书：,安全即服务计划的需求,各种破坏性趋势（云、流动性、社会网络等）会向信息安全保障提供挑战,云提供计划让人重新考虑安全问题（经济、结构、提供服务方式等）,完成目标宣言的后半部分：,“推进使用最佳实践以提供云计算的安全保证，,对云计算使用进行培训，帮助保护所有其他形式的计算,。”,安全即服务范围,信息安全产业的再发明,安全即服务的定义,清晰指出安全即服务内的解决方案类别,采取安全即服务的指导,符合其它CSA研究,如同在第3版CSA指导中提出的第14个领域一样，开发可发行软件。,云SIRT,云紧急反应的一致性调查,增强对事件的反应能力,标准流程,SIRT的补充性最佳实践,主办社区的云SIRTs,CSA在做什么？,GRC栈,一致性评估倡议,云控制矩阵,云计算1.0版本的重要威胁,云安全联盟制订,2010年3月,中国,汉语,CSA大中华区规划,从地域上，推动最佳实践在,中国、香港和台湾地区等,的使用，在云计算环境下提供安全保障，并进行云计算使用培训，以帮助确保其它计算形式的安全。,促进全球,中文,地区安全专业内的CSA计划,CSAGCC.ORG,使用本地化行业要求和业务案例，以推动全球CSA的发展。,1,2,3,当前工作组,1 CSA官方发布文件的本地化，包括云控制矩阵、安全威胁、D12 IAM等,2 为中国大陆、香港、台湾的供应商和用户提供安全控制建议,3,3 云安全使用案例,5 与CSA-JC合作开发J-SOX相关的云审计,4 为云服务提供商和用户提供安全合同模板,本区活动,