7月13日,以“云安全技术,从理论到实践”为主题的CSA安全沙龙在上海环球金融中心EYU顺利举办!虽然当天天气恶劣,但瓢泼大雨依旧阻挡不了大家对云安全这个话题的热情。本次活动聚集了来自社会各界的云服务提供商、企业用户、安全厂商等进行一同探讨云安全技术在实践中如何落地。
 


作为沙龙的开场,CSA上海分会联席主席——沈勇先生介绍了CSA的最新动态,对云安全联盟上海分会的发展状况、研究成果进行了回顾,同时也对未来的规划进行了展望。
 

CSA作为云计算安全的业界权威组织,致力于整合行业内各方资源优势,搭建研究和创新平台,围绕着新热点新技术,引导安全标准、行业实践的制定,如Cloud OS Security Specification, IoT安全指南等,上海分会的会员也积极参与到工作组的研究工作中。
 

沈勇先生表示,希望有更多的有志之士加入云安全联盟,共同为云计算安全献出一份力,促进整个供应链生态的健康发展!
 

议题一:


 

安永(中国)企业咨询有限公司合伙人——赵剑澐先生介绍了如何通过SOC鉴证报告构建云服务商与用户间的信任桥梁。在云服务与日俱增的今天,云服务商与企业之间的依赖性和互联性也越来越紧密,企业会面临诸如难以有效评估云服务商安全能力、内控要求难以满足等困惑,而这些困惑仅仅依靠云服务商提供的各类安全认证或用户主导的供应商评估是无法被完全解决的。
 

而体系与机构控制报告(SOC报告),作为一份鉴证报告有着持续性、客观性和高认可度的特性,可以帮助企业有效地解决管理外包风险中的困惑。针对不同的外包服务或技术类型实现不同的报告目的,为区分使用报告的用户群体,SOC报告被分成为SOC 1,SOC 2和SOC3三类。而根据鉴证意见所覆盖的时间性要求,SOC报告又分为类型一报告和类型二报告。

现场,赵先生也进行了一些案例分享,为大家展示了SOC报告的框架、样式等,让现场人员更直观地感受到SOC报告所包含的信息以及能给相关方带来的价值。
 

议题二:

 

经过短暂的茶歇交流后,上海云盾高级解决方案总监——袁飞先生介绍了基于软件定义边界(SDP)的云安全实践。SDP(Software Defined Perimeter)是由CSA于2013年提出的概念,主要是“通过软件的方式,在移动+云时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的控制力度粗、有效性差的问题,以此达到保护企业数据安全的目的”。
 

随着数字化转型的深入,安全访问成为核心焦点,企业网络边界逐步消失,身份成为新的安全边界,而通过SDP的应用能够有效解决企业外向内及内向外的安全问题。袁先生在会上也分享了多种解决方案,如SDK接入方案的云WAF+SDP,SDK接入方案的云抗D+SDP,干货满满。
 

议题三:
 


 

最后,平安科技银河实验室高级安全研究员——朱文哲先生,作为Blackhat大会的受邀演讲人,对基于VxWorks系统的嵌入式设备固件分析工具和方法进行了介绍。为了让现场听众能够更好地理解演讲内容,朱先生先给大家进行了VxWorks的普及,而后用较为通俗风趣的方式向大家介绍了VxWorks的固件分析工具、分析方法及案例。该话题引起了现场不少听众的浓厚兴趣,进行了热烈的讨论。
 

本次沙龙得到了参会人员的一致好评,纷纷表示受益匪浅并期待CSA下次活动,也愿意作为志愿者投入到相关工作中。云安全联盟上海分会计划在未来举办更多线下活动,加强会员交流、开拓眼界,同时让会员了解最新的技术趋势与行业发展。期待与大家的再次相见!