The post 【喜訊】安信達(dá)咨詢簽約清華大學(xué)校企C-STAR云安全認(rèn)證項目 first appeared on 信息安全咨詢公司.
]]>C-STAR 云安全評估概述
CSA(Cloud Security Alliance)在2012“安全云”大會(SecureCloud 2012conference)上正式發(fā)布了其開放認(rèn)證框架(Open CertificationFramework,OCF),以幫助云服務(wù)提供商提升其云安全
實踐的透明度,提高云服務(wù)的市場可信度,增強(qiáng)云服務(wù)于用戶的安全信心,以便企業(yè)和個人用戶接受和使用所提供的云服務(wù)。OCF包括安全、信任和保證注冊(Security、Trust and AssuranceRegistry ,STAR)三個方面的內(nèi)容,可分為三個層次,每一個層次將為云服務(wù)供應(yīng)商提供增量級別的信任與透明度,也為云用戶提供更高級別的安全保障。
(1)第一級是自我評估。云服務(wù)提供商可以在CSA官網(wǎng)注冊并提交自評估報告,證明自身實施的安全控制符合CSA的要求。
(2)第二級為獨立第三方認(rèn)證。由第三方機(jī)構(gòu)進(jìn)行認(rèn)證,確保供應(yīng)商能夠滿足CSA云安全控制矩陣(Cloud Controls Matrix,CCM) [30]要求,其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補(bǔ)充和增強(qiáng)。
(3)第三級為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計算信任協(xié)議(The Cloud Trust Protocol,CTP)的安全監(jiān)控結(jié)果,對云服務(wù)相關(guān)安全要求進(jìn)行持續(xù)的審計和評估。
為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度,賽寶認(rèn)證中心(CEPREI,后簡稱賽寶)于2014年與CSA正式開始合作,針對OCF第2等級開展第三方評估認(rèn)證,即C-STAR云安全評估。云安全評估認(rèn)證采用云計算信息安全的行業(yè)黃金標(biāo)準(zhǔn)—-CSA最新發(fā)布的云控制矩陣(CCM),結(jié)合國內(nèi)相關(guān)法律法規(guī)(如等級保護(hù)和個人信息保護(hù)指南等)等和GB/T22080標(biāo)準(zhǔn)要求,有效評估云服務(wù)的安全狀況,并用云計算信息安全管理的最佳實踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平,從而將云服務(wù)的信息安全隱憂大幅降低。
C-STAR云安全認(rèn)證
The post 【喜訊】安信達(dá)咨詢簽約清華大學(xué)校企C-STAR云安全認(rèn)證項目 first appeared on 信息安全咨詢公司.
]]>The post 【轉(zhuǎn)摘】CSA案例集11 | 360 零信任架構(gòu)的業(yè)務(wù)訪問安全案例 first appeared on 信息安全咨詢公司.
]]>某公司是國家高新技術(shù)企業(yè),主要從事復(fù)合材料與環(huán)保建材的研制、開發(fā)、生產(chǎn)、銷售等,產(chǎn)品廣泛用于房地產(chǎn)開發(fā)、舊城改造、民用建筑、工業(yè)廠房建設(shè)、室內(nèi)外裝修、城市公用配套設(shè)施等領(lǐng)域。秉承”善用資源,服務(wù)建設(shè)”的理念,堅持科學(xué)發(fā)展、和諧建設(shè),經(jīng)過十多年的發(fā)展歷程,在國內(nèi)外擁有多家合資合作公司,享有自營進(jìn)出口權(quán),是中國民用復(fù)合材料行業(yè)的領(lǐng)軍企業(yè)。
隨著該企業(yè)的數(shù)字化轉(zhuǎn)型,同時業(yè)務(wù)也開始擴(kuò)展到國內(nèi)多個城市,分支機(jī)構(gòu)對業(yè)務(wù)的訪問和安全需求隨之而來。同時,疫情導(dǎo)致的遠(yuǎn)程辦公常態(tài)化,諸多內(nèi)部員工采用遠(yuǎn)程訪問的方式進(jìn)行業(yè)務(wù)操作。
在此背景下,給該企業(yè)安全帶來了雙重挑戰(zhàn):
挑戰(zhàn) 1:業(yè)務(wù)和數(shù)據(jù)的訪問者超出了企業(yè)的傳統(tǒng)邊界。分支機(jī)構(gòu)散布全國, 網(wǎng)絡(luò)、人員、設(shè)備都無法精確識別與控制。
挑戰(zhàn) 2:企業(yè)的業(yè)務(wù)和數(shù)據(jù)也超出了企業(yè)的認(rèn)知邊界。數(shù)據(jù)流向安全管理人員無法控制的范圍。
二、方案概述和應(yīng)用場景
以360連接云軟件定義邊界系統(tǒng)為核心,基于零信任架構(gòu),遵循零信任核心理念。包含環(huán)境感知、可信控制器、可信代理網(wǎng)關(guān)三大組件,具備以身份為基礎(chǔ)、最小權(quán)限訪問、業(yè)務(wù)隱藏、終端檢測評估、動態(tài)授權(quán)控制等幾大核心能力。實現(xiàn)企業(yè)終端統(tǒng)一管理、用戶統(tǒng)一管理、應(yīng)用統(tǒng)一管理、策略統(tǒng)一管理、數(shù)據(jù)統(tǒng)一管理、安全統(tǒng)一管理。
圖片
圖1
三、優(yōu)勢特點和應(yīng)用價值
1.方案效果
1)企業(yè)用戶終端只能通過360安全瀏覽器進(jìn)行身份認(rèn)證,滿足企業(yè)“輕辦公”入口需求;
2)瀏覽器攜帶用戶身份通過可信網(wǎng)關(guān)進(jìn)行認(rèn)證并建立國密數(shù)據(jù)通道;
3)可信網(wǎng)關(guān)根據(jù)用戶權(quán)限鑒別開放其身份可見的業(yè)務(wù)系統(tǒng);
4)用戶瀏覽業(yè)務(wù)系統(tǒng)文件時實現(xiàn)了防復(fù)制、防截屏、防打印、防下載等數(shù)據(jù)安全能力;
2.方案價值
1)安全
| 端口隱藏,減少攻擊暴露面;
| 國密數(shù)據(jù)通道加持,安全可靠;
| 數(shù)據(jù)不落地有效防止人為泄露;
2)高效
| 全面支持 SSO 單點登錄,無需反復(fù)認(rèn)證;
| 不改變用戶使用習(xí)慣,打破無形的技術(shù)門檻;
| 統(tǒng)一用戶訪問入口,規(guī)范用戶訪問行為;
四、經(jīng)驗總結(jié)
零信任的環(huán)境感知持續(xù)評估對后期運維帶來挑戰(zhàn):客戶原有VPN用戶認(rèn)證成功后后續(xù)再無安全動作,零信任強(qiáng)調(diào)的持續(xù)感知會要求對訪問終端的環(huán)境進(jìn)行持續(xù)的評估,發(fā)現(xiàn)安全風(fēng)險后可動態(tài)對訪問進(jìn)行干預(yù),這導(dǎo)致剛開始推廣時,運維管理員接到不少用戶咨詢訪問被干預(yù)的原因。建議在落地前整理對應(yīng)問題解決FAQ,并通過企業(yè)內(nèi)部統(tǒng)一IT工作流進(jìn)行問題上報/跟蹤/處理整體流程。
以上案例由CSA全球會員單位360提供
The post 【轉(zhuǎn)摘】CSA案例集11 | 360 零信任架構(gòu)的業(yè)務(wù)訪問安全案例 first appeared on 信息安全咨詢公司.
]]>