分析云安全联盟对云安全问题的解答

云安全联盟创建于2009年,拥有2万个成员,经常被当作向云计算提供云安全方面的主要声音。正如云安全联盟成员和Sallie Mae公司首席安全官杰里·阿切尔(Jerry Archer)解释的那样,这个组织并不想成为一个标准组织,而是寻求一些方法推广最佳做法。这些最佳做法将是用户、IT审计人员、云和安全解决方案提供商一致认可的。

一个成果是云安全联盟的GRC栈。这是一套工具,可帮助人们根据行业最佳做法、标准和重要的遵从法规的要求评估和指导云。同云安全联盟制作的所有其它工具一样,这个GRC栈免费提供给这个组织的任成员下载(不过,企业赞助商提供费用)。

阿切尔在接受《网络世界》采访中解释了云安全联盟的工作方式以及我们如何能够解决云中的安全问题,他还解释了云将如果改善我们的安全。

问:向我们高水平地解释一下云安全联盟做什么?

答:你可以把我们做的事情分为五个大的方面。1.我们正在制定战略,特别是为围绕你如何进入云和你需要考虑什么事情。2.教育。帮助教育人们了解云安全问题。3.我们正在围绕审计和遵从法规建立最佳做法框架。我们正在把一些典型的SAS 70控制和其它审计体制转变为用于云的框架。4.我们正在研究评估问题,如果从评估安全的角度观察云。5.我们在观察未来是什么样子。

问:云安全联盟如何确定研究什么项目?

答:云安全联盟使用严格的组外包或者云外包。我们目前拥有2万个成员。任何成员都可以提出想法。你可以向这个组提出一个想法。如果你的想法有吸引力,人们将与你合作,然后你会得到批准。

在开始的时候,我们没有研究资金。现在,我们拥有资金,因为我们有赞助的企业并且还有人投资一些工作。但是,保证客观性对于我们来说是重要的。因此,这个委员会不断地进行检查以保证没有厂商超额认购,也就是为一个指定领域的研究提供过多的资金。我们不想亏欠任何一家公司。

问:你们曾说云安全联盟不想制定任何类似于SAS 70或者PCI那样的硬标准。为什么会这样,你如何评价你们对云计算行业的贡献?

答:我们认为,行业标准应该由ISO(国际标准组织)和其它善于制定标准的那些组织来制定。我们经常与现有的标准组织合作以提供忠告和指导。但是,我们认为,如果我们不与任何具体的标准捆绑在一起,我们会更灵活一些。我们与国际标准组织和国际电信联盟有正式的联盟关系。我们向他们提供研究成果和资源,帮助他们的工作。我们还与NIST(美国国家标准及技术研究所)合作。我们希望与其它标准组织建立合作关系。

问:你认为用户要求云提供商详细介绍有关他们的云安全措施的权利与云提供商处于安全考虑对这些细节保密的权利有什么冲突吗?

答:提供商也许永远不想告诉任何人他们的防火墙是如果设置的以及类似的事情。另一方面,如果正确地传递,有大量的信息从遵从法规或者安全观点看是非常有用的。

如果我们把事实与夸张的宣传区别开来,作为云的消费者,我就会得到有关我的应用今天在什么地方运行以及如何运行的足够信息,并且完全不会影响你的安全。因此,向我提供我需要的这些信息,我就会信任我所在的环境。

事实上,从消费者的方面看,事情会变得更加简单,因为应用程序会变得仪表化,你可以确定这些应用程序是否处在正确的环境中。DARPA(美国国防部高级研究计划局)已经对多租户环境进行了大量的研究。他们研究了应用程序的控制,让应用程序汇报它的环境的安全。

问:仪表化的应用程序是如果工作的?

答:在一个简单的例子中,这个应用程序知道它要去什么地方。这个应用程序知道它将在什么计算机上运行,它实际上将使用什么操作系统并且通过询问这些事情建立一个指纹,称“我在正确的环境中,补丁水平是如何,等等”。

它可以是基于性能的,称我知道我打算做这些事情。它可以测试这个代码的合法性。如果答案不正确,那么,你知道你被骗了。

你可以做各种类型的事情以提供有关这个应用程序正在运行的环境的大量的知识。最终,那可能是你要去的地方。

问:云安全联盟对于云的未来能够预测多远,你如何看这个问题?

答:我们的大多数重点仍然是建立云计算的基本要素。但是,深思熟虑的领导者有助于影响建立这个基础的战术方面,因此这是可以转移的。所以,我们不必把这个基础分开并且在每一次进入到云的另一个周期的时候都重建这个基础。

从未来的方面看,我认为,任何人告诉你他们能够预测两年后的云的状况,那是天真的。一切都在变化。我们不能预测所有这些变化的结果。云计算与从大型机过渡到分布式系统是不同的,云计算将改变有关计算的一切。

问:我的问题是,当MIP成本几乎为零和存储成本几乎为零的时候会发生什么事情?

答:每一个人都将使用云,并且安全将继续发展。例如,完全同型的加密将让我不必解密就能处理数据。在我能够做全面同型加密的同时,我就可以把我的全部数据放在云中并且全面加密。这种方法取消了威胁模式,对吗?

问题是,要运行全面的同型加密算法需要使用比我们目前拥有的处理能力还要多的处理能力。但是,穆尔定律达到那个水平只需要很短的时间。

问:那么,云安全将能够跟上云计算中的变化吗?

答:是的。云中的安全将改善。应用云的像Sallie Mae那样的公司、金融公司和其它公司要求得到与他们现在拥有的安全水平相同的或者更好的安全水平。

对提供商提出的这种要求将转变为让每一个人都得到同样的结果。因此,不能依靠自己的购买足够的安全措施的小企业将得到应用云服务的大企业所得到的同样好的安全产品。我们将有能够有效地提供安全的大型提供商。云中的安全将得到改善。我们将来都会有更好的安全。

时间: 2024-09-20 07:44:39

分析云安全联盟对云安全问题的解答的相关文章

国际云安全联盟中国区分会成立 沟通分享共筑产业链

9月2日,绿盟科技在北京隆重举办云安全联盟(CSA)高峰论坛暨中国区分会成立大会.此次大会以"沟通分享,合作 共赢"为主题,本着"引进来,走出去"的精神,探讨云安全的实质内涵及发展趋势,交流国内外云计算和云安全的最新研究成果,分享云安全应用的实践经验.国际云安全联盟主席Dave Cullinane应邀出席峰会,并做主题演讲.Dave Cullinane在发言中介绍了云安全联盟所取得的成绩.云安全所处的阶段以及面临的主要问题.他说,"目前,云计算正在改变商业

云安全联盟发布“2013云计算9大威胁”报告

云安全联盟(CSA)的主要威胁工作组今天发布了"2013云计算9大威胁"报告,报告的目的在于为组织们提供最新的最专业的云安全威胁知识,帮助他们认识了解在云采用和管理中将会面对的风险,为他们在云战略制定上提供建议.通常与云计算相关的安全风险因素有很多,这份报告的主要关注点在云计算的共享.按需的特性上.根据描述和分析,报告帮助用户和供应商在云战略上做出更好的决策."要想有效的管理云计算中的风险,企业就必须能理解现在和以后云所要面临的威胁有哪些,而这需要勤奋的学习."CS

中国云安全联盟筹备会在京顺利召开

2017年9月11日,中国云安全与新兴技术安全创新联盟(简称"中国云安全联盟")筹备会在北京国家会议中心顺利召开.中国网络空间安全协会理事长方滨兴院士.中国产学研合作促进会执行副会长兼秘书长王建华.国家创新与发展战略研究会副会长郝叶力少将.国际云安全联盟(CSA)大中华区主席李雨航教授.奇虎360首席战略官谭晓生.国际云安全联盟(CSA)大中华区秘书长沈寓实教授等出席大会,来自中国信息安全测评中心.中国信息安全认证中心.公安部第一研究所.公安部第三研究所.工信部中国信息通信研究院.国家

第四届云安全联盟高峰论坛热议“信·用·云”

2013年11月26日,由国际云安全联盟(以下简称CSA)中国分会主办,绿盟科技和启明星辰共同承办,山石网科.趋势科技等安全企业助阵的 第四届云安全联盟高峰论坛在北京召开.此次大会以"信·用·云"为主题, 围绕云计算面临的威胁和云安全最佳实践,聚焦国内外云安全领域最新技术.解决方案和研究成果,来自CSA.云计算提供商.安全服务商等领域的专家就如何打造安全.可信及能用的云生态环境,和与会者进行了 深入交流.此次大会由绿盟科技副总裁吴云坤主持,CSA理事.联合创始人Jim Reavis先生

安全狗加入云安全联盟 为客户带来更安全 更优质的云服务

7月5日,领先的云安全服务与解决方案提供商安全狗正式获批加入全球"云安全联盟"(Cloud Security Alliance,CSA),成为中国企业会员.安全狗CEO陈奋在深圳接受CSA大中华区主席李雨航教授颁发的证书后,双方还就云安全服务方面做了进一步的交流与探讨. 云安全联盟代表着云安全领域的高水准,具有广泛的国际影响力.陈奋表示:"安全狗加入云安全联盟,将加强与云计算厂商的交流合作,为客户带来更安全.更优质的云服务." 随着互联网云计算的快速发展,各大企业都

云安全联盟发布更新版安全应用指南

本文讲的是云安全联盟发布更新版安全应用指南[IT168 资讯]云安全联盟(CSA)本周四发布了云计算服务的第二版安全应用指南.这一非营利性质的联盟正式成立于四月份,其目的是推进云计算安全的最佳实践.他们在2009 RSA会议(全球信息安全领域最具权威的年度峰会)上发布了他们的第一版指南. 云安全联盟的共同创始人兼执行理事长Jim Reavis说,新版本的云计算关键领域聚焦指南-2.1版,在某些领域提供了更多的具体信息,提供的建议也更具实践性.他还说,这种进程最终将会演变出整个行业对云服务供应商的

联想网御加入CSA云安全联盟

近日,国内一线安全厂商联想网御正式获批加入全球"云安全联盟"CSA(Cloud Security Alliance).作为该联盟成员,联想网御将与国内外一线主流云安全厂商合作,共同促进云安全和云计算相关信息和知识交流,在 云计算环境下为消费者和供应商提供最佳的安全方案.云安全联盟是2009年RSA 大会上成立的组织,一经 提出即得到业界广泛认可,是一个跨行业.跨地区的国际交流合作平台.加入联盟门槛较高,目前,联盟成员有微软.谷歌.思科.趋势等33个国际一流云计算提供商.此次加入云安全联

云安全联盟发布最新IoT安全指南

本文讲的是 :  云安全联盟发布最新IoT安全指南  ,  [IT168 资讯]在一年多前,RAND公司在其网络安全研究报告中揭露了物联网(IoT)非常易受攻击,该报告的发现还包括事后逐个修复补丁的安全做法以及为非联网设备提供互联网连接带来显著风险. 自那以后,大家开始探讨如何加强IoT设备的安全性,这些联网.智能且便宜的传感器设备像爆米花在全球扩张,其数量很快会达到10亿. 而近日云安全联盟在其80页指南中正式确认需要加强IoT安全性. 理由:IoT可能用于发起DDoS攻击,关键国家基础设施可

云计算重磅!云安全联盟发布重大更新指导方针4.0

2017年7月26日,云安全联盟(CSA)重磅发布关于云计算安全重点领域的指导4.0.这是自2011年以来,"指导原则"的第一个重要更新.对于希望安全地采用云的个人和企业的实用可行的路线图,指导4.0包括重要内容更新以解决领先的云安全实践. CSA研究执行副总裁Luciano "J.R." Santos表示:"大约80%的指导方针是从底层重写的,以更好地代表当前的云计算安全状态和未来.指导4.0纳入了今天安全环境中使用的更多应用程序,以更好地反映目前的安全