Skip to main content

云计算的安全性

云计算的安全性(有时也简称为“云安全”)是一个演化自电脑安全网络安全、甚至是更广泛的信息安全的子领域,而且还在持续发展中。云安全是指一套广泛的政策、技术、与被布署的控制方法, 以用来保护数据、应用程序、与云计算的基础设施。请不要将云安全与“基于云”(cloud-based)的安全软件(安全即服务,security as a service)混为一谈,后者如商业软件厂商所提供的基于云的杀毒或弱点管理服务。[1]


与云相关的安全议题

与云计算安全性有关的议题或疑虑[2]有 很多,但总的来说可将其分为两大类:云服务提供商(提供软件即服务、平台即服务、或基础设施即服务的组织)必须面对的安全议题,以及这些提供商的客户必须 面对的安全议题。在大部份的情况下, 服务提供商必须确认其云基础设施是安全的,所以客户的数据与应用程序能够被妥善地保护;另一方面,客户必须确认服务提供商已经采取了适当的措施,以保护他 们的信息安全。

云安全的面向

虽然云安全议题可被分类成各种面向(Gartner 宣称有 7 大安全面向[3];Cloud Security Alliance 则指出 13 项安全疑虑[4]),但这些面向可被归结为 3 大领域[5]:安全与隐私、规范遵循、以及法律或契约议题。

安全与隐私

为了确保数据是安全的(不能被未授权的用户访问,或单纯地丢失),以及数据隐私是有被保护的,云服务提供商必须致力于以下事项:[5]

数据保护

为了妥善保护数据,来自于某一客户的数据必须被适当地与其他客户的数据隔离;数据存储在原来的地方,或是从一个地方移至其它地方,都必须确保它们的安全。云服务提供商必须有相关的系统,以防止数据外泄或被第三方任意访问。适当的职责分权以确保审核与与/或监控不会失效,即便是云服务提供商中有特权的用户也一样。

身份管理

每一家企业都有自己用来控管计算资源与信息访问的身份管理系统。云服务提供商可以用联邦制SSO技术来集成客户的身份管理系统到其基础设施上,或是提供自己的身份管理方案。

实体与个资安全

云服务提供商必须确保实体机器有足够的安全防护,并且当访问这些机器中所有与客户相关的数据时,不只会受到限制,而且还要留下访问的记录文件。

可用性

云服务提供商必须确保客户可以定期、如预期地访问他们的数据和应用程序。

应用程序安全

云服务提供商必须确保通过云所提供的应用程序服务是安全的,外包或包的代码必须通过测试与可用性的验收程序。它还需要在正式营运环境中创建适当的应用层级安全防护措施 (分散式网站应用层级防火墙)。

隐私

最后,云服务提供商必须确保所有敏感性数据(如信用卡号码)是被遮罩住的,并且仅允许被授权的用户访问。此外, 包括数字凭证和身份识别,以及服务提供商在云中针对客户活动所收集或产生的数据,都必须受到保护。但是以微软为例,微软英国分公司的常务董事Gordon Frazer在Office 365的发表会上坦承,不管位于全球任何地点的云数据,都会因美国爱国者法案(USA PATRIOT Act)的要求而无法受到隐私保护。因为微软的公司总部位于美国,它必须符合地方法律。

规范遵循

关于数据的存储与使用有众多的规范,包括Payment Card Industry Data Security Standard(PCI DSS)、Health Insurance Portability and Accountability Act(HIPAA)、沙宾法案等。这些规范中有许多都需要定期的回报和审核追踨。云服务提供商必须协助他们的客户可以适当地遵守这些规范。

商业连续性与数据撤消

云服务提供商必须有商业连续性数据撤消计划,以确保在发生灾害或紧急情况的情况下可以继续提供服务,并且可以撤消任何丢失的数据。这些计划必须和客户分享并可让客户审视。

日志与审核追踪

除了产生日志与审核追踪,云服务提供商必须与客户合作,只要客户有需要,就必须确保这些日志与审核追踪会被适当地保全、维护,并当有法庭调查(如EDiscovery)的需要时能够取用。

独特的规范要求

除了顺应客户的需求,由云服务提供商负责维运的数据中心也可能要遵循规范的要求。

法律或契约议题

除了遵从上面枚举的安全和规范议题,云服务提供商和客户依照责任来协商订定条款(例如,当有数据丢失的事件发生时该如何协商解决)、知识产权、与服务的终止(何时会将数据和应用程序还给客户)。

公众的记录


法律问题可能还包括公务机关对记录保存的要求,许多中间机构必须依法使用特定的方式来保存电子记录。这些可能是由立法单位或法律要求的机构所制定的规则和惯例,公众在使用云计算和云存储时,都必须要考虑到这些议题。
Labels:

Comments

Post a Comment

https://gengwg.blogspot.com/

Popular posts from this blog

OWASP Top 10 Threats and Mitigations Exam - Single Select

Last updated 4 Aug 11 Course Title: OWASP Top 10 Threats and Mitigation Exam Questions - Single Select 1) Which of the following consequences is most likely to occur due to an injection attack? Spoofing Cross-site request forgery Denial of service   Correct Insecure direct object references 2) Your application is created using a language that does not support a clear distinction between code and data. Which vulnerability is most likely to occur in your application? Injection   Correct Insecure direct object references Failure to restrict URL access Insufficient transport layer protection 3) Which of the following scenarios is most likely to cause an injection attack? Unvalidated input is embedded in an instruction stream.   Correct Unvalidated input can be distinguished from valid instructions. A Web application does not validate a client’s access to a resource. A Web action performs an operation on behalf of the user without checking a shared sec
2 comments
Read more

CKA Simulator Kubernetes 1.22

  https://killer.sh Pre Setup Once you've gained access to your terminal it might be wise to spend ~1 minute to setup your environment. You could set these: alias k = kubectl                         # will already be pre-configured export do = "--dry-run=client -o yaml"     # k get pod x $do export now = "--force --grace-period 0"   # k delete pod x $now Vim To make vim use 2 spaces for a tab edit ~/.vimrc to contain: set tabstop=2 set expandtab set shiftwidth=2 More setup suggestions are in the tips section .     Question 1 | Contexts Task weight: 1%   You have access to multiple clusters from your main terminal through kubectl contexts. Write all those context names into /opt/course/1/contexts . Next write a command to display the current context into /opt/course/1/context_default_kubectl.sh , the command should use kubectl . Finally write a second command doing the same thing into /opt/course/1/context_default_no_kubectl.sh , but without the use of k
Post a Comment
Read more

标 题: 关于Daniel Guo 律师

发信人: q123452017 (水天一色), 信区: I140 标  题: 关于Daniel Guo 律师 关键字: Daniel Guo 发信站: BBS 未名空间站 (Thu Apr 26 02:11:35 2018, 美东) 这些是lz根据亲身经历在 Immigration版上发的帖以及一些关于Daniel Guo 律师的回 帖,希望大家不要被一些马甲帖广告帖所骗,慎重考虑选择律师。 WG 和Guo两家律师对比 1. fully refund的合约上的区别 wegreened家是case不过只要第二次没有file就可以fully refund。郭家是要两次case 没过才给refund,而且只要第二次pl draft好律师就可以不退任何律师费。 2. 回信速度 wegreened家一般24小时内回信。郭律师是在可以快速回复的时候才回复很快,对于需 要时间回复或者是不愿意给出确切答复的时候就回复的比较慢。 比如:lz问过郭律师他们律所在nsc区域最近eb1a的通过率,大家也知道nsc现在杀手如 云,但是郭律师过了两天只回复说让秘书update最近的case然后去网页上查,但是上面 并没有写明tsc还是nsc。 lz还问过郭律师关于准备ps (他要求的文件)的一些问题,模版上有的东西不是很清 楚,但是他一般就是把模版上的东西再copy一遍发过来。 3. 材料区别 (推荐信) 因为我只收到郭律师写的推荐信,所以可以比下两家推荐信 wegreened家推荐信写的比较长,而且每封推荐信会用不同的语气和风格,会包含lz写 的research summary里面的某个方面 郭家四封推荐信都是一个格式,一种语气,连地址,信的称呼都是一样的,怎么看四封 推荐信都是同一个人写出来的。套路基本都是第一段目的,第二段介绍推荐人,第三段 某篇或几篇文章的abstract,最后结论 4. 前期材料准备 wegreened家要按照他们的模版准备一个十几页的research summary。 郭律师在签约之前说的是只需要准备五页左右的summary,但是在lz签完约收到推荐信 ,郭律师又发来一个很长的ps要lz自己填,而且和pl的格式基本差不多。 总结下来,申请自己上心最重要。但是如果选律师,lz更倾向于wegreened,
Post a Comment
Read more