2013年1月18日 星期五

[筆記] Cloud Security Alliance Conference



今天聽同事報告參加Cloud Security Alliance Conference 的心得分享,覺得蠻有收穫的所以在這邊分享一下我的筆記。

關於雲端安全聯盟(CSA, Cloud Security Alliance)


雲端安全聯盟(CSA, Cloud Security Alliance)成立於RSA Conference 2009, 為全球性的非營利組織
致力於在雲端運算環境下提供最佳的安全方案。自其成立起,雲端安全聯盟 發佈的雲端安全指南及其開發成為雲端運算領域令人矚目的重要文件。

雲端安全聯盟CSA的宗旨:
  • 提供用戶和供應商對雲端運算必要的安全需求與資安認知。
  • 促進對雲端運算安全最佳做法的獨立研究
  • 發起正確使用雲端運算和雲端安全解決方案的宣傳和教育計畫
  • 創建有關雲端安全保證的問題和方針的明細表 
關於CSA的更多資料可以看台灣分會創辦人暨研究小組召集人蔡先生的 "淺談國際雲端安全聯盟組織" 。

Cloud Security Alliance Conference 2012

 
關於Cloud Security 通常有兩種議題,而CSA Conference 主要在討論的是Security for cloud
  • Security form cloud 
    • 例:利用Cloud Computing的運算能力提供Security 防護分析功
  • Security for cloud 
    • 例:提供給AWS這種雲端Service的防護,如TrendMicro的Deep Security

以下為幾個有趣的議題:

Sharing Security Information


CSA 建議企業間應該要建立一種資訊交換機制,讓彼此間可以分享資訊安全的訊息,那是要分享哪些資訊安全的訊息呢?其實很多時候,很多公司組織是時常被被攻擊的,但是為了企業形象和不讓客戶擔心,通常他門都會選擇沉默不發聲,所以外界的人都不會知道這些事,而攻擊手法又都是日新月異,如果這些受害者不出來分享這些資訊,只會造成更多的受害者,所以企業和企業之間應該要交換這些資訊 (也許可以成立匿名交換資訊的機制?)


客戶最煩惱什麼 - Compliance (政府法規/業界技術標準)



資料隱私法


Privacy Law for Data Processor 這個議題目前在全世界都備受爭議,因為世界各國的法律更新速度都還跟不上科技更新的腳步,舉例來說,在以往Data Controller 和 Data Processor 這兩種角色大都屬於同一企業或公司,比如說某某企業自己有機房和網路服務,處理著自己客戶的資料,所以想當然這間公司就必須對這些資料的安全隱私和合法性負責,但是到了雲端運算時代,這一切可能都不一樣了,這兩個角色被分開來了:
  • Data Controller - Cloud customer (真正擁有資料的客戶)
  • Data Processor - Cloud Provider (如IaaS provider 提供 S3,EC2等服務)
當客戶把違法的資料放在雲端上,或是運用雲端科技作違法的事該罰誰?根據現行法律 Privacy law is putting more focus on data processor,因此就會衍伸出許多有名的案例:
  • The right to be forgotten (如:Facebook)
  • Mega Upload case (被抄站全美少了20%流量) - who is the data controller ?

BYOD (Bring Your Own Device)議題


當Smart phone 盛行之後,企業目前面對最大的問題就是關於BYOD的議題,因為隨著Smart phone的快速發展,辦隨著關於Smart Phone的 anti-mare / Security hole 也大量產生,所以在安全上面就有很大的隱憂,此外企業還會有以下考量:
  • Data Leakage
    • 當手機透握WIFI進入公司網路後,如果手機上有anti-mare 那就會有安全疑慮
  • Data Integrity
  • End of Life and Mobile Device lifecycle
    •  例:如果用自己手機收公司的信,之後手機報廢丟掉了,使用者往往不會作嚴謹的處理,所以公司的這些資訊還是有可能會被取出 (如陳冠希事件~:P)
  • Privacy, e-Discovery
但是又不能限制使用者不能帶自己的手機近公司,所以CSA作了建議:
  • 任何法規要著重在Content 的管理,而不是Device
  • 要教育員工有關 Mobile Device Security - 發生任何事情,要提供SOP保留所有證據
此外在處理 BYOD 的議題,漸漸由MDM轉向MAM,所謂的MDM (Mobile Device Management)就是直接管理員工手機,如果手機遺失,系統透過中央的Server下指令遠端把手機清空銷燬,但是如果系統錯誤的判斷就讓手機資料被清空呢?所以員工都不會想要用這種東西,因為大家不想要讓自己的私密資料都被刪除。 因此新一代的管理方式是MAM (Mobile Application Management),只著重在這個Application 所管理的資料安不安全。

EDoS - Economic Attack



原來除了DoS和DDoS外,現在又多了EDoS,所謂的EDoS就是Economic Denial of Sustainability Attacks,他的攻擊手法是只要用足夠的流量把你的budget花光,舉例來說許多Startup或是小公司,每個月可能都會編列一定的預算在IaaS的花費,用多少花多少,但是今天如被攻擊果流量突然暴增,可能就會造成你公司的營運成本大增,在收入不足的狀態下可能會讓公司提早結束營業,所以這個商機也造就了許多IaaS Billing 監控服務的start-up,而 Amazon 本身也提供Billing Alert 讓你監控你的花費。

最後列出關於雲端安全的七大威脅 (7 deadly sins of cloud computing 七宗罪)
  • Shared Technology Vulnerabilities
  • Account/Service Hijacking
  • Data Loss / Data Leakage
  • Insecure API
  • Malicious Insiders
  • Interception or Hijacking of Traffic
  • Nefarious Use of Service 


延伸閱讀:
[1] 雲端安全聯盟台灣分會
[2] 蔡一郎的部落格

張貼留言