《云計(jì)算與云控制矩陣工具》由會(huì)員分享，可在線閱讀，更多相關(guān)《云計(jì)算與云控制矩陣工具（33頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,*,精彩展示,路漫漫其悠遠(yuǎn),單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,*,學(xué)而時(shí)習(xí)之不亦樂(lè)乎,精彩展示,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,*,精彩展示,不畏艱辛勇攀高峰,云計(jì)算與云控制矩陣工具,2024/11/21,云：新時(shí)代的曙光,云 短期內(nèi)過(guò)度宣傳，長(zhǎng)期看過(guò)于低估,計(jì)算成為了一種實(shí)用工具,改變一切：商業(yè)模式、風(fēng)險(xiǎn)投資、研究開(kāi)發(fā),什么是云計(jì)算？,計(jì)算成為了一種實(shí)用工具：計(jì)算的第三個(gè)時(shí)代來(lái)臨,云的推動(dòng)者,摩爾

2、定律,超速連接,服務(wù)導(dǎo)向架構(gòu),供應(yīng)商等級(jí),主要特征,靈活，按需服務(wù),多租戶,計(jì)量服務(wù),云計(jì)算NIST工作定義可視化模式,寬帶網(wǎng)絡(luò),快速靈活,測(cè)量服務(wù),按需自助服務(wù),資源共享,軟件即服務(wù)（SaaS）,平臺(tái)即服務(wù)（PaaS）,基礎(chǔ)設(shè)施即服務(wù)（IaaS）,共有,私有,混合,社區(qū),基本特征,交付方式,配置模式,4,2011-2014：混合企業(yè),enterprise boundary,共有云,Extended Virtual Data Center,私有云,用戶云,假定組織邊界,應(yīng)用程序傳播,數(shù)據(jù)傳播,用戶傳播,終端設(shè)備傳播,云形成的重要問(wèn)題,數(shù)據(jù)擁有者和數(shù)據(jù)處理者之間的臨界質(zhì)量,匿名數(shù)據(jù)中心和設(shè)備地域

3、,匿名供應(yīng)商,瞬態(tài)供應(yīng)商關(guān)系,用虛擬控制替代物理控制,身份管理變得非常重要,云會(huì)改變安全現(xiàn)狀,重新回歸安全生態(tài)系統(tǒng),當(dāng)今重要的云安全問(wèn)題,主要威脅,惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意業(yè)內(nèi)人士,賬戶服務(wù)或流量劫持,共享技術(shù)潛在風(fēng)險(xiǎn),不安全的API,未知風(fēng)險(xiǎn)預(yù)測(cè),惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意業(yè)內(nèi)人士,流量攔截或劫持,共享技術(shù)潛在風(fēng)險(xiǎn),不安全的API,未知風(fēng)險(xiǎn)預(yù)測(cè),當(dāng)今重要的云安全問(wèn)題,重要威脅,惡意使用,數(shù)據(jù)丟失/數(shù)據(jù)泄漏,惡意內(nèi)部人員,賬目服務(wù)或流量劫持,共享技術(shù)潛在威脅,不安全的API,未知風(fēng)險(xiǎn)預(yù)測(cè),更新信息,信任：缺少供應(yīng)商透明度，影響管治、風(fēng)險(xiǎn)管理和符合性,數(shù)據(jù)：泄漏、丟失或存儲(chǔ)在不

4、利地域,不安全云軟件,云服務(wù)的惡意使用,賬目/服務(wù)劫持,惡意內(nèi)部人員,特定云攻擊,未來(lái)的主要問(wèn)題,全球范圍內(nèi)不兼容的法律和政策,非標(biāo)準(zhǔn)私有云和公有云,缺少持續(xù)性風(fēng)險(xiǎn)管理和符合性監(jiān)控,不完整的身份管理,對(duì)安全事件的雜亂回應(yīng),關(guān)于云安全聯(lián)盟,全球性非盈利組織,超過(guò)17,000名個(gè)人用戶，90個(gè)企業(yè)用戶,打造最佳實(shí)踐和一個(gè)值得信任的云生態(tài)系統(tǒng),靈活的理念，應(yīng)用研究的快速發(fā)展,GRC：與風(fēng)險(xiǎn)管理同步,參考模型：使用現(xiàn)有標(biāo)準(zhǔn)創(chuàng)建,身份：云經(jīng)濟(jì)運(yùn)行的關(guān)鍵基礎(chǔ),一流的互用性,提倡審慎的公共政策,“推進(jìn)使用最佳實(shí)踐以提供云計(jì)算的安全保證，對(duì)云計(jì)算使用進(jìn)行培訓(xùn)，幫助保護(hù)所有其他形式的計(jì)算。”,CSA的相關(guān)研究,

5、CSA指導(dǎo)研究,指導(dǎo) 100k下載：,cloudsecurityalliance.org/guidance,治理和企業(yè)風(fēng)險(xiǎn)管理,法律和電子發(fā)現(xiàn),符合性和審計(jì),信息生命周期管理,可移植性和互用性,安全、商務(wù)、控制和運(yùn)作復(fù)原,數(shù)據(jù)中心運(yùn)營(yíng),事件反應(yīng)、通知和整治,應(yīng)用程序安全,加密和密鑰管理,身份和訪問(wèn)管理,虛擬化,云結(jié)構(gòu),云運(yùn)行,云治理,保護(hù)云計(jì)算的流行的最佳實(shí)踐,2009年12月發(fā)布的V2.1,計(jì)劃于2011年第三季發(fā)布V3,wiki.cloudsecurityalliance.org/guidance,請(qǐng)搜索,云安全指南,樣本指導(dǎo)-治理,保證云安全性的最佳機(jī)會(huì)是在采購(gòu)前合同、SLA（服務(wù)等級(jí)協(xié)

6、議）、結(jié)構(gòu),了解供應(yīng)商的第三方，BCM/DR、財(cái)政可行性和員工審查,如可能，確認(rèn)數(shù)據(jù)位置,計(jì)劃供應(yīng)商終端和資產(chǎn)收益,如可能，保留審計(jì)權(quán)利,將供應(yīng)商節(jié)省開(kāi)支重新投入盡職調(diào)查,樣本指導(dǎo)-運(yùn)行,如可能，對(duì)數(shù)據(jù)進(jìn)行加密，云供應(yīng)商提供單獨(dú)的密鑰管理,改寫(xiě)安全軟件開(kāi)發(fā)生命周期,了解供應(yīng)商的修正、供應(yīng)與保護(hù),記錄、數(shù)據(jù)滲漏、精細(xì)客戶分離,強(qiáng)化的虛擬機(jī)形象,評(píng)估供應(yīng)商IdM整合，例如SAML、OpenID,云控制矩陣工具,通過(guò)指導(dǎo)進(jìn)行控制,定等級(jí)應(yīng)符合S-P-I的要求,客戶vs供應(yīng)商作用,映射為ISO 27001、COBIT、PCI、HIPAA,幫助IT和IT審計(jì)員連接“云空隙”,一致性評(píng)估倡議,提供研究工具

7、和流程，進(jìn)行云供應(yīng)商共用評(píng)估,輕質(zhì)“通用標(biāo)準(zhǔn)”概念,與控制矩陣相整合,2010年發(fā)布第1版本的CAI調(diào)查問(wèn)卷，提出了約140個(gè)供應(yīng)商問(wèn)題以確認(rèn)現(xiàn)在的安全控制或?qū)嵺`情況 用于評(píng)估現(xiàn)在的云供應(yīng)商,云審計(jì),開(kāi)放標(biāo)準(zhǔn)和API，自動(dòng)生成安全斷言,將數(shù)據(jù)采集改為數(shù)據(jù)分析,按照云供應(yīng)商的規(guī)模要求提供審計(jì)和保證,將云控制矩陣用作控制命名空間,用于持續(xù)性云監(jiān)控下的云指導(dǎo),A6：自動(dòng)審計(jì)、斷言、評(píng)估和保證API,CSA和GRC棧,一套工具、最佳實(shí)踐和適用技術(shù),綜合行業(yè)研究并簡(jiǎn)化云中的GRC,適用于云供應(yīng)商、企業(yè)、解決方案供應(yīng)商和審計(jì)/符合性,控制架構(gòu)、調(diào)查問(wèn)卷和持續(xù)性控制監(jiān)控自動(dòng)化,控制要求,供應(yīng)商斷言,私有和公

8、有云,一致性評(píng)估倡議,云控制矩陣,CCSK 云安全知識(shí)證書(shū),僅用于云安全的用戶認(rèn)證,CSA指導(dǎo)中的能力網(wǎng)絡(luò)測(cè)試,價(jià)格為$295美元,正在開(kāi)放培訓(xùn)課程,可信任云計(jì)算計(jì)劃,綜合云安全參考結(jié)構(gòu),云中的安全和互操作身份,獲得SaaS和PaaS以成為企業(yè)的“信賴(lài)者”,可擴(kuò)展,為身份供應(yīng)商列出責(zé)任,使用現(xiàn)有標(biāo)準(zhǔn)組建參考結(jié)構(gòu),身份管理最佳實(shí)踐白皮書(shū)：,安全即服務(wù)計(jì)劃的需求,各種破壞性趨勢(shì)（云、流動(dòng)性、社會(huì)網(wǎng)絡(luò)等）會(huì)向信息安全保障提供挑戰(zhàn),云提供計(jì)劃讓人重新考慮安全問(wèn)題（經(jīng)濟(jì)、結(jié)構(gòu)、提供服務(wù)方式等）,完成目標(biāo)宣言的后半部分：,“推進(jìn)使用最佳實(shí)踐以提供云計(jì)算的安全保證，,對(duì)云計(jì)算使用進(jìn)行培訓(xùn)，幫助保護(hù)所有其他形

9、式的計(jì)算,?！?安全即服務(wù)范圍,信息安全產(chǎn)業(yè)的再發(fā)明,安全即服務(wù)的定義,清晰指出安全即服務(wù)內(nèi)的解決方案類(lèi)別,采取安全即服務(wù)的指導(dǎo),符合其它CSA研究,如同在第3版CSA指導(dǎo)中提出的第14個(gè)領(lǐng)域一樣，開(kāi)發(fā)可發(fā)行軟件。,云SIRT,云緊急反應(yīng)的一致性調(diào)查,增強(qiáng)對(duì)事件的反應(yīng)能力,標(biāo)準(zhǔn)流程,SIRT的補(bǔ)充性最佳實(shí)踐,主辦社區(qū)的云SIRTs,CSA在做什么？,GRC棧,一致性評(píng)估倡議,云控制矩陣,云計(jì)算1.0版本的重要威脅,云安全聯(lián)盟制訂,2010年3月,中國(guó),漢語(yǔ),CSA大中華區(qū)規(guī)劃,從地域上，推動(dòng)最佳實(shí)踐在,中國(guó)、香港和臺(tái)灣地區(qū)等,的使用，在云計(jì)算環(huán)境下提供安全保障，并進(jìn)行云計(jì)算使用培訓(xùn)，以幫助確保其它計(jì)算形式的安全。,促進(jìn)全球,中文,地區(qū)安全專(zhuān)業(yè)內(nèi)的CSA計(jì)劃,CSAGCC.ORG,使用本地化行業(yè)要求和業(yè)務(wù)案例，以推動(dòng)全球CSA的發(fā)展。,1,2,3,當(dāng)前工作組,1 CSA官方發(fā)布文件的本地化，包括云控制矩陣、安全威脅、D12 IAM等,2 為中國(guó)大陸、香港、臺(tái)灣的供應(yīng)商和用戶提供安全控制建議,3,3 云安全使用案例,5 與CSA-JC合作開(kāi)發(fā)J-SOX相關(guān)的云審計(jì),4 為云服務(wù)提供商和用戶提供安全合同模板,本區(qū)活動(dòng),