中国云安全联盟与CSA正式签约 首届国际云安全大会都有哪些亮点内容

12月19日至20日,由中国云安全与新兴技术安全创新联盟(C-CSA)、中国网络空间安全协会和中国云体系产业创新战略联盟联合主办的首届“国际云安全大会(ICSC)”在云(注:云计算)都·宿州召开。



此次国际云安全大会是C-CSA在今年11月初正式成立后的首次年度会议,并获得了微软、腾讯、华为等企业的大力支持。会上,除了围绕云端的安全攻防、安全能力建设、前沿安全技术应用等方向交流讨论外,还将与CSA正式签约,并为C-CSA联盟首批理事单位颁发证书。


首先,我们先看看会上有哪些干货议题。


国内外云安全实践分享


1. 《云端战争:网络防御新发现》

微软(中国)CSO 邵江宁



邵江宁认为,云安全面临的最大挑战,在于在云服务能力的极限内,如何实现云安全能力的可扩展。


微软在全球有超过100+数据中心,超过一百万台服务器部署,并在必应、Office 365、XBOX、Azure、msn这五个大类里,提供超过200种云服务。


在微软看来,云安全在以下三方面和传统网络安全是不同的:


  • 新安全模式


更快的开发速度以及多维一对多的攻防模式。


  • 规模经济


利用云计算在带宽、计算等方面的经济红利实现安全能力的弹性扩展。


  • 责任共担


租户与云服务商共同承担安全责任,租户的安全意识和安全习惯也需培养。


网络威胁也尾随企业迁移到了云端。不只是企业,安全人员也应利用云计算在数据、计算、存储、网络成本等方面的红利,用云来保护云服务,实现安全能力的可扩展,并用数据来提升安全检测能力,实现更好的威胁防御能力。


微软在安全方面的优势,邵江宁介绍,在于安全平台、威胁情报和广泛的合作伙伴。微软在全球拥有宇宙级的安全告警数据,包括超过十八亿的网页扫描、十亿的Windows设备更新、三千亿每月的身份认证以及两千亿的邮件安全分析数据。


微软智能安全图谱


基于Azure客户反馈的安全告警、自动化攻击、漏洞奖励、MSRC、渗透测试等数据源,微软可以对其拥有的庞大量级的安全告警数据进行标记,并通过不断验证和调优安全检测算法,以及机器学习训练,降低误报。


成功的安全检测需要离散的数据集,以及规则与安全专业知识的结合。这是实时检测速度、更少误报和快速的威胁分类的集合。


成功框架


基于覆盖攻击全生命周期的威胁情报,安全分析师通过网络、主机、崩溃和法证四方面的检测所带来的新的分析思路和威胁情报,以及通过不同复杂度机器学习模型组合在检测速度上的优化,微软云安全中心可以在特征检测、行为分析、异常检测等方面有更多的安全能力,并对之后的响应工作提供及时的指导。


多层机器学习模型


2. 《平安集团金融安全3.0工作实践》

平安集团科技CSO 平安金融安全研究院执行副院长 李洋



在李洋博士看来,平安集团的定位在于提供个人的金融服务。目前,金融科技已经由“利用互联网实现资金端的高效对接”的1.0时代(以支付宝、宜人贷等为代表),过渡到了基于区块链、移动互联网、人工智能等底层技术变革而使金融服务方式发生改变,即资金端和技术端融合创新的2.0时代(以智能投顾、供应链金融等为代表)。但目前,安全并没有与金融服务模式同步发展,这也是导致金融安全大部分还停留在传统金融时代水平的主要原因。


泛滥的安全漏洞、因风控体系不健全而频现的薅羊毛、营销活动盗刷、大规模数据泄露、AI等前沿技术应用风险认知缺陷,这些仍是金融科技无法回避的主要安全威胁。


金融科技演化历程(1.0->2.0)


金融安全3.0时代,不再只是合规驱动和金融机构的安全防护,而是要通过金融与技术的全面融合,进行全场景、深层次的金融安全体系建设。这将是金融基础信息安全的保障能力、金融业务安全能力、以及适应现有金融科技2.0的安全体系,三者的结合。


金融安全3.0架构


在纵深防御体系方面,平安主要通过六个“统一”,即统一的物理安全、统一的身份管理、统一的监控审计、统一的安全检测、统一的应急响应、和统一的备份恢复,来实现安全运营、多维度安全防护、风险集中管控、主动式应急响应等能力。


平安纵深防御安全技术体系


平安安全运营(NGSOC)


平安金融安全布局,除了立体化的安全体系外,还有平安的金融安全专家服务团队。这个专家服务团队,主要服务平安集团子公司和平安的客户,帮助定位具体的安全问题,范围覆盖银行、保险、理财、医疗健康等互金领域。


平安在云安全方面的实践,主要体现在其平安云的安全能力上。据李洋介绍,平安云目前主要服务与金融行业,但也针对医疗、政府和企业提供在通用PaaS层之上的行业云服务。在安全方面,平安云提供网络/租户/基础架构三层的基础云安全服务,以及基于自主IP的主机入侵检测防护(HIDS)、高防抗D和WAF服务。


平安云主机入侵检测防护(HIDS)服务


平安云高防抗D服务


平安云WAF服务


在云安全合规方面,值得一提的是平安云通过了公安部等级保护测评4级、CSA的云安全评估服务(C-STAR)、数据中心联盟的可信云评估,以及首家通过用户数据隐私和安全保护方面的ISO 27018认证的金融云。


3. 安全浏览器与云堡垒机


《以人为中心的新一代数据安全体系》

云适配CEO 陈本峰


数据是企业最宝贵资产,在企业上云之后,处于对数据安全的担忧,企业愿意在云安全方有多少投入?Gartner给出的2016年的数据表示,全球云安全市场规模仅有公有云IaaS市场的四分之一。而在云安全不同技术领域市场规模上,由大到小则依次是:IAM、CASB、SIEM、邮件网关和应用测试。这也是为什么陈本峰提出,之后的安全体系将会以人和IAM为核心的原因。


创建云适配公司的陈本峰曾是微软IE浏览器研发的核心成员,有14年的内核研发和管理经验,同时也是HTML5标准制定和IE中HTML5引擎设计的参与者。在他看来,无论是PC还是移动时代,浏览器都是云应用的重要入口。所以,拥有自主可控的安全浏览器内核,对于保障企业数据安全尤为重要。


但现状是,全球的浏览器内核专利,基本被IE、Chrome、Safari和Firefox这四家覆盖。这也是云适配选择以自主研发的浏览器内核“红芯(Redcore)”为核心,结合EMM(设备管理)、IAM(身份管理)、SIEM(行为审计)、CASB还有对国密算法的支持(数据加密),打造安全办公浏览器的重要原因。


红芯安全浏览器


《租户上云时需配备怎样的“瑞士军刀”》

云安宝CTO兼联合创始人 王爱兵


云全宝的定位,是帮助云上租户在资产管理、业务访问、和数据保护三方面,通过云堡垒机和CASB产品,提供安全能力。


特别在云堡垒机方面,云安宝认为,云上租户没有运维大量安全工具的能力,需要轻量级的融合安全解决方案,来帮助解决云上资产管理混乱,运维不透明的问题。这就是云堡垒机最主要的需求点。


功能上,云堡垒机是传统堡垒机的超集。不仅要具有传统堡垒机在操作审计、账号与访问权限管控、单点登录等功能,还需要实现资产集群管理、手机端安全的远程运维与审计、轻量级资源监控、资产管理与服务发现,和轻量级的自动化运维。


了解完议题,再介绍一下国际云安全联盟CSA最近的工作。


CSA联盟概况


2008年12月成立的国际云安全联盟(CSA),是以云计算安全为开端,致力于下一代IT与新兴技术安全全面发展的全球非盈利性组织,在美国、英国、新加坡和香港注册。CSA在全球拥有400多个单位会员,8.8万名个人会员,35个工作组,会员单位包括:亚马逊、微软、谷歌、Facebook、IBM、英特尔、甲骨文、VMWare、华为、阿里、腾讯、京东、360、浪潮等主流的云服务提供商。



CSA在联盟实践方面,有以下四点最为突出:


1. 云安全指南


《云计算关键领域安全指南》在2009年推出,整体框架从云的治理和运营两方面,覆盖和安全相关的内容,并作为云安全领域奠基性的理论基础持续更新至今,在世界具有广泛影响力,是各国建立云安全标准和云安全战略的权威理论和实践基础。今年7月末,CSA发布了其第四版云安全指南,并提供中英文版。


2. 云安全控制矩阵


云安全控制矩阵(CMM)是在云安全指南的基础上,结合云计算业务特点和国际主要的信息安全标准和行业标准,针对性的提出各项控制规范。目前CMM已经更新到3.01版。


3. STAR认证体系


基于云安全控制矩阵,CSA建立了开放的云服务商安全能力认证框架(OCF)和“STAR认证体系”(即安全、可信的担保登记)。在中国,结合等级保护对云安全的具体要求,推出了针对中国市场的C-STAR认证。


4. 云安全技术标准


云安全技术标准(CSTR)是由CSA大中华区主导,全球主流云计算厂家和研究机构共同制定全球第一个云计算产品与解决方案的技术标准。CSA基于此,在OCF框架的基础上,推出了针对云产品的安全认证——STAR Tech。


最后,介绍一下中国云安全与新兴技术安全创新联盟(C-CSA)。


C-CSA与CSA


回到国内,2017年11月初正式成立的非盈利性组织C-CSA,是CSA在华的授权业务运营单位,受到中国政府监管。作为与国际对接的桥梁,C-CSA不仅帮助CSA在业务方面满足中国政府在“自主可控”方面的政策性需求,还要向国际输出中国网络安全的话语权和影响力,一起应对新技术应用带来的安全问题和挑战。


云安全联盟(CSA)全球战略总顾问,同时也是中国云安全联盟(C-CSA)常务副理事长的李雨航在20日的大会上表示:


李雨航


安全和开放,是全球政产学研要共同面对的挑战。政府的政策引领和监管,厂商与联盟在技术标准制定上的参与,高校和培训机构对人才的培养,研究机构对于关键安全技术的研发,这对于构建用户对新兴技术的信任,和良性、共赢的发展都是缺一不可的。CSA和C-CSA的强强联手,一方面有助于自主可控的国家化,另一方面也有助于将中国的优秀实践推向世界。


CSA和C-CSA签约仪式(双方签约人 左起:云安全联盟亚太区执行副总裁 李兴仁;中国云安全联盟秘书长 沈寓实)


C-CSA理事单位名单:



相关文章
相关标签/搜索