云計(jì)算安全與隱私

前言

前言2008年2月，在美國(guó)特勤局舊金山辦事處召開的電子犯罪特別工作組季度會(huì)議上，我偶然遇見Sun Microsystems公司的Subra Kumaraswamy。我和Subra都參加過一些這樣的會(huì)議，并通過之前的類似專業(yè)活動(dòng)相識(shí)。我們都是信息安全行業(yè)的從業(yè)人員，都在硅谷工作和生活了多年。Subra問我有什么打算，我告訴他：我正在考慮寫一本關(guān)于云計(jì)算和安全方面的書。2008年2月，硅谷關(guān)于云計(jì)算的宣傳已經(jīng)鋪天蓋地了。對(duì)于云計(jì)算缺乏信息安全保證的聲音也是不絕于耳。在我和Subra討論之際，關(guān)于云計(jì)算安全方面還無(wú)法獲得有實(shí)質(zhì)內(nèi)容的、論述清晰的資料。這也是我寫本書的初衷。Subra告訴我，他也用了不少時(shí)間研究云計(jì)算，也感到相關(guān)信息匱乏。我問Subra是否有興趣跟我一起寫作，他慨然應(yīng)允了。（鑒于以前經(jīng)歷過寫書的苦惱，因此希望尋求一些經(jīng)驗(yàn)豐富的人來幫助我，而Subra當(dāng)然勝任于此。）于是本書的艱苦寫作之旅便開始了。最初我們的寫作是作為O'Reilly的另一本云計(jì)算書籍的一個(gè)章節(jié)。然而當(dāng)我們非常仔細(xì)地讀過O'Reilly的指導(dǎo)原則后發(fā)現(xiàn)，其實(shí)要寫的不是一章而是兩章，因此我們產(chǎn)生了另寫一本完整講述云計(jì)算安全與隱私的書的設(shè)想。O'Reilly接受了我們的建議，于是我們的工作量從最初的20頁(yè)增加到200頁(yè)左右。我們希望這本書成為此類書籍中第一個(gè)面市的，這不僅僅意味著工作量的增加，同時(shí)也要求我們能盡快完成。在2008年年底，我和Subra為硅谷不同的專業(yè)人士做了一系列演講，講述我們?cè)谠朴?jì)算及其安全方面的研究成果，聽眾給予的好評(píng)令我們興奮不已。沒有人認(rèn)為我們?cè)诩夹g(shù)上跑偏了，而且聽眾還十分渴望得到更多更詳細(xì)的信息。在一次這樣的演講會(huì)后， KPMG的一個(gè)員工表示希望就云計(jì)算以及審計(jì)方面與我們進(jìn)行更為深入的討論。由于我們還需要進(jìn)一步為這本書收集素材，我和Subra欣然接受了這次討論。這次討論并不像我們事先預(yù)想的那樣。我們本希望可以從中了解到KPMG對(duì)于以云計(jì)算為基礎(chǔ)的服務(wù)進(jìn)行審計(jì)方面的考慮及發(fā)展趨勢(shì)。然而真正討論的問題卻是——Shahed Latif，也就是我們現(xiàn)在的伙伴之一，希望我們接納他加入到這本書的寫作中來。經(jīng)討論后，我和Subra欣然同意了他的請(qǐng)求。因?yàn)槲覀冃枰P(guān)于審計(jì)方面的信息，而Shahed顯然可以提供這方面的保障。Shahed在業(yè)界具有非常豐富的審計(jì)經(jīng)驗(yàn)，同時(shí)也是KPMG的合作伙伴，為多家重要的云計(jì)算服務(wù)提供商提供一系列服務(wù)，我和Subra都非常熟悉這些服務(wù)提供商，這樣我們便可以與那些服務(wù)提供商的信息安全人員進(jìn)行相當(dāng)廣泛的討論。此外，在工作上我早就認(rèn)識(shí)Shahed。在我的職業(yè)生涯中，曾就職于 Apple、VeriSign和Symantec，那時(shí)都曾經(jīng)與KPMG的審計(jì)部門有過接觸。事實(shí)上，我做Symantec的首席信息安全官時(shí)，Shahed正好在KPMG的IT審計(jì)部門工作。就這樣，Shahed加入了我們的團(tuán)隊(duì)。我們共同努力完成了本書的寫作，使得本書有幸成為此類書籍中最先面市的。Tim Mather

內(nèi)容概要

　　《云計(jì)算安全與隱私》可以使你明白當(dāng)把數(shù)據(jù)交付給云計(jì)算時(shí)你所面臨的風(fēng)險(xiǎn)，以及為了保障虛擬基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用程序的安全可以采取的行動(dòng)。本書是由信息安全界知名專家所著，作者在書中給出許多中肯的忠告和建議。本書的讀者對(duì)象包括：IT職員、信息安全和隱私方面的從業(yè)人士、業(yè)務(wù)經(jīng)理、服務(wù)提供商，以及投資機(jī)構(gòu)等。閱讀本書你會(huì)了解直到現(xiàn)在還嚴(yán)重匱乏的云計(jì)算安全方面的詳盡信息。
　　《云計(jì)算安全與隱私》主要內(nèi)容包括：
　　■ 評(píng)價(jià)云計(jì)算在數(shù)據(jù)安全和存儲(chǔ)方面的現(xiàn)狀。
　　■ 了解云計(jì)算服務(wù)在身份和訪問管理方面的實(shí)踐。
　　■ 發(fā)現(xiàn)相關(guān)的安全管理框架及標(biāo)準(zhǔn)。
　　■ 理解云計(jì)算中的隱私與傳統(tǒng)計(jì)算模式中的隱私之間的異同。
　　■ 了解云計(jì)算中審計(jì)與合規(guī)的框架及標(biāo)準(zhǔn)。
　　■ 考察云計(jì)算安全與眾不同的部分——安全即服務(wù)。

作者簡(jiǎn)介

　　Tim
Mather，EMC公司安全部門RSA機(jī)構(gòu)的前副總裁兼首席安全戰(zhàn)略官，Symantec公司的前首席信息安全官。
　　Subra Kumaraswamy，信息系統(tǒng)安全認(rèn)證專家（CISSP），在Sun
Microsystem公司掌管安全訪問管理項(xiàng)目。
　　Shahed Latif，來自KPMG公司的咨詢業(yè)務(wù)部門，負(fù)責(zé)西部地區(qū)的信息保護(hù)和業(yè)務(wù)恢復(fù)能力的事務(wù)。

書籍目錄

前言
第1章 引言
　小心空隙
　云計(jì)算的演變
　小結(jié)
第2章 什么是云計(jì)算
　云計(jì)算的定義
　云計(jì)算的SPI框架
　傳統(tǒng)軟件模式
　云計(jì)算部署模式
　采用云計(jì)算的主要驅(qū)動(dòng)因素
　云計(jì)算對(duì)用戶的影響
　云計(jì)算的管理
　企業(yè)采用云計(jì)算的障礙
　小結(jié)
第3章 基礎(chǔ)設(shè)施安全
　基礎(chǔ)設(shè)施安全：網(wǎng)絡(luò)層面
　確保數(shù)據(jù)的保密性和完整性
　基礎(chǔ)設(shè)施安全：主機(jī)層面
　基礎(chǔ)設(shè)施安全：應(yīng)用層面
　小結(jié)
第4章 數(shù)據(jù)安全與存儲(chǔ)
　數(shù)據(jù)安全
　降低數(shù)據(jù)安全的風(fēng)險(xiǎn)
　提供商數(shù)據(jù)及其安全
　小結(jié)
第5章 身份及訪問管理
　信任邊界以及身份及訪問管理
　為什么要用IAM
　IAM的挑戰(zhàn)
　IAM的定義
　IAM體系架構(gòu)和實(shí)踐
　為云計(jì)算做好準(zhǔn)備
　云計(jì)算服務(wù)的IAM相關(guān)標(biāo)準(zhǔn)和協(xié)議
　云計(jì)算中的IAM實(shí)踐
　云計(jì)算授權(quán)管理
　云計(jì)算服務(wù)提供商的IAM實(shí)踐
　指導(dǎo)
　小結(jié)
第6章 云計(jì)算的安全管理
　安全管理標(biāo)準(zhǔn)
　云計(jì)算的安全管理
　可用性管理
　SaaS的可用性管理
　PaaS的可用性管理
　IaaS的可用性管理
　訪問控制
　安全漏洞、補(bǔ)丁及配置的管理
　小結(jié)
第7章 隱私
　什么是隱私
　什么是數(shù)據(jù)生命周期
　云計(jì)算中主要的隱私顧慮是什么
　誰(shuí)為隱私保護(hù)負(fù)責(zé)
　隱私風(fēng)險(xiǎn)管理與合規(guī)在云計(jì)算中的變化
　法律和監(jiān)管的內(nèi)涵
　美國(guó)的法律法規(guī)
　國(guó)際的法律法規(guī)
　小結(jié)
第8章 審計(jì)與合規(guī)
　內(nèi)部政策合規(guī)
　管理、風(fēng)險(xiǎn)與合規(guī)（GRC）
　云計(jì)算的解釋性控制目標(biāo)
　增加的針對(duì)CSP的控制目標(biāo)
　附加的密鑰管理控制目標(biāo)
　CSP用戶的控制考慮
　監(jiān)管/外部合規(guī)
　其他要求
　云安全聯(lián)盟
　審核云計(jì)算的合規(guī)性
　小結(jié)
第9章 云計(jì)算服務(wù)提供商舉例
　Amazon Web Services（IaaS）
　Google（SaaS，PaaS）
　Microsoft Azure Services Platform（PaaS）
　Proofpoint（SaaS，IaaS）
　RightScale（IaaS）
　Sun開放式云計(jì)算平臺(tái)（Sun Open Cloud Platform）
　Workday（SaaS）
　小結(jié)
第10章 安全即（云計(jì)算）服務(wù)
　起源
　當(dāng)今的產(chǎn)品
　身份管理即服務(wù)
　小結(jié)
第11章 云計(jì)算對(duì)于企業(yè)IT角色的影響
　為什么云計(jì)算受到業(yè)務(wù)部門的歡迎
　使用CSP的潛在威脅
　解釋云計(jì)算引起IT行業(yè)潛在變化的案例
　使用云計(jì)算要考慮的管理因素
　小結(jié)
第12章 結(jié)論以及云計(jì)算的未來
　分析師的預(yù)測(cè)
　云計(jì)算安全
　對(duì)CSP客戶的方案指導(dǎo)
　云計(jì)算安全的未來
　小結(jié)
附錄A SAS 70報(bào)告內(nèi)容示例
附錄B SysTrust報(bào)告內(nèi)容示例
附錄C 云計(jì)算的開放安全架構(gòu)
術(shù)語(yǔ)表

章節(jié)摘錄

版權(quán)頁(yè)：插圖：20世紀(jì)80年代，針對(duì)理論物理學(xué)中格點(diǎn)規(guī)范的繁重計(jì)算，有人提出將各地的計(jì)算機(jī)主機(jī)聯(lián)網(wǎng)進(jìn)行協(xié)同計(jì)算，我記得那時(shí)的網(wǎng)絡(luò)是指早期的DECnet。隨著Internet的迅速發(fā)展，21世紀(jì)初由高能物理等領(lǐng)域的科學(xué)計(jì)算需求促使了網(wǎng)格技術(shù)的誕生，就像WWW網(wǎng)站實(shí)現(xiàn)了全球的信息資源共享一樣，網(wǎng)格技術(shù)可以實(shí)現(xiàn)全球范圍的計(jì)算機(jī)CPU、存儲(chǔ)能力與數(shù)據(jù)等資源的共享，從而使得“CPU與存儲(chǔ)資源可以像自來水與電力一樣使用”的設(shè)想變成了現(xiàn)實(shí)。網(wǎng)格的出現(xiàn)是劃時(shí)代的，在今天的科研所，如中國(guó)科學(xué)院高能物理研究所，網(wǎng)格計(jì)算已經(jīng)運(yùn)行了將近十年之久。網(wǎng)格計(jì)算有著強(qiáng)大的生命力，自然讓人想到其在商業(yè)與社會(huì)的各個(gè)領(lǐng)域中的應(yīng)用，但是安全問題導(dǎo)致這種商業(yè)應(yīng)用遲遲未能實(shí)現(xiàn)，直到這幾年，它才通過“云計(jì)算”的形式得以面世。云計(jì)算概念的出現(xiàn)立即引起了商業(yè)推動(dòng)的熱潮，它所提供的服務(wù)可能是強(qiáng)有力的，但安全問題依然是其應(yīng)用的最大障礙?？梢哉f網(wǎng)絡(luò)的雙刃劍從來沒有像今天這樣鋒利。云計(jì)算的時(shí)代，互聯(lián)網(wǎng)的安全防范在某些方面被改善，但在某些方面卻被弱化。例如用戶端的安全維護(hù)可能得以簡(jiǎn)化，但集中的“云”端卻承受著更大的安全威脅。云計(jì)算服務(wù)能否實(shí)現(xiàn)對(duì)信息安全事件的應(yīng)急處理依然是許多專家沒能說清楚的。在眾說紛紛之際，《云計(jì)算安全與隱私》英文版（Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance）是國(guó)外最早詳細(xì)分析云計(jì)算存在的各種安全因素的通俗普及的著作，中文版整體翻譯質(zhì)量高，術(shù)語(yǔ)準(zhǔn)確語(yǔ)言流暢，完整地展現(xiàn)了英文版的全貌。本書從介紹云計(jì)算的架構(gòu)入手，仔細(xì)探討了用戶關(guān)心的安全問題，以及云計(jì)算提供商自身的安全隱患，并告誡我們應(yīng)該對(duì)于云計(jì)算服務(wù)保持清晰的頭腦。我國(guó)正在雄心勃勃地推動(dòng)信息化與云計(jì)算的發(fā)展，它的終極目標(biāo)應(yīng)該與增強(qiáng)國(guó)民經(jīng)濟(jì)、科研教育和國(guó)家安全緊密結(jié)合。有志者事竟成，但如果我們對(duì)云計(jì)算自身的安全保障仍然是滯后的，甚至對(duì)可能的網(wǎng)絡(luò)安全威脅估計(jì)不足，那么我們?cè)朴?jì)算的基礎(chǔ)設(shè)施所承載的風(fēng)險(xiǎn)將是災(zāi)難性的，其結(jié)果只能是事倍功半。本書在我國(guó)云計(jì)算建設(shè)決策和實(shí)施的關(guān)鍵時(shí)刻出版，必將很好地促進(jìn)我們對(duì)云計(jì)算復(fù)雜性的認(rèn)識(shí)，鞭策我們?nèi)I(yíng)造一片藍(lán)天白云，即安全、健康地運(yùn)營(yíng)未來的云計(jì)算事業(yè)。

媒體關(guān)注與評(píng)論

《云計(jì)算安全與隱私》是一本有重大影響的著作，它指導(dǎo)信息技術(shù)專業(yè)人員對(duì)可信“按需計(jì)算”的追求。云計(jì)算很有可能是未來二十年占主導(dǎo)地位的計(jì)算平臺(tái)，管理云計(jì)算安全的人員需要閱讀本書?！　　狫im Reavis，云安全聯(lián)盟創(chuàng)始人之一兼執(zhí)行董事隨著對(duì)云計(jì)算需求的增長(zhǎng)，安全和隱私將變得愈加重要?！对朴?jì)算安全與隱私》探討了應(yīng)用云計(jì)算需要考慮的風(fēng)險(xiǎn)、趨勢(shì)以及解決方案，是任何嘗試接觸和應(yīng)用云計(jì)算的人員的必讀物?！　　狪zak Mutlu，Salesforce.com公司信息安全副總裁

編輯推薦

《云計(jì)算安全與隱私》是機(jī)械工業(yè)出版社出版。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    云計(jì)算安全與隱私 PDF格式下載

---