《云計算與云控制矩陣工具》由會員分享，可在線閱讀，更多相關(guān)《云計算與云控制矩陣工具（33頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,精彩展示,路漫漫其悠遠,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,學(xué)而時習(xí)之不亦樂乎,精彩展示,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,*,*,精彩展示,不畏艱辛勇攀高峰,云計算與云控制矩陣工具,2024/11/21,云：新時代的曙光,云 短期內(nèi)過度宣傳，長期看過于低估,計算成為了一種實用工具,改變一切：商業(yè)模式、風(fēng)險投資、研究開發(fā),什么是云計算？,計算成為了一種實用工具：計算的第三個時代來臨,云的推動者,摩爾

2、定律,超速連接,服務(wù)導(dǎo)向架構(gòu),供應(yīng)商等級,主要特征,靈活，按需服務(wù),多租戶,計量服務(wù),云計算NIST工作定義可視化模式,寬帶網(wǎng)絡(luò),快速靈活,測量服務(wù),按需自助服務(wù),資源共享,軟件即服務(wù)（SaaS）,平臺即服務(wù)（PaaS）,基礎(chǔ)設(shè)施即服務(wù)（IaaS）,共有,私有,混合,社區(qū),基本特征,交付方式,配置模式,4,2011-2014：混合企業(yè),enterprise boundary,共有云,Extended Virtual Data Center,私有云,用戶云,假定組織邊界,應(yīng)用程序傳播,數(shù)據(jù)傳播,用戶傳播,終端設(shè)備傳播,云形成的重要問題,數(shù)據(jù)擁有者和數(shù)據(jù)處理者之間的臨界質(zhì)量,匿名數(shù)據(jù)中心和設(shè)備地域

3、,匿名供應(yīng)商,瞬態(tài)供應(yīng)商關(guān)系,用虛擬控制替代物理控制,身份管理變得非常重要,云會改變安全現(xiàn)狀,重新回歸安全生態(tài)系統(tǒng),當(dāng)今重要的云安全問題,主要威脅,惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意業(yè)內(nèi)人士,賬戶服務(wù)或流量劫持,共享技術(shù)潛在風(fēng)險,不安全的API,未知風(fēng)險預(yù)測,惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意業(yè)內(nèi)人士,流量攔截或劫持,共享技術(shù)潛在風(fēng)險,不安全的API,未知風(fēng)險預(yù)測,當(dāng)今重要的云安全問題,重要威脅,惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意內(nèi)部人員,賬目服務(wù)或流量劫持,共享技術(shù)潛在威脅,不安全的API,未知風(fēng)險預(yù)測,更新信息,信任：缺少供應(yīng)商透明度，影響管治、風(fēng)險管理和符合性,數(shù)據(jù)：泄漏、丟失或存儲在不

4、利地域,不安全云軟件,云服務(wù)的惡意使用,賬目/服務(wù)劫持,惡意內(nèi)部人員,特定云攻擊,未來的主要問題,全球范圍內(nèi)不兼容的法律和政策,非標準私有云和公有云,缺少持續(xù)性風(fēng)險管理和符合性監(jiān)控,不完整的身份管理,對安全事件的雜亂回應(yīng),關(guān)于云安全聯(lián)盟,全球性非盈利組織,超過17,000名個人用戶，90個企業(yè)用戶,打造最佳實踐和一個值得信任的云生態(tài)系統(tǒng),靈活的理念，應(yīng)用研究的快速發(fā)展,GRC：與風(fēng)險管理同步,參考模型：使用現(xiàn)有標準創(chuàng)建,身份：云經(jīng)濟運行的關(guān)鍵基礎(chǔ),一流的互用性,提倡審慎的公共政策,“推進使用最佳實踐以提供云計算的安全保證，對云計算使用進行培訓(xùn)，幫助保護所有其他形式的計算?！?CSA的相關(guān)研究,

5、CSA指導(dǎo)研究,指導(dǎo) 100k下載：,cloudsecurityalliance.org/guidance,治理和企業(yè)風(fēng)險管理,法律和電子發(fā)現(xiàn),符合性和審計,信息生命周期管理,可移植性和互用性,安全、商務(wù)、控制和運作復(fù)原,數(shù)據(jù)中心運營,事件反應(yīng)、通知和整治,應(yīng)用程序安全,加密和密鑰管理,身份和訪問管理,虛擬化,云結(jié)構(gòu),云運行,云治理,保護云計算的流行的最佳實踐,2009年12月發(fā)布的V2.1,計劃于2011年第三季發(fā)布V3,wiki.cloudsecurityalliance.org/guidance,請搜索,云安全指南,樣本指導(dǎo)-治理,保證云安全性的最佳機會是在采購前合同、SLA（服務(wù)等級協(xié)

6、議）、結(jié)構(gòu),了解供應(yīng)商的第三方，BCM/DR、財政可行性和員工審查,如可能，確認數(shù)據(jù)位置,計劃供應(yīng)商終端和資產(chǎn)收益,如可能，保留審計權(quán)利,將供應(yīng)商節(jié)省開支重新投入盡職調(diào)查,樣本指導(dǎo)-運行,如可能，對數(shù)據(jù)進行加密，云供應(yīng)商提供單獨的密鑰管理,改寫安全軟件開發(fā)生命周期,了解供應(yīng)商的修正、供應(yīng)與保護,記錄、數(shù)據(jù)滲漏、精細客戶分離,強化的虛擬機形象,評估供應(yīng)商IdM整合，例如SAML、OpenID,云控制矩陣工具,通過指導(dǎo)進行控制,定等級應(yīng)符合S-P-I的要求,客戶vs供應(yīng)商作用,映射為ISO 27001、COBIT、PCI、HIPAA,幫助IT和IT審計員連接“云空隙”,一致性評估倡議,提供研究工具

7、和流程，進行云供應(yīng)商共用評估,輕質(zhì)“通用標準”概念,與控制矩陣相整合,2010年發(fā)布第1版本的CAI調(diào)查問卷，提出了約140個供應(yīng)商問題以確認現(xiàn)在的安全控制或?qū)嵺`情況 用于評估現(xiàn)在的云供應(yīng)商,云審計,開放標準和API，自動生成安全斷言,將數(shù)據(jù)采集改為數(shù)據(jù)分析,按照云供應(yīng)商的規(guī)模要求提供審計和保證,將云控制矩陣用作控制命名空間,用于持續(xù)性云監(jiān)控下的云指導(dǎo),A6：自動審計、斷言、評估和保證API,CSA和GRC棧,一套工具、最佳實踐和適用技術(shù),綜合行業(yè)研究并簡化云中的GRC,適用于云供應(yīng)商、企業(yè)、解決方案供應(yīng)商和審計/符合性,控制架構(gòu)、調(diào)查問卷和持續(xù)性控制監(jiān)控自動化,控制要求,供應(yīng)商斷言,私有和公

8、有云,一致性評估倡議,云控制矩陣,CCSK 云安全知識證書,僅用于云安全的用戶認證,CSA指導(dǎo)中的能力網(wǎng)絡(luò)測試,價格為$295美元,正在開放培訓(xùn)課程,可信任云計算計劃,綜合云安全參考結(jié)構(gòu),云中的安全和互操作身份,獲得SaaS和PaaS以成為企業(yè)的“信賴者”,可擴展,為身份供應(yīng)商列出責(zé)任,使用現(xiàn)有標準組建參考結(jié)構(gòu),身份管理最佳實踐白皮書：,安全即服務(wù)計劃的需求,各種破壞性趨勢（云、流動性、社會網(wǎng)絡(luò)等）會向信息安全保障提供挑戰(zhàn),云提供計劃讓人重新考慮安全問題（經(jīng)濟、結(jié)構(gòu)、提供服務(wù)方式等）,完成目標宣言的后半部分：,“推進使用最佳實踐以提供云計算的安全保證，,對云計算使用進行培訓(xùn)，幫助保護所有其他形

9、式的計算,。”,安全即服務(wù)范圍,信息安全產(chǎn)業(yè)的再發(fā)明,安全即服務(wù)的定義,清晰指出安全即服務(wù)內(nèi)的解決方案類別,采取安全即服務(wù)的指導(dǎo),符合其它CSA研究,如同在第3版CSA指導(dǎo)中提出的第14個領(lǐng)域一樣，開發(fā)可發(fā)行軟件。,云SIRT,云緊急反應(yīng)的一致性調(diào)查,增強對事件的反應(yīng)能力,標準流程,SIRT的補充性最佳實踐,主辦社區(qū)的云SIRTs,CSA在做什么？,GRC棧,一致性評估倡議,云控制矩陣,云計算1.0版本的重要威脅,云安全聯(lián)盟制訂,2010年3月,中國,漢語,CSA大中華區(qū)規(guī)劃,從地域上，推動最佳實踐在,中國、香港和臺灣地區(qū)等,的使用，在云計算環(huán)境下提供安全保障，并進行云計算使用培訓(xùn)，以幫助確保其它計算形式的安全。,促進全球,中文,地區(qū)安全專業(yè)內(nèi)的CSA計劃,CSAGCC.ORG,使用本地化行業(yè)要求和業(yè)務(wù)案例，以推動全球CSA的發(fā)展。,1,2,3,當(dāng)前工作組,1 CSA官方發(fā)布文件的本地化，包括云控制矩陣、安全威脅、D12 IAM等,2 為中國大陸、香港、臺灣的供應(yīng)商和用戶提供安全控制建議,3,3 云安全使用案例,5 與CSA-JC合作開發(fā)J-SOX相關(guān)的云審計,4 為云服務(wù)提供商和用戶提供安全合同模板,本區(qū)活動,