第十二章云端运算资安管理与实务.ppt

趨勢SecureCloud架構 CloudPassage資安即服務架構 12-3 12-4 12-5 12-1 12-2 第十二章 雲端運算資安管理與實務 本章目標 本章介紹雲端運算的潛在資安威脅、資安管理架構與管理面向、雲端運算資安管理產品、資安即服務趨勢與實務。 從本章的閱讀，學生不但可以理解雲端運算資安管理的基本概念與原則，進一步可根據不同的雲端運算資安威脅，思索可能處理方法與產品實務。 大綱 12-1 雲端運算資安管理概念與發展 12-2 雲端運算營運面資安管理 12-3 雲端運算治理面資安管理 12-4 資安即服務 12-5 雲端運算資安管理產品與實務 12-6 小結 12-1 雲端運算資安管理概念與發展 雲端運算七大資安威脅 雲端運算資安聯盟(CSA, Cloud Security Alliance)列出雲端運算七大威脅： 濫用或惡意使用雲端運算的行為 不安全的軟體介面與API 惡意內部人員 共享技術環境問題 資料遺失或外洩 帳號或服務被竊取 未知的風險 雲端運算資安管理架構 12-2 雲端運算營運面資安管理 終端資安管理 存取資安管理 應用程式資安管理 資料資安管理 虛擬機器資安管理 營運面資安管理摘要 營運面資安管理項目 說明 終端資安管理 行動端應用程式隔離、資料在行動裝置上的保護、行動裝置的授權、應用程式與資料的清除等資安管理 存取資安管理 多身分屬性的辨別、跨雲端服務的存取、授權政策的存放、授權架構、存取管理等資安管理 應用程式資安管理 應用程式的設計、應用程式的發展、應用程式的佈署、應用程式的使用階段資安管理 資料資安管理 資料的建立、資料的儲存、資料的使用、資料的分享、資料的保存、資料的清除等資料生命週期資安管理 虛擬機器資安管理 防止外界侵入虛擬機器、虛擬監督器的保護、跨虛擬機的攻擊、績效監督、虛擬機器的擴增、虛擬機器停止或開始、虛擬機映像檔加密、虛擬機資料的洩漏、虛擬機資料的清除、虛擬映像檔的篡改、虛擬機線上遷移等資安管理 行動終端應用程式容器架構 身分認證授權架構 應用程式容器架構 資料生命週期 虛擬機保護概念 12-3 雲端運算治理面資安管理 標準遵循 指引 領域應用標準 技術標準 法律規範：個人資料保護法、資料境外移出規範、資料中心契約規範 風險管理 雲端運算相關資安標準-1 類型 名稱 說明 資安指引 CSA Guidance 3.0 雲端運算安全聯盟(CSA, Cloud Security Alliance)發表雲端運算安全指引 NIST 800-144 美國國家科技標準機構(NIST)發表公眾雲資安與隱私指引 ISO/IEC 27000 國際標準組織(ISO)發表27017, 27018雲端運算資料隱私保護標準 BS 10012: 2009 PIMS 英國標準協會(BSI)發表個人資料保護(PIMS, Personal Information Management System)機制 ISO 22301 BCMS 國際標準組織(ISO)發表企業持續營運管理需求(BCMS, Business Continuity Management Systems) 領域應用標準 Health Care(HIPAA) 針對醫療場所以及下包商訂定資料隱私規範 Finance(FFIEC) 針對金融機構訂定資料安全檢查規範 Card Process / Payment(PCI) 針對信用卡、支付卡資料訂定資訊隱私規範 Power Generation (NERC CIP) 針對組織重要基礎建設，訂定實體安全規範(如︰圍牆、保全、門禁、監視器等) SAS 70 ? SAS 70(The Statement on Auditing Standards No. 70)針對金融機構與提供資訊服務的機構的風險控制稽核 雲端運算相關資安標準-2 類型 名稱 說明 技術標準 金鑰與憑證管理︰KMIP、PKCS KMIP(Key Management Interoperability Protocol)︰金鑰管理互通協定 PKCS(Public Key Cryptography Standards)︰公開金鑰密碼編譯標準 資料儲存安全︰IEEE P1619 IEEE「儲存安全工作組」發展資料儲存加密方法與金鑰管理架構 身分認證︰SAML、X.509憑證 SAML(Security Assertion Markup Language)︰交換身分授權資訊的協定 X.509憑證︰ITUT公開金鑰管理與基礎架構 安全政策︰XACML XACML(eXtensible Access Control Markup Language)︰OASI存取管理協定 服務自動化︰SPML、SAS 70 SPML(Service Prov