大家下午好,我实际上也是替补,本来这边云安全主席来做这报告,他正好在外面出差,也是临时委托我来这边汇报。刚才雷老师讲的安全简史实际上很多人在学,这里面很多的思想尤其是沿用了一些跨学科的思想,对安全的参考意见非常大。但实际上云安全这一方面,也是一个跨学科、跨技术、跨应用的方面在里面,人是高度复杂的系统。CSA是几年前成立的组织,这组织是希望通过中立的方式通过云聚大家的力量一起把云安全的工作往前推进,今天主要是介绍CSA这组织到底是什么?干什么?主要做的工作让大家在云安全方面的一些研究还有具体的工作可能会有密切的关系,也希望大家能够参与到这组织里面来。
说到云安全我们先讲一下云几个大的风险,实际上后面CSA的工作都是跟云里面的风险相关的。第一个公有云风险最大的问题还是很多内部的云安全的问题,第一个这些员工凭证滥用未授权大概有63%,第二是不正确的访问控制以及帐号的劫持这里面有61%。还有恶意的内部人士这里面也很多,前一些年最早开始云安全的浪潮时候大家也非常担心,就是我的数据或者我的业务交付到你云上时候,你的安全如何保障,实际上现在看来的话,这问题它依然存在,但是我们也看到了很多云厂商它都是通过自己一个自律,第二个是在整个行业里面加强整个的安全标准的实践推进。第三个是我们看到所有的安全上具有强大的一级响应。
第二个云安全方面的趋势,是在这一些方面体现,第一是无服务器框架的体现,是指我们自己去买硬件,我们搭建软件、容器在上面做配置,以及在上面运行应用。现在住进的简化为我们只需要做我们的应用,用我们的内容就可以了,很多的硬件、软件的问题,甚至服务器上面的问题都不需要去解决,都有云计算、云服务的厂商来提供,这无服务器框架自己不需要去控制管理服务器,只需要用一些简单的API来构建自己的业务就可以了,典型的代表像亚马逊AWS还有Paas代码服务,甚至开发都有云服务上面的提供。
这也会带来一些额外的问题,就是说新的服务模式毕竟带来新的漏洞,这新的漏洞在我们没有成熟的方法,或者很好的感知技术之前,肯定会成立一个中端期。就是在控制器上,或者云计算的管理端上,它的很多安全能力或者说安全管控的措施、策略都在这上面,这变化也有利有弊,集中管控一方面会带来额外的安全风险,但是同样也有一些好处,如果说我们有强大的感知能力,并且有自上而下的通畅的政策通道、策略通道,就可以通过云的粉饰去致使,通过API网上服务能力,第二响应的也许也非常大。还有一些趋势云安全解决方案一千都是一些新的公司在交付,越来越多的大规模的安全产业也都看到安全的业务,所以更多的大厂商来交付原来的服务,所以这里面给我们整个安全带来了好的方面。 另外大的厂商一旦正式出市场以后很多创新的团队就有可能通过收购或者是合并的方式。
还有安全成为持续集成和持续部署的工具集,也就是说安全在云服务里面变成了一个基础能力,就跟我们以前网红设备慢慢把安全的特性融入到基础的功能一样,安全不再是被认为开发杜立德世亲,是在跟云服务是一种根据的,或者基本的运动,它会跟很多的业务紧密的结合在一起。我们在使用云服务的时候就会直接享用到这云安全能力。像很多说的静态服务工具和动态的工具在云平台里面基本成立。
还有一些像云安全的发展速度,远超过我们的预期,这是因为云本身的发展。很多企业它开始信任云,更多的数据跟业务都直接上到这云里面,这种发展的趋势也导致云被越来越成为攻击的目标。攻击有很多配置错误造成的,还有一些管理上的漏洞,还有一些内部窃密的问题,所以总体上来看的话这超出我们的预期,并且我们同步关注网络空间的信息,因为云计算有很多的应用,硬件、软件还有其他的一些业务都极力相连,所以网络空间的总体研究趋势会对云安全的产生非常大的影响,这一些趋势主要是几个方面,一个是总威胁表现来看,主要是网络攻击的卷求化和网络犯罪的运营化。
第二是从产品形态来看,主席是安全产品化。
第三个就是安全分析的知识化和智能化。 昨天还有一个公司是获得了一个亿的,这公家是相关驱动的信号。
再看一下CSA联盟整体的情况。全称是云安全的编码,它的是2008年12月份在美国发起,是中立的行业组织,它本身就是推动整个全球的云计算业务的发展,它的是从安全的角度来做具体的工作,所以到目前为止已经有全球300个服务单位,7万多个本地,作为企业或者事业单位都可以进入到组织里面来,作为个人也可以做贡献。
CSA的宗旨主要是提供和供应商必要的云计算安全需求和保证证书,并达到同样的认识水平,说白了它是站在用户的角度,收集用户的需求,然后从这厂商这一端出发,大家形成行业的自律还有技术的标准以及相关的要求,促进云计算安全最佳实践的独立研究,推广正确使用云计算解决方案的宣传,以及创建有关于云安全保障的问题方针的明细表。
整个的CSA组织从全球来看,分为美洲区、欧亚中东还有亚太,大中华区本来是在亚太区,但是因为大种花区的地位比较重要,在全球的他实际上是跟亚太平衡,有一些人员交叉的关系。
CSA大众化区下面又为秘书处、研究院、云计算大数据按照实验室。支撑它的还有一些专家智库顾问等等这一些机构。CSA持续从事新兴领域的前瞻性研究就是CSA筹建了这一些工作组大概有30多个,涉及到政策、法规、以及架构和框架、还有一些评估安全的标准,数据等等。覆盖的面非常广,就是涉及到云安全的事故基本上都是工作室来承担相关的工作。整个CSA的研究院就是前面所的研究圆有一千多个专家在全球,重点是在新兴领域进行前瞻性的要求。CSA的大中华区有1000多个安全专家,这是覆盖了很多很重要的公司。
CSA做了很多很多的这一些工作,它也有很多的成果输出,这一些成果都是免费分享给大家,大家通过CSA入会或者它的网站获取了很多的资料,这立宪很重要的就是云安全的框架,以及相关的认证、人才的培养体系,还有像云安全的威胁严重,以及下面云安全标准框架它是从市场、从用户的需求出发去构建这标准的,所以它是一