云安全联盟注册项目举步维艰

去年八月,云安全联盟(CSA)在拉斯维加斯举行的黑帽安全大会上宣布了一个注册项目,云安全联盟希望通过这个项目云用户能够方便地评估和比较云供应商的安全控制情况。但是到目前为止,只有三家公司提交了他们的云安全数据,使这个注册项目的使用非常有限。

安全、信任与保证注册项目 (简称“STAR”)旨在使用170分的问卷调查来评估运供应商的安全功能,最终用户随后能够查看这些评估结果。在云安全联盟宣布STAR项目不久后,一些大品牌(例如谷歌、英特尔、McAfee、Verizon和微软等)都同意参加该项目,然而,到目前为止,微软是这些供应商中唯一提交了数据的。

云计算行业Gartner分析师Kyle Hilgendorf对于没有更多供应商加入这个项目感到失望。这个项目可能为最终用户提供关于云供应商有价值的信息,但只有当大部分公司加入这个项目才能实现这个目的。

Hilgendorf表示:“如果你只有三四个供应商,最终用户根本无法从整个市场的角度来衡量云供应商。”

云安全联盟执行总监Jim Reavis仍然看好这个项目,并表示预计在今年年底将会有更多供应商提交数据,几个供应商正在提交数据的后期阶段。他表示:“一切从头开始。”

影响这个项目的关键的问题在于供应商愿意和能够透露哪些信息。Jon Heimerl是托管安全服务供应商Solutionary公司的安全战略主管,这家公司是向STAR提交数据的三家供应商之一。而云端电子邮件优化和安全服务公司Mimecast是第三家提交数据的公司。

Heimerl表示:“我们尽可能明确地回答这些问题,而没有透露太多关于我们安全协议的机密信息。”Solutionary采取的办法是回答一些问题,然后如果感兴趣的客户需要额外的信息时,可以联系他们。

例如,Heimerl表示,在回答关于信息加密的问题时,该公司的回答是:他们使用256字节的加密代码和设备硬化方法。然而,他们没有透露究竟这些设备硬化方法是什么。

STAR工作人员称注册项目旨在审查供应商的云安全做法,而不是泄露可能破坏供应商网络或者客户数据的信息。

Reavis表示:“我们询问的信息并没有详细到会带来安全风险。”不过,他表示供应商必须权衡哪些安全信息他们能够公开而不会带来安全风险。Reavis表示,所有云供应商都有STAR需要的信息,问题是他们如何选择公开哪些信息。

Hilgendorf表示,一些供应商犹豫是否参加STAR的另一个原因是因为他们已经以不同方式透露了大部分这些信息。Amazon Web Services、谷歌和其他供应商在其网站上有专门的安全控制板块。一些供应商可能正在权衡提交信息到云安全联盟的价值,因为这些信息已经在其他地方公开了。还有一些安全证书标准,例如国际标准化组织(ISO)合规、支付卡行业(PCI)合规和联邦信息安全管理认证(FISMA)。如果企业已经遵守FISMA,Hilgendorf不知道这些企业是否觉得有必要参与云安全联盟的项目。

Reavis表示,这个问卷调查基本上是基于这些认证,并且询问相同类型的信息。

Hilgendorf表示,这些是对客户有用的信息。云安全联盟的网站提供了这个问卷调查的下载,这份问卷调查由170道是否题组成。问题范围从供应商的合规和认证情况,到有多少客户数据存储在云端,还有是否客户可以访问供应商的审计信息,以及供应商进行了何种类型的审计和漏洞测试。另外还有关于数据是如何分离以确保来自多个客户的数据不会混淆的问题,也有关于数据中心安全的问题。

向STAR提交了数据的三家公司之一的Mimecast公司产品营销经理Orlando Scott-Cowley表示,对于供应商而言,他们能够向客户正面他们对待安全的认真态度。

“任何人都可以声称自己是云供应商,但是让客户了解你的安全控制情况是非常重要的,”他表示,“我们不会透露任何关于数据是如何保护的重要信息。”

Hilgendorf预计也许这个注册项目能够帮助中小企业供应商证明他们的安全控制情况以向市场展示其实力。但是只有当云安全联盟的其他130位成员参加这个项目,才能够实现真正的价值。(邹铮编译)

(责任编辑:蒙遗善)

时间: 2024-09-22 09:25:21

云安全联盟注册项目举步维艰的相关文章

云安全联盟安全信任和保证注册项目研究

云安全联盟安全信任和保证注册项目研究 叶润国 范科峰 徐克超 蔡磊 为了解决公有云服务的可信缺乏问题,云安全联盟启动了安全信任和保证注册项目.研究了该项目的产生背景和以增强透明度为目标的开放认证架构,以及包括自评估和第三方评估的典型认证过程,介绍了项目当前注册和认证方面的进展,以及持续监控认证等后续研究计划.最后给出了我国开展云计算安全的测评和认证标准的研究和制定等工作建议. 云安全联盟安全信任和保证注册项目研究

云安全联盟发布最新IoT安全指南

本文讲的是 :  云安全联盟发布最新IoT安全指南  ,  [IT168 资讯]在一年多前,RAND公司在其网络安全研究报告中揭露了物联网(IoT)非常易受攻击,该报告的发现还包括事后逐个修复补丁的安全做法以及为非联网设备提供互联网连接带来显著风险. 自那以后,大家开始探讨如何加强IoT设备的安全性,这些联网.智能且便宜的传感器设备像爆米花在全球扩张,其数量很快会达到10亿. 而近日云安全联盟在其80页指南中正式确认需要加强IoT安全性. 理由:IoT可能用于发起DDoS攻击,关键国家基础设施可

云计算重磅!云安全联盟发布重大更新指导方针4.0

2017年7月26日,云安全联盟(CSA)重磅发布关于云计算安全重点领域的指导4.0.这是自2011年以来,"指导原则"的第一个重要更新.对于希望安全地采用云的个人和企业的实用可行的路线图,指导4.0包括重要内容更新以解决领先的云安全实践. CSA研究执行副总裁Luciano "J.R." Santos表示:"大约80%的指导方针是从底层重写的,以更好地代表当前的云计算安全状态和未来.指导4.0纳入了今天安全环境中使用的更多应用程序,以更好地反映目前的安全

云安全联盟(CSA)发布云控制矩阵(CCM)3.0版

云安全联盟(CSA)上周四宣称正式发布CSA云控制矩阵(CCM)3.0版,全面升级至评估云中心信息安全风险的行业黄金标准.自发布CSA开 创性的制导领域以来,CCM3.0版将其控制领域扩展到云安全风险的地址变化,"集中于云计算关键领域的安全指导3.0版"向两者更紧密的融合迈出了一大 步. 充分汲取行业公认的安全标准,条款,和控制框架,例如ISO 27001/2, 欧盟网络与信息安全局(ENISA)信息担保框架,ISACA(国际信息系统审计协会)对信息和相关技术的控制条款,美国注册会计师

国际云安全联盟中国区分会成立

9月2日下午消息,国际云安全联盟中国区分会今日在北京宣告成立.该联盟致力于解决云计算日益广泛应用所带来的首要安全问题. 据悉,国际云安全联盟(CSA)源自美国,于2009年RSA大会上宣布成立,是一个非盈利性组织.成立后与ISACA.OWASP等业界组织建立了合作关系.国内网络安全领域厂商绿盟科技于2009年12月成为CSA在亚太地区的第一个企业成员. 绿盟科技副总裁吴云坤认为,云安全的问题业内已达成共识. 据绿盟科技首席战略观.中国区分会理事赵粮透露,在未来的12个月中,分会将进一步明确项目计

国际云安全联盟中国区分会成立 沟通分享共筑产业链

9月2日,绿盟科技在北京隆重举办云安全联盟(CSA)高峰论坛暨中国区分会成立大会.此次大会以"沟通分享,合作 共赢"为主题,本着"引进来,走出去"的精神,探讨云安全的实质内涵及发展趋势,交流国内外云计算和云安全的最新研究成果,分享云安全应用的实践经验.国际云安全联盟主席Dave Cullinane应邀出席峰会,并做主题演讲.Dave Cullinane在发言中介绍了云安全联盟所取得的成绩.云安全所处的阶段以及面临的主要问题.他说,"目前,云计算正在改变商业

谷歌跟随微软加入云安全联盟 亚马逊依然游离

北京时间3月2日消息,据国外媒体报道,互联网巨头谷歌近日宣布加入"云安全联盟"(Cloud Security Alliance),使得该联盟的覆盖面进一步扩大. 2009年4月份"云安全联盟"成立之时,三家在云计算方面处于领先地位的公司均未加入,其中就包括谷歌.后来,在另外两家公司当中,微软已经宣布加入该联盟,但亚马逊仍然没有采取 同样措施."云安全联盟"是一个致力于为云计算安全提供 最好的实践和教育的专业非营利性组织,该联盟共有34个成员,其中

分析云安全联盟对云安全问题的解答

云安全联盟创建于2009年,拥有2万个成员,经常被当作向云计算提供云安全方面的主要声音.正如云安全联盟成员和Sallie Mae公司首席安全官杰里·阿切尔(Jerry Archer)解释的那样,这个组织并不想成为一个标准组织,而是寻求一些方法推广最佳做法.这些最佳做法将是用户.IT审计人员.云和安全解决方案提供商一致认可的. 一个成果是云安全联盟的GRC栈.这是一套工具,可帮助人们根据行业最佳做法.标准和重要的遵从法规的要求评估和指导云.同云安全联盟制作的所有其它工具一样,这个GRC栈免费提供给

云安全联盟和Novell共推可信任安全认证计划

Novell公司和云安全联盟(CSA)宣布推出一项厂商中立协议,为云供应商提供业界首个云安全认证.教育和推广计划.此项名为"可信任云协议"的计划将帮助云供应商开发被业界认可.安全和可互操作的身份识别.访问与合规管理配置和实践.现在,正在考虑采用基于云计算的机构将拥有一个可信赖的标准,消除他们对数据和IT资产的安全.治理和控制问题的担心. "如何在云或与云有关联的环境中管理身份,成为企业采用云服务的极大障碍."现任CSA董事会成员,美国ING集团IT战略和企业结构高级