2019可信云大会丨吴江伟:云服务安全能力标准解读
|
云计算风险管理框架适用于云计算企业对云计算设计的所有系统、人员、管理进度进行风险管理,帮助云计算厂商控制云计算对外运营的风险,帮助云服务客户选择风险可控的云计算厂商。截止到目前有15家厂商通过评估。 根据本次评估结果统计,基础设施、网络攻击防护、通信线路保护是目前行业的软肋。对于部分云服务商、机房为租用或者集团所属,对机房建设标准掌握程度不够,云环境下物理边界消失,攻击来源复杂,部分云服务商攻击范围能力薄弱。因通信线路发生的故障事故频发,部分云服务商依赖于运营商通信线路进行保护措施。 第三部分我们将对《云服务用户数据保护能力参考框架》进行解读。 数据安全方面,云计算架构与传统IT架构是有本质区别的,在传统IT系统中,用户即服务商,用户和服务商是一个主体,对数据安全保护的目标和利益一致。但是在云计算架构中,用户和服务商分离,成为完全独立的两个个体,数据的所有者和保管者分离,数据的所有权与保管权分离,将引发新的数据安全问题。主要包含三个方面:第一个方面是传统IT系统数据安全问题仍然存在,第二由于不涉及到切身利益,云服务提供商在运营过程当中可能会忽略长期存在的安全问题;第三个方面云服务商可能为了自身的利益用用户的数据做大数据分析之类的活动。 云服务数据类型分为三种:第一是云服务用户数据,第二是云服务提供商数据,第三是云服务衍生数据。 用户数据指云计算服务用户在使用云计算服务的过程中上传、存储、传输、处理和产生的数据。云服务提供商数据指提供商控制的一类数据。例如,访问控制列表、系统日志、操作日志等。云服务衍生数据指指基于云服务用户数据和云服务提供商数据分析得出的数据。 云服务用户保护能力参考框架针对云计算架构下的用户数据安全痛点,从用户的视角出发提出的云计算用户数据保护参考框架,并根据相应的技术要求分为基本级和增强级两个级别。国家视角是指站在国家安全的角度,全面考虑安全性和可控性,重点关注安全管理责任、数据主权、跨境流动等问题。用户视角从用户的切身利益出发,重点关注将数据托管在云端后用户所感知到的安全问题和风险。 目前云服务用户数据保护能力参考框架涉及18大类26项数据安全保护能力指标,全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段。 以下是本次新增和修改的一些指标项,其中密钥证书的管理,建立一个密钥和证书办法,云服务商可以妥善保护用户的密钥和证书。传输的安全性,是用户访问云服务商的数据传输,还有云服务商后台的数据也应该加密传输。 云服务用户数据保护能力参考框架主要有三个方面的意义:第一,为云计算企业建立规范完备的用户数据保护体系,保障用户数据安全提供指导。第二,为第三方机构对云计算服务提供者的用户数据安全保护能力审查和评估提供依据。第三,为用户选择数据得到良好保护的云计算服务商提供参考。 本次共有13家企业参与评估,增强级的有9家企业,基础级为4家企业,根据本次评估结果统计,每次读写数据一致性校验、国产加密算法、敏感业务操作二次权限认证、自动化审计告警、提供不同安全防护等级的云主机镜像资源,是目前行业中较为薄弱的方面。出于效率方面考量,部分厂商没有进行每次数据读写一致性校验;国产加密算法目前大多在研发配置中,没有对外进行提供;目前对于敏感业务操作,厂商大多是进行二次确认,没有进行二次权限认证;大部分厂商在错误/故障发生后,利用审计日志进行回滚查询,没有定期人工审计操作,不具备自动化审计功能;大部分云服务不提供不同安全防护等级的云主机镜像资源,无法满足用户不同安全防护等级云主机镜像资源的需求。 本次标准的建立得到了广大企业的支持,再次表示感谢,如果各位厂商有想参与数据保护能力的评估或者风险能力的评估,这块是我的二维码跟联系方式,可以通过这个来联系我参与数据保护能力的评估和风险管理能力的评估,谢谢。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
