墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

防ddos攻击_服务器谨防系统_超稳定

防ddos攻击_服务器谨防系统_超稳定

云安全联盟高级研究员、Omzlo.com创始人Alain Pannetrat

针对银行或医疗保健等敏感或高度监管行业的一些云客户,"传统"年度或两年一次的审计无法提供脚够的保证,无法转移到云。为了解决这一行业领域的担忧,云安全联盟正在构建STAR Continuous:一具创新框架,旨在每月向客户提供保证,星际延续的基础是延续审计:对信息系统的某些特性举行延续的评估,要紧是经过自动化手段,以获得接近实时的保证。持续审计可作为新型认证(或认证)以及自我评估的基础。在很多方面,该行业基本在举行持续审计。可是,由于缺乏相关标准和最佳实践,云客户无法充分利用它。

然后阅读了解更多有关STAR Continuous的起源和目的。

当认证或认证不够好时

认证和认证方案,如CSA开放式认证框架(OCF)提供的方案,ISO/IEC或AICPA为很多云客户提供了必要的保证,确保他们使用的云服务满脚相关安全要求,从而为云的成功做出了巨大贡献。这些打算依靠于由受信任的独立审计师举行的年度或半年审计。可是,关于一些敏感或高度监管行业(如银行业或医疗保健业)的云计算客户而言,每年或每两年一次的第三方审计之间的时刻间隔被视为"盲点":需要更频繁的审查。

多年来,CSA参与了数项与行业相关的研究打算,公共机构和学术界,以开辟新的认证工具,提供更持续的保证水平。最近,作为欧盟委员会资助项目EU-SEC的一部分,CSA参与了一项针对西班牙一家大型金融机构(LaCaixa)的云服务持续认证试点并成功证明了为要求苛刻的云客户提供持续保证的可行性。

持续认证方案CSA开辟了一种"传统"认证方案,具有延续的自动检查流程。整个过程可归纳为两个延续时期:初始化时期和持续审核时期。

初始化时期:

CSP答应传统的第三方审核,以获得认证或认证。此外,顾客服务提供商定义:

延续认证目标,包括一组安全目标,每个目标与定义评估频率的政策相关(例如每4小时检查一次)。一套可以验证安全目标是否实现的工具。

参与认证检查的第三方审核员:

确定的持续认证目标涵盖认证信息系统的中意范围。报告工具是值得信赖的,同时适合用途。假如该过程成功,则将持续认证目标传输给认证机构(即CSA),在持续认证的云服务的专用公共注册中内心为云服务创建相应的条目。

持续审计时期:

第三方审计员定期举行检查,以确认评估工具是可信的(例如,完整性检查).

评估工具依照持续认证目标内政策规定的频率,经过专用API持续向认证机构(即CSA)报告每个已定义安全目标的评估结果:

假如CSP及时报告所有安全目标均已实现,云服务在公共注册表的相应条目中标记为"兼容"。假如顾客服务提供商报告不合规事情,或者假如顾客服务提供商未能及时报告有关安全目标的事情,假如未在预定义的时刻段内解决咨询题,则该条目最后来将从公共注册表中删除。

重要的是要注意公共注册表(STAR)不大概提供不合规事情的详细信息,以幸免潜在危害受审查的安全云服务。

CSA的研究强调,上述流程中最大的挑战之一是持续认证目标的定义,高防cdn,尤其是用于评估信息系统的设定安全目标。

让我们看看缘由。

安全级别目标和安全定性目标

传统认证通常依靠于操纵框架,如CSA云操纵矩阵或ISO/IEC 27002。这些框架包含高层操纵目标,这些目标由人来解释,并转化为适用的技术或组织安全操纵。这一过程缓慢而复杂,CC防御,不能每天或每小时举行。另一方面,假如我们可以将某些适用的技术或组织安全操纵表示为信息系统的可量化或可鉴定属性,并与指标和预期结果相关联,则至少能够自动且频繁地对其举行评估。

依照可量化或可鉴定属性举行考虑,其实,度量和预期结果是云中一具熟悉的概念,经过服务级别协议(SLA)体现出来,云提供商表达通常与云服务的性能属性相关的预期结果,以及用于评估它们的度量。SLA中的性能也能够做为安全性,标准化社区向来致力于经过ISO/IEC 19086的开辟来为云计算建立安全级别协议。使用其定义良好的术语和概念模型。本标准明确定义了3个重要概念:

公制:定义执行测量和理解测量结果的条件和规则的测量标准。云服务水平目标(SLO):云服务提供商(ISO/IEC 17788:2014,3.2.15)对云服务的特定定量特征作出的同意(ISO/IEC 17788:2014,3.2.8),其值遵循区间尺度或比率尺度。云服务质量目标(QO):云服务提供商的同意(ISO/IEC 1778:2014,3.2.15)使云服务具有特定的、定性的特征(ISO/IEC 1778:2014,3.2.8),其中值遵循名义规模或顺序规模。需要定义并定期测试业务延续性打算。在高水平上,这种操纵目标特别难明确量化或测量,并产生相应的预期结果。然而,在较低的级别上,DDoS防护,我们能够确定信息系统的很多实用的技术属性,这些属性可用于突出业务延续性打算的优势。例如,每月/每周模拟的成功备份恢复次数、实际恢复点或数据持久性。这些属性中的每一具都能够依照度量标准举行测试和度量,并能够设置相应的目标。此外,这些属性能够自动定期测试。

事实证明,由于现场缺乏现有指导,将高级操纵目标转化为SLO和SQO的工作特别艰难。正如我们经过创建操纵框架对传统认证所做的那么,我们如今需要创建安全属性、度量标准、,SLO和SQO,以实现基于持续审计的认证的实际部署。

它也是一种自我评估工具

持续审计框架的用途显然不仅限于敏感行业客户的第三方认证。其实,关于希翼对其云资产举行持续评估的组织来讲,如此一具框架大概同样重要和实用。

同样,惟独当行业采纳一套标准的安全属性、指标、SLO和SQO作为持续审计的参考时,这才干发挥其真正的潜力,为从业者评估和关联竞争云服务的安全性提供故意义的参考。

使用正确的平台,我们能够特别好地想象一具基于持续审计的自我评估,它反映了CSA CAIQ今天作为时刻点保证工具所做的工作。

持续性基本存在。

一家要紧的IaaS供应商最近与我们开玩笑讲,一年中从来没有一天没有至少一名外部审计师涉脚他们的数据中心。

为了今天开展业务,云提供商必须遵守几十个国际和地区或特定行业的合规打算,例如ISO 27001、AICPA SOC、CSA STAR、PCI DSS、FedRamp、FISMA、HIPAA或BSI C5等。这些不同的保证方案之间的安全要求有特别多重叠。所以,云服务提供商受到"持续"审查。

此外,作为信息安全治理的自然组成部分,大多数云服务提供商和客户都在使用安全工具,不断评估其信息系统的安全性。云安全工具供应商开辟了一套丰富的数据点和评估机制,以满脚行业需求。在很多方面,我们称之为SQO、SLO和指标的东西基本存在,虽然名称不同。

不幸的是,由于缺乏支持标准和最佳实践,这些努力中的很多对云客户来讲仍然是无形的。

云安全联盟正在做啥

经过创建STAR Continuous,云安全联盟旨在构建下一代认证和自我评估人员

版权保护: 本文由 主页 原创,转载请保留链接: /ddos/139373.html


QQ客服

400-0797-119