C-STAR 云安全評(píng)估概述

CSA（Cloud Security Alliance）在2012“安全云”大會(huì)（SecureCloud 2012conference）上正式發(fā)布了其開放認(rèn)證框架（Open CertificationFramework，OCF），以幫助云服務(wù)提供商提升其云安全
實(shí)踐的透明度，提高云服務(wù)的市場(chǎng)可信度，增強(qiáng)云服務(wù)于用戶的安全信心，以便企業(yè)和個(gè)人用戶接受和使用所提供的云服務(wù)。OCF包括安全、信任和保證注冊(cè)（Security、Trust and AssuranceRegistry ，STAR）三個(gè)方面的內(nèi)容，可分為三個(gè)層次，每一個(gè)層次將為云服務(wù)供應(yīng)商提供增量級(jí)別的信任與透明度，也為云用戶提供更高級(jí)別的安全保障。

（1）第一級(jí)是自我評(píng)估。云服務(wù)提供商可以在CSA官網(wǎng)注冊(cè)并提交自評(píng)估報(bào)告，證明自身實(shí)施的安全控制符合CSA的要求。

（2）第二級(jí)為獨(dú)立第三方認(rèn)證。由第三方機(jī)構(gòu)進(jìn)行認(rèn)證，確保供應(yīng)商能夠滿足CSA云安全控制矩陣（Cloud Controls Matrix，CCM） [30]要求，其中CCM可視為在傳統(tǒng)ISO27001安全控制要求的基礎(chǔ)上的補(bǔ)充和增強(qiáng)。

（3）第三級(jí)為持續(xù)監(jiān)控。云服務(wù)提供商公布基于CSA云計(jì)算信任協(xié)議（The Cloud Trust Protocol，CTP）的安全監(jiān)控結(jié)果，對(duì)云服務(wù)相關(guān)安全要求進(jìn)行持續(xù)的審計(jì)和評(píng)估。

為協(xié)助云服務(wù)提供者展現(xiàn)其云服務(wù)安全水平及安全管理成熟度，賽寶認(rèn)證中心（CEPREI，后簡(jiǎn)稱賽寶）于2014年與CSA正式開始合作，針對(duì)OCF第2等級(jí)開展第三方評(píng)估認(rèn)證，即C-STAR云安全評(píng)估。云安全評(píng)估認(rèn)證采用云計(jì)算信息安全的行業(yè)黃金標(biāo)準(zhǔn)—-CSA最新發(fā)布的云控制矩陣(CCM)，結(jié)合國(guó)內(nèi)相關(guān)法律法規(guī)（如等級(jí)保護(hù)和個(gè)人信息保護(hù)指南等）等和GB/T22080標(biāo)準(zhǔn)要求，有效評(píng)估云服務(wù)的安全狀況，并用云計(jì)算信息安全管理的最佳實(shí)踐指導(dǎo)企業(yè)提升云服務(wù)信息安全水平，從而將云服務(wù)的信息安全隱憂大幅降低。

C-STAR云安全認(rèn)證

The post 【喜訊】安賽咨詢簽約清華大學(xué)校企C-STAR云安全認(rèn)證項(xiàng)目 first appeared on ISO27001信息安全咨詢公司.

隨著該企業(yè)的數(shù)字化轉(zhuǎn)型，同時(shí)業(yè)務(wù)也開始擴(kuò)展到國(guó)內(nèi)多個(gè)城市，分支機(jī)構(gòu)對(duì)業(yè)務(wù)的訪問(wèn)和安全需求隨之而來(lái)。同時(shí)，疫情導(dǎo)致的遠(yuǎn)程辦公常態(tài)化，諸多內(nèi)部員工采用遠(yuǎn)程訪問(wèn)的方式進(jìn)行業(yè)務(wù)操作。

在此背景下，給該企業(yè)安全帶來(lái)了雙重挑戰(zhàn)：
挑戰(zhàn) 1：業(yè)務(wù)和數(shù)據(jù)的訪問(wèn)者超出了企業(yè)的傳統(tǒng)邊界。分支機(jī)構(gòu)散布全國(guó)， 網(wǎng)絡(luò)、人員、設(shè)備都無(wú)法精確識(shí)別與控制。
挑戰(zhàn) 2：企業(yè)的業(yè)務(wù)和數(shù)據(jù)也超出了企業(yè)的認(rèn)知邊界。數(shù)據(jù)流向安全管理人員無(wú)法控制的范圍。

二、方案概述和應(yīng)用場(chǎng)景
以360連接云軟件定義邊界系統(tǒng)為核心，基于零信任架構(gòu)，遵循零信任核心理念。包含環(huán)境感知、可信控制器、可信代理網(wǎng)關(guān)三大組件，具備以身份為基礎(chǔ)、最小權(quán)限訪問(wèn)、業(yè)務(wù)隱藏、終端檢測(cè)評(píng)估、動(dòng)態(tài)授權(quán)控制等幾大核心能力。實(shí)現(xiàn)企業(yè)終端統(tǒng)一管理、用戶統(tǒng)一管理、應(yīng)用統(tǒng)一管理、策略統(tǒng)一管理、數(shù)據(jù)統(tǒng)一管理、安全統(tǒng)一管理。
圖片
圖1

三、優(yōu)勢(shì)特點(diǎn)和應(yīng)用價(jià)值
1.方案效果
1）企業(yè)用戶終端只能通過(guò)360安全瀏覽器進(jìn)行身份認(rèn)證，滿足企業(yè)“輕辦公”入口需求；
2）瀏覽器攜帶用戶身份通過(guò)可信網(wǎng)關(guān)進(jìn)行認(rèn)證并建立國(guó)密數(shù)據(jù)通道；
3）可信網(wǎng)關(guān)根據(jù)用戶權(quán)限鑒別開放其身份可見(jiàn)的業(yè)務(wù)系統(tǒng)；
4）用戶瀏覽業(yè)務(wù)系統(tǒng)文件時(shí)實(shí)現(xiàn)了防復(fù)制、防截屏、防打印、防下載等數(shù)據(jù)安全能力；

2.方案價(jià)值
1）安全
| 端口隱藏，減少攻擊暴露面；
| 國(guó)密數(shù)據(jù)通道加持，安全可靠；
| 數(shù)據(jù)不落地有效防止人為泄露；

2）高效
| 全面支持 SSO 單點(diǎn)登錄，無(wú)需反復(fù)認(rèn)證；
| 不改變用戶使用習(xí)慣，打破無(wú)形的技術(shù)門檻；
| 統(tǒng)一用戶訪問(wèn)入口，規(guī)范用戶訪問(wèn)行為；

四、經(jīng)驗(yàn)總結(jié)
零信任的環(huán)境感知持續(xù)評(píng)估對(duì)后期運(yùn)維帶來(lái)挑戰(zhàn)：客戶原有VPN用戶認(rèn)證成功后后續(xù)再無(wú)安全動(dòng)作，零信任強(qiáng)調(diào)的持續(xù)感知會(huì)要求對(duì)訪問(wèn)終端的環(huán)境進(jìn)行持續(xù)的評(píng)估，發(fā)現(xiàn)安全風(fēng)險(xiǎn)后可動(dòng)態(tài)對(duì)訪問(wèn)進(jìn)行干預(yù)，這導(dǎo)致剛開始推廣時(shí)，運(yùn)維管理員接到不少用戶咨詢?cè)L問(wèn)被干預(yù)的原因。建議在落地前整理對(duì)應(yīng)問(wèn)題解決FAQ，并通過(guò)企業(yè)內(nèi)部統(tǒng)一IT工作流進(jìn)行問(wèn)題上報(bào)/跟蹤/處理整體流程。

以上案例由CSA全球會(huì)員單位360提供

The post 【轉(zhuǎn)摘】CSA案例集11 | 360 零信任架構(gòu)的業(yè)務(wù)訪問(wèn)安全案例 first appeared on ISO27001信息安全咨詢公司.