云计算安全与可信计算：多维度实战深入盘点

首先分享的是北京中油瑞飞信息技术有限公司信息安全高级技术总监黄晟。在《企业私有云安全防护实践与探索》主题演讲中，黄晟深入分享了包含威胁分析、防护探讨、落地实践、思考与展望等一系列中国石油私有云安全建设的内容。

北京中油瑞飞信息技术有限公司信息安全高级技术总监 黄晟

　　在他看来：私有云安全设计有两个原则，一是纵深防御，二是“Design for Failure”防护理念。事实上，CSA和NIST都提出了较为完备的云安全框架，但是在如何实际的云计算环境中全面落实，一直是信息安全从业人员在云计算时代面对的挑战。是“老革命遇到的新问题，我们要做的是如何来解决。”

　　比如，在基础设施层面，要注意三个方面：

　　可控范围：作为企业信息安全人员，“管”不到公有云的安全防护机制;

　　发展趋势：大中型企业逐步接纳私有云作为新的IT基础设施(WalMart、PayPal等);

　　应用模式：现有企业信息系统对基础设施的使用模式，决定了现阶段企业私有云将会采用IaaS为主、PaaS为辅的模式。

　　而从不同角度能看到安全的不同层面。如果从私有云安全规划角度看，有四阶段需要注意：

　　边界防护：私有云安全防护的底线；

　　基础防护：与私有云建设过程中同步开展的阶段；

　　增强防护：随着云安全技术逐渐成熟，增强完善云安全服务；

　　云化防护：面向SaaS等更复杂的云计算模式，引入云安全访问代理等新技术，结合业务实现防护。

　　他还分享了分层控制体系要点、私有云基础防护体系3D模型等诸多技术细节。最终目标是“通过在工程化建设私有云的过程中实施基础安全防护措施，综合采用现有成熟的安全防护手段，面向主流的私有云技术体系，有效应对面向云计算平台底层的主要云安全威胁，为私有云平台的租户系统实现不低于传统物理机模式的安全保障”。

　　对未来，黄晟认为：基于SDN技术构建“流网络层”，提升“东西向”的隔离颗粒度与强度，以及加强云内流量监控；操作系统加固技术在私有云底层平台的应用，特别是通过安全手段固话底层行为；面向业务操作与业务数据的云安全代理机制等，都将是重点考虑的方向和手段。

　　陈恺：构建可信赖的云计算平台

　　微软公司可信赖计算部安全技术政策总监陈恺在题为《构建可信赖的云计算平台》的演讲中，特别提到IT技术，如移动、应用、大数据、云计算等发展带来了安全方面的巨大挑战和机遇。尤其在信任方面，“如何保护数据，谁能访问数据，数据在哪里，如何证明你所承诺的”一直是用户所关注的。为此，微软提供了可信(核心安全、隐私保护、合规及可靠性承诺)，开放和灵活(跨平台一致体验、随时随地处理所有数据、可扩展的应用开发、灵活的基础设施)的安全服务。

微软公司可信赖计算部安全技术政策总监 陈恺

　　正如在Azure平台上，企业可以自由选择Linux系统一样。微软在网络安全方面的承诺是：开发、提供安全的产品和服务;保护客户的数据安全及隐私性；协助客户及合作伙伴保护他们的资产；协助打击网络犯罪。技术方面，微软在数据加密方面，会通过“客户与业务之间传输的数据，数据中心之间传输的数据，存储的数据，用户之间端到端的数据保护”来实现全面保护。

　　微软可信云是建立在微软运营大规模云服务的经验基础上，已经通过了运营安全保障(OSA)和极多的安全认证。

　　信息安全标准：ISO 27001(中国)，SOC 1 Type 2，SOC 2 Type 2；

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!