CSA北京分会秘书长钱晓斌:云计算安全五大趋势

[摘要]4月26日开幕的2017中国软件生态大会暨第十届中国软件渠道大会北京站上午主论坛精彩纷呈,吸引了上千名来自各行各业的嘉宾。下午的三个分论

4月26日开幕的2017中国软件生态大会暨第十届中国软件渠道大会北京站上午主论坛精彩纷呈,吸引了上千名来自各行各业的嘉宾。下午的三个分论坛依然火爆异常。大数据与安全分论坛聚焦大数据产业以及安全,由北京慧桥科技有限公司创始人李相桥主持,成为企业服务领域非常吸引人的论坛。论坛上,CSA北京分会秘书长 、国卫信安CEO钱晓斌畅谈了云安全现状与趋势。

云计算安全五大趋势

公有云安全风险领域,最大的安全问题包括:通过员工凭证滥用未经授权的访问,占63%; 不正确的访问控制以及账号劫持,占比61%;恶意的内部人士攻击,占比43%。

无服务器框架的出现。2016年在云计算中最具挑战性的创新将是无服务器架构的兴起。它们包括像亚马逊Web服务“(AWS)λ元素和PaaS代码(基于代码的平台即一种服务),其中IT部门将不再需要管理操作系统或虚拟机。这是云安全战略的一个很大的变化,因为这意味着API正成为一个额外的攻击区域的漏洞。这也正是IT团队通常不习惯配置和抵御这些类型的威胁的区域。

基于主机和网络的安全措施移动到控制平台。与传统数据中心环境不同的云安全的另一个方面是,其安全功能被移动到控制平台。这种变化将开辟更多的机会,以获取有关的风险和脆弱性的信息。而基于存在的发现,是在传统的在线网络一样,云安全的一大优势就是以实时的形式通过API更新网络上的主机和服务器的处理事件。

由老牌公司交付云安全解决方案。云安全将不会交给那些初创公司做创新交付,因为随着云基础设施变得更加重要,各种规模的组织的云计算安全解决方案将不得不发展。这一演变将会影响各种规模的云安全供应商,包括一些在IT安全行业的大厂商。例如,多个供应商的市场解决方案为Windows以及在AWS上运行的Linux工作负载。其他的厂商会看到谁需要他们支持混合部署模式,传统的数据中心和AWS的客户面临着更多的压力。

无论是通过收购规模较小的IT供应商还是通过开发创新的新产品,大型安全厂商将会提供更多基于云计算的安全解决方案。安全成为本地持续集成和持续部署的工具集。在云基础设施方面,随着越来越多的组织会切换到DevOps式快速应用开发和部署在云计算上,安全不再被认为是开发和部署一个独立的实体。在2016年,云安全成为更广泛的集成和本地整体过程的连续集成和连续部署(CI/CD),例如詹金斯工具被用来验证代码和验证安全性作为标准的质量保证步骤。

更多的供应商提供安全检测和监控启用的DevOps工具,如采用SAST技术分析在静止状态的应用程序的源代码,并从内向外寻找安全漏洞,而采用DAST技术检测在应用程序运行时可能存在的安全漏洞。IT安全性在DevOps环境下变得更快、更敏捷。

云安全将加速。云基础设施的攻击将变得更加复杂和自动化,这一趋势在2016年也不可能被减弱;对云的攻击将变得更加激烈,因为更多的组织在云基础设施中正在存储越来越多有价值的数据。根据Gartner的研究,“到2020年,云计算遭受攻击事件中,80%是由于客户配置错误,凭据管理不善或内部盗窃,而不是云服务提供商的产品的安全漏洞。IT组织需要提高他们的安全准备工作能力、实时警报和反应能力,同时也要考虑他们的内部操作、内部配置和员工的安全培训和认证的问题。

CSA 国际云安全联盟介绍

钱晓斌与大家分享了CSA 国际云安全联盟以及其成功实践。CSA (Cloud Security Alliance)2008年12月在美国发起,是中立的非盈利世界性行业组织,致力于国际云计算安全的全面发展,2011年美国白宫在CSA峰会上宣布了美国联邦政府云计算战略。全球300多个单位会员,7万多个个人会员。全球500强中的科技类企业都成为协会会员单位,包括:亚马逊、微软、Google、FaceBook、IBM、Intel、Oracle、Vmware、HP、EMC、华为、阿里、腾讯、中兴通讯、Ucloud等主要的云服务提供商、云计算解决方案提供商会。

CSA的宗旨:提供用户和供应商必要的云计算安全需求和保证证书,并达到同样的认识水平,促进对云计算安全最佳实践的独立研究 ,推广正确使用云计算和云安全解决方案的宣传和教育计划 ,创建有关云安全保证的问题和方针的明细表。

CSA持续从事新兴领域前瞻性安全研究。CSA 研究院全球有1000多个安全专家,分布在美国、欧洲、中国主要的科技公司和研究机构,对新兴领域的安全进行前瞻性的研究,除了云计算,范围还涉及:大数据、物联网、SDN/NFV、量子通讯等。CSA大中华区有100多个专家参与全球的安全研究,并在研究成果产业化方面作出独特的贡献。

CSTR云安全技术标准介绍

CSA推出的STAR认证采用中立性认证技术对云服务供应商安全性开展缜密的第三方独立评估,并充分运用ISO/IEC 27001:2013管理体系标准以及CSA CCM云控制矩阵,帮助企业满足客户的安全需求。

实践中发现,《云安全指南》和STAR、C-STAR认证,对云计算服务的管理体系,运维运营,总体技术是业界的最佳实践和认证标准,但是云计算平台底层产品和SaaS上层应用的安全技术要求细节还需要更加系统和完整的定义,使云计算解决方案提供商能够在云计算产品开发过程中直接参考,第三方测评认证机构也能够对云计算产品级安全能力有认证的标准。

云服务客户和云计算解决方案提供商呼吁CSA推出云计算产品安全技术要求,为STAR系列认证锦上添花,作为产品开发、认证的标准。




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。