来自 安全 2021-07-18 05:01 的文章

cdn高防_cc攻击防护_快速解决

在昨天的PCI和云网络研讨会上,daveshackleford(IANS)和andrewhay(CloudPassage)讨论了如何在云中实现PCI兼容,为什么云环境下的合规如此困难,QSA真正需要什么,等等。我们认为我们应该借此机会回答网络研讨会上提出的所有重要问题。Q、 cloudpassion Halo与CloudStack一起工作吗?如果是,怎么办?A、 Halo与hypervisor供应商完全无关,它将在CloudStack、Eucalyptus、VMware和其他平台上运行。Q、 所有云服务提供商(CSP)都需要由QSA进行外部生成的审核;您需要查看完整的合规记录(许多公司不愿提供),还是只需要查看执行摘要?A: 许多服务提供商会让您查看他们的合规记录,但仅限于NDA。要了解每个CSP如何处理这些类型的请求,您必须直接与他们联系。Q、 在传统环境中使用的现有工具在云计算中仍然可以使用?你有没有其他的工具可以推荐(开源还是其他?)A、 这是一个很难回答的问题,免费的ddos防御,因为各种安全产品的体系结构因供应商而异。可以说,大多数安全工具都是为了保护一个服务器而构建的,或者是为了保护相对静态的服务器而构建的。如果您正在查看的工具无法在动态环境中运行并自动扩展,百度云cc防御,如何设置防御cc,那么它可能对云环境中的安全程序没有太大价值。Q、 幻灯片16上的调查结果是否与PCI合规性有关?A、 不,ip经常被ddos怎么防御,这个问题的结果适用于调查开始时列出的所有标准和监管要求,包括PCI、HIPAA、SOX、GLBA等。Q、 作为一项服务,法规遵从性是否有可预见的范围?A、 不,我们看不到这一点,有太多的方面涉及。Q、 您是否遇到过在法规遵从性方面做得非常出色的特定云提供商?A、 任何拥有大量企业客户群的CSP,如Amazon、Rackspace、GoGrid等,都有一个既得利益,那就是确保他们的架构能够帮助客户达到PCI合规的状态。我不相信有哪个CSP能成为"顶级"玩家,但这无疑是他们都在争夺的一个头衔。Q、 我们什么时候能得到PCI安全委员会关于云的指导?A、 PCI云安全特别利益小组(SIG)本应准备好云指南,以配合PCI北美2012社区会议,但交付日期已推迟到11月。有关Cloud SIG的信息可以在这里找到。Q、 是否存在跨地域标准的PCI合规性子集?A、 PCI DSS的主要原则是地理不可知的,但这并不意味着一个组织或其QSA可能不会在世界的某个地区与另一个地区对某一特定原则的精神作出不同的解释。有关PCI DSS的更多信息(多种语言)可以在这里找到。Q、 您认为下一版本的PCI DSS指南会有哪些变化和更新?A、 我完全希望在下一次全面修订的PCI-DSS中看到更多围绕云环境的语言,以及对云服务提供商更简明的指导。我们还可以看到其他新技术被列为适当的技术控制,例如应用程序白名单、深度包检查和自动代码扫描软件,以补充或取代先前规定的控制。Q、 您是否有关于CSP列表中有多少SaaS、IaaS和PaaS的通用数字(参考幻灯片9)?A、 不幸的是,cc防御模块,该列表没有按体系结构类型确定SaaS、IaaS和PaaS供应商。Q、 请详细说明PCI要求9(幻灯片13)好吗?A、 要求9涉及物理安全(即与物理硬件相关的安全性)。在云环境中,这几乎总是超出您的控制范围,因此,您必须依赖云服务提供商为其自身的物理安全提供官方证明。再次感谢所有参加网络研讨会的人-如果您错过了,您仍然可以查看幻灯片。PCI里程碑和目标映射到CloudPassation Halo的摘要如下。如果你想尝试光环,注册30天免费试用。关于伊恩IANS是通过研究、社区和咨询提供深入安全见解和决策支持的领先提供商。在IANS教职员工和信息安全从业人员之间互动的推动下,IANS的经验驱动建议有助于IT安全、风险管理和合规主管做出更好、更快的技术和管理决策。