云计算安全国际标准发展现状及相关思考.pdf

云计算安全国际标准发展现状及相关思考 谢玮 中国信息通信研究院安全研究所副所长 目 录 1 云计算安全形势 • 云计算发展步伐持续加快 • 云安全新老问题不断交织 • 云安全标准化工作得到广泛重视 2 云计算安全标准化工作概述 3 ITU-T云计算安全标准现状 4 相关思考 云计算安全形势：云计算发展步伐持续加快 近年来，云计算市场增长迅速，行业应用不断深化，各大云服务商不断加快云计算基础设施的建设 布局。与此同时，云计算关键技术的快速迭代更新推动着云技术架构和应用模式不断演进。 全球云计算市场规模稳定增长 • 2017年，以IaaS、PaaS、SaaS为代表的主要公有云服务市场规 模达1110亿美元 （约合人民币7635.9亿元）； • 预计到2021年，全球公有云市场规模将达2461亿美元，年复合 增长率达18.89%。 信通院《云计算发展白皮书（2018年）》，整理自Gartner 云计算底层技术架构不断演变 多云形态逐渐成为主流应用模式 • 关键技术快速迭代：容器、高性能计算、微服务架 • 企业需要多种云环境并存以适应业务发展趋势； 构等技术发展加快云计算技术架构迭代更新； • 从基础架构为核心到应用为核心的转变； • 技术融合驱动业务应用不断深化：云网融合，云计 • 结合公有云的弹性和私有云的私密性，寻求最 算与物联网、工业互联网、人工智能等有机结合不 佳性能和安全可靠间的平衡。 断深化业务应用。 云计算安全形势：新老安全问题不断交织 一方面，网络病毒、漏洞入侵、内部泄漏等传统网络安全威胁依然存在；另一方面，云环境网络规 模化、数据信息海量化、存储服务集约化等特点也给云平台架构和云业务发展带来新的安全挑战。 云安全事件频发，网络安全问题持续发生 • 2016年9月，国际CDN厂商Cloudflare曝出API密钥安全漏洞 ，导致数百 万网络托管客户数据被泄露； • 2017年3月，微软Azure公有云存储故障导致业务受影响超过8小时 ； • 2017年6月，亚马逊AWS共和党数据库中的美国2亿选民个人信息被曝光。 专业化、集约化的新计算模式引发新安全风险 承载多类型业务应用，服务模式复杂化引发业务逻 多使用第三方组件等开源软件系统性安全功能相对缺乏， 辑安全、认证鉴权和不良信息管控等安全问题 存在安全漏洞 存储、计算等多层面资源虚拟化，带来数据管理权与所 各类数据集中存储，涉及海量用户敏感信息和数据资产， 有权分离，网络边界模糊等问题 安全问题将引发 “一点突破、全网皆失”的严重后果 云计算安全形势：云安全标准化工作得到广泛重视 云计算安全标准化工作重要性 • 云基础设施作为承载各类应用的底层关键信息基础设施，其安全性与其上各类关键业务系统、基础资源、 用户数据安全性强相关，成为影响云计算发展的关键因素之一； • 缺乏统一的概念术语、架构、测评、风险管理等标准，将对技术的发展应用和产业化形成阻碍。 • 国际标准化组织、开源组织、区域化标准机构相继开展云计算安全标准化工作； • ISO IEC JTC1 SC27（信息安全分技术委员会）最早于2010开始推进云计算安全标准化工作； • ITU-T于2010年成立云计算焦点组，并于2011年10月，重组成立SG17 Q8云计算安全研究