云計算安全與隱私

前言

前言2008年2月，在美國特勤局舊金山辦事處召開的電子犯罪特別工作組季度會議上，我偶然遇見Sun Microsystems公司的Subra Kumaraswamy。我和Subra都參加過一些這樣的會議，并通過之前的類似專業(yè)活動相識。我們都是信息安全行業(yè)的從業(yè)人員，都在硅谷工作和生活了多年。Subra問我有什么打算，我告訴他：我正在考慮寫一本關(guān)于云計算和安全方面的書。2008年2月，硅谷關(guān)于云計算的宣傳已經(jīng)鋪天蓋地了。對于云計算缺乏信息安全保證的聲音也是不絕于耳。在我和Subra討論之際，關(guān)于云計算安全方面還無法獲得有實質(zhì)內(nèi)容的、論述清晰的資料。這也是我寫本書的初衷。Subra告訴我，他也用了不少時間研究云計算，也感到相關(guān)信息匱乏。我問Subra是否有興趣跟我一起寫作，他慨然應(yīng)允了。（鑒于以前經(jīng)歷過寫書的苦惱，因此希望尋求一些經(jīng)驗豐富的人來幫助我，而Subra當然勝任于此。）于是本書的艱苦寫作之旅便開始了。最初我們的寫作是作為O'Reilly的另一本云計算書籍的一個章節(jié)。然而當我們非常仔細地讀過O'Reilly的指導原則后發(fā)現(xiàn)，其實要寫的不是一章而是兩章，因此我們產(chǎn)生了另寫一本完整講述云計算安全與隱私的書的設(shè)想。O'Reilly接受了我們的建議，于是我們的工作量從最初的20頁增加到200頁左右。我們希望這本書成為此類書籍中第一個面市的，這不僅僅意味著工作量的增加，同時也要求我們能盡快完成。在2008年年底，我和Subra為硅谷不同的專業(yè)人士做了一系列演講，講述我們在云計算及其安全方面的研究成果，聽眾給予的好評令我們興奮不已。沒有人認為我們在技術(shù)上跑偏了，而且聽眾還十分渴望得到更多更詳細的信息。在一次這樣的演講會后， KPMG的一個員工表示希望就云計算以及審計方面與我們進行更為深入的討論。由于我們還需要進一步為這本書收集素材，我和Subra欣然接受了這次討論。這次討論并不像我們事先預想的那樣。我們本希望可以從中了解到KPMG對于以云計算為基礎(chǔ)的服務(wù)進行審計方面的考慮及發(fā)展趨勢。然而真正討論的問題卻是——Shahed Latif，也就是我們現(xiàn)在的伙伴之一，希望我們接納他加入到這本書的寫作中來。經(jīng)討論后，我和Subra欣然同意了他的請求。因為我們需要關(guān)于審計方面的信息，而Shahed顯然可以提供這方面的保障。Shahed在業(yè)界具有非常豐富的審計經(jīng)驗，同時也是KPMG的合作伙伴，為多家重要的云計算服務(wù)提供商提供一系列服務(wù)，我和Subra都非常熟悉這些服務(wù)提供商，這樣我們便可以與那些服務(wù)提供商的信息安全人員進行相當廣泛的討論。此外，在工作上我早就認識Shahed。在我的職業(yè)生涯中，曾就職于 Apple、VeriSign和Symantec，那時都曾經(jīng)與KPMG的審計部門有過接觸。事實上，我做Symantec的首席信息安全官時，Shahed正好在KPMG的IT審計部門工作。就這樣，Shahed加入了我們的團隊。我們共同努力完成了本書的寫作，使得本書有幸成為此類書籍中最先面市的。Tim Mather

內(nèi)容概要

　　《云計算安全與隱私》可以使你明白當把數(shù)據(jù)交付給云計算時你所面臨的風險，以及為了保障虛擬基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用程序的安全可以采取的行動。本書是由信息安全界知名專家所著，作者在書中給出許多中肯的忠告和建議。本書的讀者對象包括：IT職員、信息安全和隱私方面的從業(yè)人士、業(yè)務(wù)經(jīng)理、服務(wù)提供商，以及投資機構(gòu)等。閱讀本書你會了解直到現(xiàn)在還嚴重匱乏的云計算安全方面的詳盡信息。
　　《云計算安全與隱私》主要內(nèi)容包括：
　　■ 評價云計算在數(shù)據(jù)安全和存儲方面的現(xiàn)狀。
　　■ 了解云計算服務(wù)在身份和訪問管理方面的實踐。
　　■ 發(fā)現(xiàn)相關(guān)的安全管理框架及標準。
　　■ 理解云計算中的隱私與傳統(tǒng)計算模式中的隱私之間的異同。
　　■ 了解云計算中審計與合規(guī)的框架及標準。
　　■ 考察云計算安全與眾不同的部分——安全即服務(wù)。

作者簡介

　　Tim
Mather，EMC公司安全部門RSA機構(gòu)的前副總裁兼首席安全戰(zhàn)略官，Symantec公司的前首席信息安全官。
　　Subra Kumaraswamy，信息系統(tǒng)安全認證專家（CISSP），在Sun
Microsystem公司掌管安全訪問管理項目。
　　Shahed Latif，來自KPMG公司的咨詢業(yè)務(wù)部門，負責西部地區(qū)的信息保護和業(yè)務(wù)恢復能力的事務(wù)。

書籍目錄

前言
第1章 引言
　小心空隙
　云計算的演變
　小結(jié)
第2章 什么是云計算
　云計算的定義
　云計算的SPI框架
　傳統(tǒng)軟件模式
　云計算部署模式
　采用云計算的主要驅(qū)動因素
　云計算對用戶的影響
　云計算的管理
　企業(yè)采用云計算的障礙
　小結(jié)
第3章 基礎(chǔ)設(shè)施安全
　基礎(chǔ)設(shè)施安全：網(wǎng)絡(luò)層面
　確保數(shù)據(jù)的保密性和完整性
　基礎(chǔ)設(shè)施安全：主機層面
　基礎(chǔ)設(shè)施安全：應(yīng)用層面
　小結(jié)
第4章 數(shù)據(jù)安全與存儲
　數(shù)據(jù)安全
　降低數(shù)據(jù)安全的風險
　提供商數(shù)據(jù)及其安全
　小結(jié)
第5章 身份及訪問管理
　信任邊界以及身份及訪問管理
　為什么要用IAM
　IAM的挑戰(zhàn)
　IAM的定義
　IAM體系架構(gòu)和實踐
　為云計算做好準備
　云計算服務(wù)的IAM相關(guān)標準和協(xié)議
　云計算中的IAM實踐
　云計算授權(quán)管理
　云計算服務(wù)提供商的IAM實踐
　指導
　小結(jié)
第6章 云計算的安全管理
　安全管理標準
　云計算的安全管理
　可用性管理
　SaaS的可用性管理
　PaaS的可用性管理
　IaaS的可用性管理
　訪問控制
　安全漏洞、補丁及配置的管理
　小結(jié)
第7章 隱私
　什么是隱私
　什么是數(shù)據(jù)生命周期
　云計算中主要的隱私顧慮是什么
　誰為隱私保護負責
　隱私風險管理與合規(guī)在云計算中的變化
　法律和監(jiān)管的內(nèi)涵
　美國的法律法規(guī)
　國際的法律法規(guī)
　小結(jié)
第8章 審計與合規(guī)
　內(nèi)部政策合規(guī)
　管理、風險與合規(guī)（GRC）
　云計算的解釋性控制目標
　增加的針對CSP的控制目標
　附加的密鑰管理控制目標
　CSP用戶的控制考慮
　監(jiān)管/外部合規(guī)
　其他要求
　云安全聯(lián)盟
　審核云計算的合規(guī)性
　小結(jié)
第9章 云計算服務(wù)提供商舉例
　Amazon Web Services（IaaS）
　Google（SaaS，PaaS）
　Microsoft Azure Services Platform（PaaS）
　Proofpoint（SaaS，IaaS）
　RightScale（IaaS）
　Sun開放式云計算平臺（Sun Open Cloud Platform）
　Workday（SaaS）
　小結(jié)
第10章 安全即（云計算）服務(wù)
　起源
　當今的產(chǎn)品
　身份管理即服務(wù)
　小結(jié)
第11章 云計算對于企業(yè)IT角色的影響
　為什么云計算受到業(yè)務(wù)部門的歡迎
　使用CSP的潛在威脅
　解釋云計算引起IT行業(yè)潛在變化的案例
　使用云計算要考慮的管理因素
　小結(jié)
第12章 結(jié)論以及云計算的未來
　分析師的預測
　云計算安全
　對CSP客戶的方案指導
　云計算安全的未來
　小結(jié)
附錄A SAS 70報告內(nèi)容示例
附錄B SysTrust報告內(nèi)容示例
附錄C 云計算的開放安全架構(gòu)
術(shù)語表

章節(jié)摘錄

版權(quán)頁：插圖：20世紀80年代，針對理論物理學中格點規(guī)范的繁重計算，有人提出將各地的計算機主機聯(lián)網(wǎng)進行協(xié)同計算，我記得那時的網(wǎng)絡(luò)是指早期的DECnet。隨著Internet的迅速發(fā)展，21世紀初由高能物理等領(lǐng)域的科學計算需求促使了網(wǎng)格技術(shù)的誕生，就像WWW網(wǎng)站實現(xiàn)了全球的信息資源共享一樣，網(wǎng)格技術(shù)可以實現(xiàn)全球范圍的計算機CPU、存儲能力與數(shù)據(jù)等資源的共享，從而使得“CPU與存儲資源可以像自來水與電力一樣使用”的設(shè)想變成了現(xiàn)實。網(wǎng)格的出現(xiàn)是劃時代的，在今天的科研所，如中國科學院高能物理研究所，網(wǎng)格計算已經(jīng)運行了將近十年之久。網(wǎng)格計算有著強大的生命力，自然讓人想到其在商業(yè)與社會的各個領(lǐng)域中的應(yīng)用，但是安全問題導致這種商業(yè)應(yīng)用遲遲未能實現(xiàn)，直到這幾年，它才通過“云計算”的形式得以面世。云計算概念的出現(xiàn)立即引起了商業(yè)推動的熱潮，它所提供的服務(wù)可能是強有力的，但安全問題依然是其應(yīng)用的最大障礙。可以說網(wǎng)絡(luò)的雙刃劍從來沒有像今天這樣鋒利。云計算的時代，互聯(lián)網(wǎng)的安全防范在某些方面被改善，但在某些方面卻被弱化。例如用戶端的安全維護可能得以簡化，但集中的“云”端卻承受著更大的安全威脅。云計算服務(wù)能否實現(xiàn)對信息安全事件的應(yīng)急處理依然是許多專家沒能說清楚的。在眾說紛紛之際，《云計算安全與隱私》英文版（Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance）是國外最早詳細分析云計算存在的各種安全因素的通俗普及的著作，中文版整體翻譯質(zhì)量高，術(shù)語準確語言流暢，完整地展現(xiàn)了英文版的全貌。本書從介紹云計算的架構(gòu)入手，仔細探討了用戶關(guān)心的安全問題，以及云計算提供商自身的安全隱患，并告誡我們應(yīng)該對于云計算服務(wù)保持清晰的頭腦。我國正在雄心勃勃地推動信息化與云計算的發(fā)展，它的終極目標應(yīng)該與增強國民經(jīng)濟、科研教育和國家安全緊密結(jié)合。有志者事竟成，但如果我們對云計算自身的安全保障仍然是滯后的，甚至對可能的網(wǎng)絡(luò)安全威脅估計不足，那么我們云計算的基礎(chǔ)設(shè)施所承載的風險將是災難性的，其結(jié)果只能是事倍功半。本書在我國云計算建設(shè)決策和實施的關(guān)鍵時刻出版，必將很好地促進我們對云計算復雜性的認識，鞭策我們?nèi)I造一片藍天白云，即安全、健康地運營未來的云計算事業(yè)。

媒體關(guān)注與評論

《云計算安全與隱私》是一本有重大影響的著作，它指導信息技術(shù)專業(yè)人員對可信“按需計算”的追求。云計算很有可能是未來二十年占主導地位的計算平臺，管理云計算安全的人員需要閱讀本書。　　——Jim Reavis，云安全聯(lián)盟創(chuàng)始人之一兼執(zhí)行董事隨著對云計算需求的增長，安全和隱私將變得愈加重要。《云計算安全與隱私》探討了應(yīng)用云計算需要考慮的風險、趨勢以及解決方案，是任何嘗試接觸和應(yīng)用云計算的人員的必讀物。　　——Izak Mutlu，Salesforce.com公司信息安全副總裁

編輯推薦

《云計算安全與隱私》是機械工業(yè)出版社出版。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    云計算安全與隱私 PDF格式下載

---