Cloud Security Alliance

Similar documents

采取行动的机会 90% 开拓成功的道路 2

说明为了反映教运行的基本状态, 为校和院制定相关政策和进行教建设与改革提供据依据, 校从程资源 ( 开类别开量规模 ) 教师结构程考核等维度, 对 2015 年春季期教运行基

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

( ) 信号与系统 Ⅰ 学科基础必修课教周 2016 年 06 月 13 日 (08:00-09:35) ( )

评委 : 徐岩宇 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

<433A5C446F63756D656E E E67735C41646D696E F725CD7C0C3E65CC2DBCEC4CFB5CDB3CAB9D3C3D6B8C4CFA3A8BCF2BBAFA3A95CCAB9D3C3D6B8C4CF31302D31392E646F63>

2014年中央财经大学研究生招生录取工作简报

金不少于 800 万元, 净资产不少于 960 万元 ; (3) 近五年独立承担过单项合同额不少于 1000 万元的智能化工程 ( 设计或施工或设计施工一体 ) 不少于 2 项 ; (4) 近三年每年

目录第一部分概况一主要职能二部门预算单位构成第二部分 15 年部门预算表一 15 年收支预算总表二 15 年收入预算表三 15 年支出预算表 ( 按科目 ) 四 15 年支出预算表 ( 按

0 年上半年评价与考核细则序号部门要素值考核内容考核方式考核标准考核 ( 扣原因 ) 考评得 3 安全生产目 30 无同等责任以上道路交通亡人事故无轻伤责任事故无重大质量

抗日战争研究年第期

<4D F736F F D D323630D6D0B9FAD3A6B6D4C6F8BAF2B1E4BBAFB5C4D5FEB2DFD3EBD0D0B6AF C4EAB6C8B1A8B8E6>

何秋琳张立春视觉学习研究进展视觉注意视觉感知

第1篇道路桥梁工程技术核心专业课程标准及学习绩效考评体系

修改版-操作手册.doc

一从分封制到郡县制一从打虎亭汉墓说起

一公共卫生硕士专业学位论文的概述学位论文是对研究生进行科学研究或承担专门技术工作的全面训练, 是培养研究生创新能力, 综合运用所学知识发现问题, 分析问题和解决

Microsoft Word - 文件汇编.doc

龚亚夫在重新思考基础教育英语教学的理念一文中援引的观点认为当跳出本族语主义的思维定式后需要重新思考许多相连带的问题比如许多发音的细微区别并不影响理解和

一开放性的政策与法规二两岸共同的文化传承三两岸高校各自具有专业优势远见杂志年月日

学年第二学期集中考试安排 (18 周 ) 考试日期 :6 月 27 日星期一 8:10-9:50 第二公共教学楼 A 区 A 高等数学 ( 理二 2) 复材材料科学与工程

全国建筑市场注册执业人员不良行为记录认定标准（试行）.doc

名称生命科学学院环境科学 1 生物学仅接收院内调剂, 初试分数满足我院生物学复试最低分数线生命科学学院生态学 5 生态学或生物学生命科学学院

中国软科学年第期!!!

抗日战争研究 % 年第期! # # % %

西南民族学院学报哲学社会科学版第卷资料来源中国统计年鉴年年新中国五十年统计资料汇编中国人口统计年鉴年数据资料来源中国统计年鉴中国统计出版社年版资料来源

<443A5C6D B5C30312EB9A4D7F7CEC4B5B55C30322EBACFCDACCEC4B5B55C C30342EC8CBC9E7CCFC5C31332ECFEEC4BFC5E0D1B55C E30385C322EB2D9D7F7CAD6B2E12E646F63>

,,,,, :,, (.,, );, (, : ), (.., ;. &., ;.. &.., ;, ;, ),,,,,,, ( ) ( ),,,,.,,,,,, : ;, ;,.,,,,, (., : - ),,,, ( ),,,, (, : ),, :,

珠江钢琴股东大会

金融全渠道银行彩页中文版0702

收入支出项目 2016 年预算项目 2016 年预算预算 01 表单位 : 万元 ( 保留两位小数 ) 一公共财政预算拨款一人员经费一般财力人员支出成品

证券代码：证券简称：超日太阳公告编号：

目录第一部分概况一主要职能二部门预算单位构成第二部分 2015 年部门预算表一 2015 年收支预算总表二 2015 年收入预算表三 2015 年支出预算表 ( 按科目 ) 四 2015 年支出

度 ; 可以对应用系统性能和风险进行分析评估 ; 了解各种系统监控分析工具的使用 ; 具有相关专业技术认证者优先 (12 人 )/ 上海 (2 人 ) 2. 主机系统工程师 :7 人主要职责

<4D F736F F D20322EC9F3BACBC8CBD4B1D7CAB8F1D7A2B2E1B9DCC0EDB9E6B7B6B8BDB1ED2E646F63>

Microsoft Word - 工业品封面.doc

附件 : 上海市建筑施工企业施工现场项目管理机构关键岗位人员配备指南二一四年九月十一日 2

随着执业中医师资格考试制度的不断完善，本着为我校中医学专业认证服务的目的，本文通过对我校中医类毕业生参加2012年和2013年的中医执业医师考试成绩及通过率、掌握率进行分析，并与全国的平均水平进行差异比较分析，以此了解我校执业中医师考试的现状，进而反映我校中医类课程总体教学水平，发现考核知识模块教学中存在的不足，反馈给相关学院和教学管理部门，以此提高教学和管理水平。

<4D F736F F D20C6F3D2B5C5E0D1B5CAA6B9FABCD2D6B0D2B5B1EAD7BC2E646F63>

第六章债券股票价值评估 1 考点一 : 债券价值的影响因素 2

Template BR_Rec_2005.dot

保健食品功能目录管理办法

抗战时期国民政府的银行监理体制探析 % # % % % ) % % # # + #, ) +, % % % % % % % %

¹ º ¹ º 农业流动人口是指户口性质为农业户口在流入地城市工作生活居住一个月及以上的流动人口非农流动人口是指户口性质为非农户口在流入地城市工作生活居住一个

定位和描述 : 程序设计 / 办公软件高级应用级考核内容包括计算机语言与基础程序设计能力, 要求参试者掌握一门计算机语言, 可选类别有高级语言程序设计类数据库编程类

正规培训达规定标准学时数, 并取得结业证书二级可编程师 ( 具备以下条件之一者 ) (1) 连续从事本职业工作 13 年以上 (2) 取得本职业三级职业资格证书后, 连续从事本职业

中中中中部中岗位条件历其它历史师地理师生物师体与健康师从事中历史工从事中地理工从事中生物工从事中体与健康工 2. 课程与论 ( 历史 ); 2. 科 ( 历史 )

深圳市新亚电子制程股份有限公司

Microsoft Word - 第7章图表反转形态.doc

18 上报该学期新生数据至阳光平台第一学期第四周至第六周 19 督促学习中心提交新增专业申请第一学期第四周至第八周 20 编制全国网络统考十二月批次考前模拟题第一学

# 抗日战争研究年第期, 胊县多, # # # # # # # # # # # # # # # # # # # # #

3 月 30 日在中国证券报上海证券报证券时报证券日报和上海证券交易所网站上发出召开本次股东大会公告, 该公告中载明了召开股东大会的日期网络投票的方式时间以及审

简报要点 ESI 共有 22 个学科门类, 江苏高校目前只有 16 个学科门类进入了世界 1%, 分别是一般社会科学临床医学农业科学分子生物学和遗传学动植物科学化学地球科学工程

伊犁师范学院 611 语言学概论全套考研资料 <2016 年最新考研资料 > 2-2 语言学纲要笔记, 由考取本校本专业高分研究生总结而来, 重点突出, 借助此笔记可以大大提高复习效

<4D F736F F D20D6D0B9FABDE1CBE3C9CFBAA3B7D6B9ABCBBECCD8CAE2B7A8C8CBBBFAB9B9D6A4C8AFD5CBBBA7BFAABBA7D2B5CEF1D6B8C4CF2E646F63>

<4D F736F F D20CAAEC8FDCEE5B9E6BBAED7EED6D5B8E5352E33312E646F63>

Microsoft Word - 文档 1

目录一系统访问... 1 二门户首页申报用户审核用户... 2 三系统登录用户名密码登录新用户注册用户登录已注册用

国家职业标准：网络课件设计师

002 电子科学与工程学院拟招生 150 人联系人 : 周老师, 电话物理电子学电路分析电磁场理论 01 电磁物理与微波电子学 02 光子学与光电技术 03 微纳

Transcription:

Understanding cloud service providers activities to Ensure Security of Your Cloud Richard ZHAO Chairman, Greater China of Cloud Security Chief Strategy Officer, NSFOCUS

About the Cloud Security Global, not-for-profit organization Over 25,000 individual members, 100+ corporate members, 50+ chapters Building best practices and a trusted cloud ecosystem Agile philosophy, rapid development of applied research GRC: Balance compliance with risk management Reference models: build using existing standards Identity: a key foundation of a functioning cloud economy Champion interoperability Enable innovation Advocacy of prudent public policy To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.

亚马逊云服务 AWS 的安全案例 Sony PSN 事件攻击者通过注册 EC2 服务, 并以其为跳板对 PSN 进行攻击, 在突破隔离的基础上, 充分利用了内部流量不可见的特性进行信息窃取基于 GPU 集群和 EC2 的 SHA-1 暴力破解利用 GPU 的高带宽并行架构和低能耗结合 EC2 低价格可扩展的实例集群进行应用 8 个实例进行每秒 40 万的密码破解仅花费 16 美元 / 小时 Amazon 云计算平台成为僵尸网络沃土 Amazon EC2 被 ZEUS 僵尸网络工具包利用建立 C&C 服务器 ; 恶意人员以 6 美元为代价对 EC2 发动 DDoS, 同时 SPAM 也大量出现

云来了, 边界被吹走了云计算像风一样吹走了传统的企业网 IT 边界什么是内网? 什么又是外网? 或者说这个问题还重要吗? Where s the Perimeter Now? 4

企业 IT 消费化趋势非常明显 Forrester 的调查结果表明, 在过去的一年里, 准备使用智能手机和 Pad 类电子产品处理企业 IT 应用的比例大幅上升

社会网络和虚拟世界的安全 1 现实社会中的人的弱点将会在虚拟世界同样存在并被更加自动化地利用 3 色情引诱贪心虚荣心信任感懒惰习惯同情心迫切性好奇心 2

虚拟化带来的安全挑战多种多样 More about Virtualization Security Configuration management becomes more critical in virtualization environment. Otherwise, wave after wave malware outburst will swipe your network

逃逸威胁逃逸威胁三类典型的逃逸逃逸的影响信息泄露服务中断后门,Hypervisor VM 威胁的根源 Hypervisor 或设备驱动中的严重漏洞 VM 系统或应用软件中的严重漏洞 VM1 VM2 VMn Hypervisor Hardware VM1 VM2 VMn Hypervisor( 执行任意代码 ) Hardware VM1 VM2 VMn VM1 VM2 VMn VM1 VM2 VMn Hypervisor Hardware Hypervisor( 执行任意代码 ) Hardware Hypervisor Hardware VM1 VM2 VMn VM1 VM2 VMn Hypervisor Hardware Hypervisor Hardware

Operating in the Cloud CSA Guidance Research Cloud Architecture Popular best practices for securing cloud computing V2.1 released 12/2009 Governance and Enterprise Risk Management Legal and Electronic Discovery Compliance and Audit Information Lifecycle Management Portability and Interoperability Security, Bus. Cont,, and Disaster Recovery Governing the Cloud V3 Nov. 2011 wiki.cloudsecurityalliance.org/guidance Data Center Operations Incident Response, Notification, Remediation Application Security Encryption and Key Management Identity and Access Management Virtualization Guidance > 100k downloads: cloudsecurityalliance.org/guidance

CSA 推荐的云安全管理最佳实践 V2.1 云计算的安全运行 1. 能加密则加密之, 独立保管好密钥 2. 适应安全软件开发生命周期的环境要求 3. 理解云提供商的补丁和配置管理安全保护等措施 4. 记录数据渗漏和细粒化的客户隔离 5. 安全加固虚拟机镜像 6. 评估云提供商的 IdM 集成, 例如 SAML, OpenID 等云计算的安全管控 1. 云计算迁移前理清相关合同 SLA 和架构是保护云的最好时机 2. 了解云提供商的供应商 BCM/DR 财务状况以及雇员审查等 3. 尽可能识别数据的物理位置 4. 计划好供应商终止和资产清退 5. 保留审计权利 6. 将部分节省费用投入安全运维

2011 年 CSA 云安全指南 V3 发布 Section I. Cloud Architecture D1: Cloud Computing Architectural Framework Section II. Governing in the Cloud D2: Governance and Enterprise Risk Management D3: Legal Issues: Contracts and Electronic Discovery D4: Compliance and Audit Management D5: Information Management and Data Security D6: Interoperability and Portability Section III. Operating in the Cloud D7: Traditional Security, Business Continuity, and Disaster Recovery D8: Data Center Operations D9: Incident Response D10: Application Security D11: Encryption and Key Management D12: Identity, Entitlement, and Access Management D13: Virtualization D14: Security as a Service

云安全指南之虚拟化安全要求在使用虚拟化技术同时, 应确保安全策略已经相应地更新生产环境和测试 / 开发环境高敏感数据和生产环境等应该考虑建立隔离域确保脆弱性扫描器和管理设备能够覆盖到所使用的虚拟化平台和软件确保补丁管理配置变更管理流程有效覆盖到虚拟机镜像, 包括在线工作的或休眠中的在所有虚拟镜像 VM 都需要使用安全加固软件或服务, 充分利用虚拟操作系统中的内置安全功能或第三方的安全产品来加强安全防护在删除或清除虚拟镜像时, 应确保备份或灾备系统也相应地清除了加密虚拟机镜像

Here s How Strategy Education Security Framework Assessment Build for the Future

CSA GRC Stack Family of 4 research projects Provider Assertions Cloud Controls Matrix Consensus Assessments Initiative Cloud Audit Cloud Trust Protocol Tools for governance, risk and compliance mgt Enabling automation and continuous monitoring of GRC Private, Community & Public Clouds Control Requirements

Objectives of the Greater China Coordination Body 1 Geographically, promote the use of best practices in China, Hong Kong, Taiwan, etc. to provide security assurance within any Cloud Computing environment, and provide education on the use of Cloud Computing to help secure all other forms of computing 汉语中国 2 To promote CSA initiatives within worldwide Chinese-speaking security professional communities. Website of the Chapter http://www.linkedin.com/groups?mostpopular =&gid=2955150 csagcc.org 3 Contribute to global CSA with localized industrial requirements and business cases

CSA-GCC Chapter Activities Welcome to http://csagcc.org

NSFOCUS Leading Security Provider Founded at Beijing in Apr. 2000, with 1000+ employees at 30+ branches in: China Japan US

NSFOCUS Product Family Infrastructure security Web Security Cloud Security NSFOCUS ADS - Anti-DDoS System NSFOCUS NIPS/NIDS - Network Intrusion Prevention System NSFOCUS WAF - Web Application Firewall NSFOCUS WSP - Web Security Platform NSFOCUS WSP+SaaS - Web Security Platform NSFOCUS VM Appliances * NSFOCUS RSAS - Remote Security Assessment System #1 Security Vulnerability Management Vendor at China (IDC, 2009) #1 IPS Vendor at China (IDC, 2009) * VM appliances will be released Q4 2011

绿盟科技云安全路线图 Web Web 漏洞扫描安全配置核查 Security In the Cloud Security Web 应用防火墙抗拒绝服务攻击 Virtualization Security 虚拟化风险评估服务虚拟化入侵检测虚拟化漏洞和配置核查 SOA/App Security 应用安全生命周期安全 ADSL 基于云和 SaaS Security From the Cloud 安全照料服务抗拒绝服务 W E B 应用防火墙

Contact csagcc.org info@cloudsecurityalliance.org LinkedIn: www.linkedin.com/groups?gid=1864210 Twitter: @cloudsa http://www.nsfocus.com

Thank you!