nuke同学翻译了 “Gartner 2014年信息安全趋势与总结”,里边确实有很多有方向性的东西。对其中自己熟悉的部分内容做一做解读。也梳理下知识和经验。弄成系列性的:Gartner2014年信息安全趋势解读(1):“云计算安全责任”“,云计算环境的安全责任该如何划分,借着gartner的材料,深入的谈一下看法。
1、云计算环境下的安全责任
云计算有SaaS、PaaS和IaaS三种服务模式。不同服务模式下云服务商与用户的控制范围不同,安全责任也不同。
a)在SaaS模式下,云服务商的安全措施范围最大,用户的控制范围只能到数据层,控制范围最小。
b)在PaaS模式下,网络、存储、服务器等由云服务商保障,服务、应用的安全措施由用户和云服务商分担。用户负责数据的安全。
c)在IaaS模式下,用户的安全控制范围相对较大,数据和应用安全措施由用户负责。虚拟化层的安全由用户和云服务商分担。其他安全由云服务商负责。
上gartner的原图更好理解:
谈完安全责任,下面再从信息安全的两个关键驱动力来谈,云计算的安全依然离不开合规驱动、需求驱动。
2、云计算中心安全的“合规”
信任是信息安全的基础,用户要使用云平台,并将关键数据放入云中,就需要对云服务商有所信任。第三方权威认证对构建信任关系是很必要的。目前云计算主要的通用的“规”有等级保护、ISO27001、云安全国际认证(CSA-STAR)等。也有一些行业的安全规范。
上表格说明:
3、云计算中心的安全“需求”
云计算中心的安全需求有很多,与传统的主要差异在虚拟化安全、多用户数据安全等。不知攻焉知防,本文就主要从渗透测试的角度来谈一些重点风险和需求,就不全面铺开。(从渗透测试角度谈风险,渗透测试个人体会20%的精力找出关键的80%的问题)
安全是人和人的对抗,谈到渗透测试方式,主要考虑的三个点“模拟什么人员、从什么途径来做、具体怎么做”(这个就不谈了,这里是需要充分发挥测试人员的能力,只要基本面可控就行,这里谈的基本面是基本的保密、业务可用原则)
关于这部分画个表格上。