11-云安全技术.pdfVIP

中国电信2016-7 CSA STAR认证 可信云认证  ISO 27001认证 云数据中心安全框架 阿里的安全策略 云 计 安 算 全 安 云 全 CSA STAR认证是一项全新而有针对性的国际专业认证 项目，由全球标准奠基者——英国标准协会（bsi）和国际 云安全权威组织云安全联盟（CSA）联合推出，旨在应对与 云安全相关的特定问题。 云安全国际认证（CSA-STAR）以ISO/IEC 27001认证 为基础，结合云端安全控制矩阵CCM的要求，运用BSI提供 的成熟度模型和评估方法，为提供和使用云计算的任何组织， 从沟通和利益相关者的参与；策略、计划、流程和系统性方 法；技术和能力；所有权、领导力和管理；监督和测量等5 个维度，综合评估组织云端安全管理和技术能力，最终给出 独立第三方外审结论。 为全球第一个获得CSA STAR全球金牌认证的公司，充分证 实了在安全云计算中的技术领导地位，验证了业务安全性符 合国际上最先进的云安全标准要求。 该认证可确保管理层能够掌握全面的信息，从而评估其 管理体系是否能够有效达到国际标准与云安全行业的预期。 CSA STAR认证可以为客户提供比业界要求更高的云厂商服 务能力透明度，帮助客户在购买和使用服务时作出更为明智 的决策。其价值还体现在让更多的用户信任并敢于尝试云计 算服务，从而让其借助云的力量实现快速发展与业务创新。 Threat #1: Abuse and Nefarious Use of Cloud Computing 云计算的滥用、恶用、拒绝服务攻击 Threat #2: Insecure Interfaces and APIs 不 安全的接口和API Threat #3: Malicious Insiders 恶意的内部员工 Threat #4: Shared Technology Issues 共享技术产生的问题 Threat #5: Data Loss or Leakage 数据泄漏 Threat #6: Account or Service Hijacking 账号和服务劫持 Threat #7: Unknown Risk Profile 未知的风险场景 说明 • 攻击者使用云的理由与合法消费者相同——低成本进行巨量 处理 影响 • 密码破解、DDoS、恶意存取、垃圾邮件、cc服务器、 CAPTCHA破解等 举例 • 现在在中搜索MalwareDomainL，可获 得21个结果 • “过去三年中，ScanSafe记录了与amazonaws相关的80个恶意 事件”–ScanSafe博客 •Amazon 的EC2出现了垃圾邮件和恶意软件的问题- Slashdot 说明 • 由于不合适的访问控制或弱加密造成数据破解 • 因为多租户结构，不够安全的数据风险较高 影响 • 数据完整性和保密性 举例 • 社保系统漏洞曝光，险泄露千万用户信息 • 网易邮箱数据疑似泄露，却遭官方矢口否认 • 国家旅游局漏洞致6套系统沦陷，涉及全国6000万客户 • 草榴遭攻击，千万狼友... • 15年信息泄露第一弹，机锋网被曝泄2300万用户信息 说明 • 云供应商的员工可能滥用权力访问客户数据/功能 •减少内部进程的可见性可能会妨碍探测这种违法行为 影响 • 数据保密性和完整性 • 名誉损失 • 法律后果 举例 • 5月28 日上午11时许，携程网突然陷入瘫痪，官方表示是由 于携程部分服务器遭到不明攻击，而导致官方网站及APP无 法正常使用。对于事故原因，社交网站和微信群中都有不同 的猜测，主要包括数据库被物理删除、业务代码被删除或者 安全漏洞。 说明 • 对客户或云进行流量拦截和/或改道发送 • 偷取凭证以窃取或控制账户信息/服务 影响 • 数据保密性和完整性 • 声誉影响 • 资源恶意使用造成的后果（法律） 举例 • 2010年12月7 日在中国互联网行业掀起轩然大波的百度域名 遭劫持事