模块管理与计算安全与风险.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,2012 Securosis LLC and Cloud Security Alliance,All Rights Reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,.,2012 Securosis LLC and Cloud Security Alliance,All Rights Reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,.,2012 Securosis LLC and Cloud Security Alliance,All Rights Reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,.,2012 Securosis LLC and Cloud Security Alliance,All Rights Reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,.,2012 Securosis LLC and Cloud Security Alliance,All Rights Reserved.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,.,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,.,All Rights Reserved.,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,模块3：管理云计算安全和风险,1,2,模块目标,风险管理框架,无框架的自组织风险管理,监管,合同,人为因素,计划和保障,服务中断最小化,保持对知识产权的控制,在云中事件如何变化,定义职责和义务,2,.,在一切开始之前,关于管理、风险、法律、合规和审计等的讨论中，始终记住：服务商和客户之间的合同，是客户提供内部控制的唯一途径。若没有对合同进行充分的论证，客户内部控制程序的成功是渺茫的。,3,合同,服务商,客户,内部控制,3,.,协商合同条款,4,在许多（大多数）情况下，云服务提供商与客户间的合同并没有经过充分的协商，甚至没有讨论合同条款的过程。例如：使用由一个服务商完成的SaaS服务时，客户组织可能根本不了解合同的情况,4,.,风险和管理,5,5,.,关键概念,什么是风险？,遭受损失的可能性,几个结论：,风险管理是很困难的，管理变化是必要的，有效的控制设计是困难的,风险管理要点,企业风险管理、信息风险管理、第三方管理,风险管理需要涵盖：身份、实现、监控,通过合适的组织结构、规程和控制措施实现,6,6,.,风险管理需要考虑的问题,审计供应链：确保没有供应链带来的服务提供商的风险。,董事会以及管理结构和过程：一个云管理程序必须适合于组织本身。,企业责任与合规：考虑所在地的法律要求，以及立法之外的合规性需求,财务状况与信息披露：云服务提供商的真实价值和生存能力，也是在进行风险管理时需要考虑的问题,所有权的结构与控制权实施的一致性,7,7,.,管理的工具,8,SSAE16/SAS70：针对金融服务机构向客户提供服务的内部控制、安全保障、审计监督措施的标准。,8,.,All Rights Reserved.,风险管理,9,9,.,风险决策（CSA方式）,10,10,.,从风险到安全,企业风险管理与信息安全管理程序间的联系一定如下：,11,11,.,结构化的考虑,12,为了节约成本，我们放弃了对资产的直接拥有权，由于不拥有资产，我们的控制能力会降低，将资金投入到提高监控能力上（或其他的技术或法规控制举措），以弥补控制能力的欠缺，找到节约和花费的平衡点，以确保满足尽职调查和管理责任的标准。,12,.,权衡考虑,13,一个传统的内部控制系统有两类控制措施：,基本控制：确保系统/进程按预期执行的主要方法。,通常描述为：阻止/发现/补偿,缓解控制：当你不能使用基本控制措施的情况下采用。,在云计算环境中，组织明确的放弃直接控制而必须依赖缓解控制。这要求控制措施设计者花更多的时间考虑如何进行有效的远程控制。在云的世界中内部控制措施只能是监控和影响。,13,.,All Rights Reserved.,风险评估,14,Value of Information,信息价值,Risk Assessment Effort,风险评估努力,信息的价值越高就应该在风险评估方面付出更多的努力,14,.,风险评估的一致性,15,Methodology,方法论,Methodology,方法论,为了拥有相当的风险管理态度，服务商和客户应该拥有对等的：,成熟度：使用能力成熟度模型类的语言服务商是否比客户更加成熟或不成熟？,一致性：是否更成熟的组织拥有一个更广泛的风险管理能力成熟度基础？它是否严重违反相关法律和监管的要求？,充分性：风险管理能力的完整视图是否能够满足信息资产保护的最小需求？,15,.,理想的状态,16,风险管理计划应该作为云服务合同的附录。确保服务商在销售过程中的承诺有明确的记录，并确保客户对服务中哪些包含、哪些不包含有明确的理解。,16,.,宏观问题,不仅要对服务商，也要对服务进行风险评估。,大多服务商实际上提供多个服务，其中一部分可能满足了你的风险管理要求，但另一部分却不能满足。因此，服务商的质量不等同于服务的质量，需要对两方面都进行仔细的审查。,如果服务商不能清晰定义风险的管理责任，客户需要仔细的评估补偿成本,应确保管理层对云服务的风险有清晰的理解，并且残余风险在可接受程度。,以容易被管理层理解的方式记录风险（使用它们的语言和词典），记录全部已消除或未消除的问题。,17,17,.,不同交付模式的对比,18,交付模式决定了哪些信息可以被收集，以及谁对收集信息负责：,SaaS：信息源访问最少，提供信息的责任全部由服务商承担，客户唯一的抓手就是合同。,PaaS：可以允许也可以不允许信息源的访问，可以提供额外的技术接口将决策信息在服务商不参与的情况下直接提供给客户。,IaaS：可以利用许多传统IT部门中的工具和技术。对于不在客户控制或视图范围内的部分，服务合同可以要求信息/指标被透明的传递给客户。,18,.,评估供应商,19,19,.,估供应商评,20,20,.,评估频率,21,Consider CloudAudit and other CSA tools and programs.,考虑CloudAudit以及其它CSA工具和程序,21,.,Third-Party Management,第三方管理,22,22,.,精简版的云风险管理,23,帮助你进行云使用的早期风险决策，不能替代完整的风险评估,23,.,评估资产：两类资产,24,24,.,六个关键问题,25,25,.,勾画数据流,Customer,External,2,6,需要考虑和画出的因素：,参与方：你、云服务商、你的客户、相关组织,信息：在哪里存储，如何保护,信息如何流动，如何保护,监管和合规性要求,26,.,不可接受风险 vs.残留风险,在分析之后，你已经有一份不可控风险的列表,其中的部分风险可以通过调整你的潜在部署选项而改变,部分风险可以通过提高控制措施的有效性而得以缓解,采取所有上述措施之后仍然剩余的风险将是你需要作出的最后决策,27,27,.,法律及合规性,28,28,.,关键概念,29,29,.,Legal Issues,法律问题,30,30,.,信息管理法律责任,31,31,.,功能性问题,3,2,32,.,司法问题,3,3,33,.,位置与司法权,34,Where does the data reside at the time of service?,服务提供时数据存放在哪里？,Anonymity or variability of provider?,服务商匿名和可变化？,Anonymity or variability of location?,位置匿名和可变化？,34,.,例：美国法律规定（发现和保留）,35,35,.,美国法律规定（2）,36,36,.,合同问题,Contract lifecycle management,合同生命周期管理,Prepare for unexpected termination,异常终止准备,Ownership of and swift access to data(and logging/metadata),拥有并快速访问数据（以及日志/元数据）,As well as traditional outsourcing issues,传统外包问题,Security policy/procedures安全策略/流程,Incident management事件管理,Vulnerability management漏洞管理,Secure operations安全运营,Employee quality员工质量,Right to audit审计权利,Treat Cloud as you would other third-party,像对待其它第三方一样对待云,37,37,.,Compliance,合规性,38,38,.,Regulatory监管者,39,39,.,Privacy Considerations,隐私考虑,40,40,.,Audit,审计,4,1,41,.,审计,42,42,.,审计计划,43,审计计划应该在合同中约定,43,.,合规性构件,44,合规性构件是指你用来证明合规性的文档或报告，包括：,44,.,审计结果,4,5,要使用审计结果，应进行如下工作：,明白上下文和范围，然后看它是否适合你。,评估你如何能基于审计上下文环境最小化风险。,决定残留风险是否可以接受。,45,.,可移植性和互操作性,46,46,.,关键问题,做好一切的准备,迁移需求的原因,考虑所需的成本和时间,服务提供商接口的可移植性问题,47,注意：虽然有一些标准，但大多云服务商在运营中并不支持互操作。因此，迁移你的基础设施意味着很大的改变。现有的互操作仅是表面的。例如，Eucalyptus和OpenStack使用相同的API调用，但不是相同的底层实现。亚马逊EC2也匹配这些API，但他们仅仅是使用相似的语言，底层的东西都不相同。,47,.,可移植性和互操作性,48,48,.,可移植性是重要的,49,49,.,可移植性是昂贵的,50,50,.,关键的可移植性考虑,数据迁移延迟可能导致业务中断,在同一服务商的不同位置间迁移数据都是足够困难的，更不要提在两个不同的服务商之间。网络带宽是有限的，因此你需要为大的应用启用物理介质传递。更糟的是，你可能根本无法获得你的数据。,文档可能是不充分的,两边的文档可能都不充分，从而使迁移更加困难，特别是安全控制有关的文档,使用户定制最小化,不要采用特定于某服务商的API库和模块，你越采用定制化的API库和其它特定于服务商的特征，你拥有的可移植性就越差,51,51,.,可移植性考虑,52,52,.,可移植性考虑,5,3,53,.,事件响应，通告和补救,54,54,.,事件在云环境中产生变化,部分事件的可能性在上升，而另外一些在下降,需要考虑针对云服务商的攻击会如何影响你的系统,如果你的数据是离岸的，相关的立法或监管政体可能会有不同的需求,55,变化取决于不同的环境，需要考虑针对云服务商或者与你分享同一服务的其它用户的攻击。例如：针对你所在的云环境中的其它用户的DDOS攻击，不管你是否是攻击的目标，最终结果对你来说是相同的。,55,.,云对于事件响应的影响,56,56,.,事件响应生命周期,57,57,.,58,Preparation,准备,理解数据在哪里以及移植到哪里,理解和澄清服务级别协议和合同,这些成为你的基本通信和执行工具,查找如下内容：,联系方式，通信渠道。,事件定义和通告标准。,测试，范围，角色和职责。,分享事件响应计划（如果可能），澄清模糊点,测试计划,弥补差距,最重要的：知道出了事件应该打电话找谁！,58,.,59,Detection&Analysis,检测&分析,检测依赖于数据可用性,知道你的数据源什么是服务商提供的，什么是你自己收集的。,分析缺乏服务商设施透明性的影响,数据源问题：,什么应该记录以及什么已被记录？,日志是否一致和完整？,日志是否反映了云的动态特征？,日志是否满足法律需求，防篡改，及格式需求？,取证局限于你的虚拟实例，因此快照是很有用的,59,.,60,Containment,封锁,云服务商的基本职责是针对对全体客户的。,封锁可能意味着封锁你。你将被牺牲以保持服务的稳定性。,你对你自己的封锁、根除和恢复负责。,服务商可能会帮助，但严重依赖于具体情况。,暂停IaaS中的实例以隔离而不破坏证据。,PaaS和SaaS要困难的多更多的依赖访问控制。,Eradication&Recovery,根除&恢复,60,.,事后响应,评估事件的根本原因。,与服务商响应小组一起纠正任何流程或通信问题,识别差距以改进流程，如果需要，开展合同协商,61,61,.,总结,调整你的风险管理流程以解决云架构带来的不同。,法律问题典型的集中于司法和合同问题。,可移植性和互操作性不是共同的，很大程度上依赖于你使用特定服务商的能力的多少。,事件响应现在涉及多方，你可能会丧失你现有的部分监控和分析能力。,62,62,.,练习题,对企业风险评估给予的关注和审查级别应直接与什么相关？,云计算环境的规模,面临风险的信息的价值,操作系统和防火墙类型,云是否为IaaS,PaaS,或者 SaaS,A and C,云计算为客户提供了许多优点，包括成本节约，可伸缩性，和更短的新部署和实现周期。推荐你至少利用所节约成本的一部分做什么？,将节约的成本再投资到强化系统安全审查中,将节约的成本再投资到开发者中,将节约的成本再投资到额外的营销材料中,重新分配成本节约到其它项目中因为云环境不会导致额外的安全威胁,将节约的成本回馈客户,63,63,.,练习题,对企业风险评估给予的关注和审查级别应直接与什么相关？,云计算环境的规模,面临风险的信息的价值,操作系统和防火墙类型,云是否为IaaS,PaaS,或者 SaaS,A and C,云计算为客户提供了许多优点，包括成本节约，可伸缩性，和更短的新部署和实现周期。推荐你至少利用所节约成本的一部分做什么？,将节约的成本再投资到强化系统安全审查中,将节约的成本再投资到开发者中,将节约的成本再投资到额外的营销材料中,重新分配成本节约到其它项目中因为云环境不会导致额外的安全威胁,将节约的成本回馈客户,64,64,.,练习题,什么可授予一个客户审计云服务商的权利？,联邦法律,合同中的透明权利条款,国际法,客户从来没有权利审计一个云服务商,合同中的审计权利条款,当考虑一个云项目时，互操作性可以获得和保持的程度依赖于什么？,在每个云中使用的硬件系统的兼容性,存储空间的数量是根据备用操作系统来分配的,云服务商与来自其它云服务商的技术人员协同工作的程度,加密系统的兼容性,云服务商使用开放或公开架构，标准协议和标准API库的程度,69,65,.,练习题,什么可授予一个客户审计云服务商的权利？,联邦法律,合同中的透明权利条款,国际法,客户从来没有权利审计一个云服务商,合同中的审计权利条款,当考虑一个云项目时，互操作性可以获得和保持的程度依赖于什么？,在每个云中使用的硬件系统的兼容性,存储空间的数量是根据备用操作系统来分配的,云服务商与来自其它云服务商的技术人员协同工作的程度,加密系统的兼容性,云服务商使用开放或公开架构，标准协议和标准API库的程度,70,66,.,练习题,在大部分数据保护法律中，当数据被传送到一个第三方保管时，谁最终对数据的安全负责？,第三方（目前存储数据的）,雇佣了第三方的原始数据管理员,第三方和初始管理人,每个提交了个人信息的个人用户,国际的数据安全合规机构,审计应该被精心设计以反映最佳的实践，适当的资源，及经测试的协议和标准。同时他们应使用什么类型的审计员？,为云客户的利益而工作的审计员,独立的审计员,由,CSA,认证,为云服务商的利益而工作的审计员,以上都不是,71,67,.,练习题,在大部分数据保护法律中，当数据被传送到一个第三方保管时，谁最终对数据的安全负责？,第三方（目前存储数据的）,雇佣了第三方的原始数据管理员,第三方和初始管理人,每个提交了个人信息的个人用户,国际的数据安全合规机构,审计应该被精心设计以反映最佳的实践，适当的资源，及经测试的协议和标准。同时他们应使用什么类型的审计员？,为云客户的利益而工作的审计员,独立的审计员,由,CSA,认证,为云服务商的利益而工作的审计员,以上都不是,72,68,.,练习题,在认证中使用SAML或web服务安全提高了与其它基于标准的系统的,可伸缩性,安全,适口性,内聚力,互操作性,在IaaS中，谁对客户系统监控负责？,互联网服务提供商,云服务商,客户,责任分享,数据专员,73,69,.,练习题,在认证中使用SAML或web服务安全提高了与其它基于标准的系统的,可伸缩性,安全,适口性,内聚力,互操作性,在IaaS中，谁对客户系统监控负责？,互联网服务提供商,云服务商,客户,责任分享,数据专员,74,70,.,练习题,云生态系统的不同组件协同实现预期结果的需求被称为什么？,可移植性,可伸缩性,兼容性,互操作性,轻信（易受骗）,期望云服务提供商为每一个客户创建事件响应计划是合理的。,True,False,称为“点击生效协议（click-wrap agreement）”的书面合同中，合同条款可以协商和裁剪以精确的满足客户的需要。,TRUE,FALSE,75,71,.,练习题,云生态系统的不同组件协同实现预期结果的需求被称为什么？,可移植性,可伸缩性,兼容性,互操作性,轻信（易受骗）,期望云服务提供商为每一个客户创建事件响应计划是合理的。,True,False,称为“点击生效协议（click-wrap agreement）”的书面合同中，合同条款可以协商和裁剪以精确的满足客户的需要。,TRUE,FALSE,7,6,72,.,谢谢观看！,