01 6月 2016

云安全标准体系结构

云安全标准体系结构

近年来使用云服务的企业变得越来越多。弗雷斯特研究公司预测,到2020年SaaS市场将达到1326亿美元的规模,相对于2010年有近890%的涨幅。云安全联盟(CSA)相关调查显示,64.9%的IT企业领导者认为云计算的应用相对于本地软件的使用是安全的。这一调查表明,云计算的应用安全应该是由云服务提供商提供的。

然而,尽管云服务是安全的,但是安全问题还是云服务提供商首要解决的问题。具体来讲,在云计算这种共享模式下进行操作,云服务提供商要防止外部的恶意入侵并保证基础设施的安全,如恶意软件、APT攻击、DDoS攻击等。所以,企业应该做好用户的访问控制,并确保他们可以安全的使用数据存储服务。用户也是有义务去遵循相关的法律法规,在保护企业数据的同时也应该做好对企业内部人士对云服务恶意滥用的防护。

实施这些安全策略将涉及到现有安全生态系统以及新的云安全技术—CASB(cloud access security broker)。尽管任意两个云安全项目都是不相同的,但是这些都可以通过CASB整体解决方案来完成。CASB是一个包括web代理、防火墙、安全事件管理信息、数据丢失的预防、身份管理、移动设备管理、数字版权管理、用户行为分析的整体解决方案。CASB通过用户和设备的身份认证来制定相关策略来来保证云服务的安全使用,具体通过身份鉴别、设备登记、数据加密等方法来维护这些系统。

云安全基准体系结构

ct_biaozhun_1

Gantner建议企业在使用云安全服务技术的时候应优先集成现有的安全解决方案,来作为实现安全策略的前提。这些传统的安全策略包括以下:

防火墙/代理(firewall/proxy)—为CASB提供网络流量,CASB通过对流量的分析进一步确认用户所使用的具体云服务;

安全信息和事件管理(SIEM)—为CASB提供日志数据的来源,CASB通过对其分析,提取出相关威胁信息和事件数据并存储;

数据泄露防护(DLP)—为CASB提供现有的本地数据泄露防护策略,用来加固云服务应用中的数据安全;

身份管理(IDM)—通过代理来控制和验证用户身份,并集成到CASB中来检测威胁;

移动设备管理(MDM)—确保下载企业云端数据的移动设备是处于安全范围内的;

数字版权管理(DRM)—基于文件上下文相关的下载和访问权限制定相关策略,并集成到CASB中来保护数字版权;

用户与设备行为分析(UEBA)—通过终端设备的活动目录日志、安全访问日志以及本地应用来分析云上的威胁;

秘钥管理服务(KMS)—管理企业使用的加密秘钥的生成、使用及过期策略。

 

提供用户使用的的影子云(shadow IT)和为企业提供服务的可信(sanctionedIT)。本文的体系结构覆盖了云计算确保一个成功的云安全项目所要采用和遵循的六个基本原则:

1、确保云服务的正常使用;

2、制定一个云计算安全的整体解决方案,并形成相关政策,应用在所有的云服务中;

3、利用和扩展现有的安全基础设施而不是拆开它,替换它;

4、不改变用户对原有云服务的使用习惯;

5、确定本地和远程的终端设备以及第三方用户的访问位置(如:客户和供应商的访问位置);

6、支持多终端(BYOD)访问云服务。