Professional Documents
Culture Documents
Tất cả những nỗ lực này là tương đối mới và vẫn chưa được chấp nhận rộng rãi. Hơn
nữa, chúng là các hoạt động ban đầu được dự định là điểm khởi đầu cho công việc
chính thức hơn hoặc là sản phẩm của các nỗ lực cộng đồng hướng tới một khuôn
khổ chung cho bảo mật đám mây. Trong các wo rds khác, có rất nhiều sự không
chắc chắn trong lĩnh vực này. Điều đó gây khó khăn cho những người áp dụng đám
mây, những người cần đánh giá tính bảo mật của đám mây riêng hoặc cộng đồng
của họ và cho những người dùng cần phương tiện để đánh giá tính bảo mật của dịch
vụ đám mây.
Checkli sts để đánh giá bảo mật đám mây
Ngày nay, người dùng chưa có một phương tiện phổ biến và tiêu
chuẩn để đánh giá bảo mật đám mây. Trên thực tế, phần lớn thế
giới điện toán đám mây tiền hôn nhân đã không áp dụng các khung
đánh giá bảo mật bên ngoài các lĩnh vực mà quy định yêu cầu một
chuẩn mực bảo mật hoặc khi bắt buộc phải đánh giá. Nhưng bảo
mật đám mây là một lĩnh vực chuyển động nhanh và tất cả những
nỗ lực chúng tôi đã trích dẫn diễn ra từ năm 2009 đến cuối năm
2010. Việc áp dụng những nỗ lực này đang tăng tốc theo nhiều
cách, đặc biệt là trong không gian của chính phủ với
FedRAMP. B y bản chất của nó, thông qua các đám mây công
cộng là một tác nhân thay đổi về bảo mật. Có một xu hướng định
hình nhanh ở đây, và chúng ta có thể mong đợi sẽ thấy tiến bộ thực
sự trong thời gian tới. Đây là một ví dụ về cách điện toán đám mây
đang kích thích bảo mật tốt hơn trong kinh doanh nếu không có
mối quan tâm lớn về bảo mật nhưng ít cải thiện cho đến khi đám
mây công cộng nổi lên.
CÔNG CỤ
Nhiều công cụ được sử dụng để kiểm tra bảo mật. Chúng bao gồm các loại sau:
n Cảng quét cho mở và đáp ứng dịch vụ n S imple
Network Management Protocol (SNMP)
quét
n liệt kê hoặc lập danh mục thiết
bị n Quét lỗ hổng máy chủ n Phân tích
thiết bị mạng n Kiểm tra và bẻ khóa mật
khẩu
Một ứng dụng cho danh sách kiểm tra là chủ sở hữu đám mây có thể sử dụng nó để
hướng dẫn đánh giá bảo mật cho đám mây của nó. Nếu các nhà cung cấp đám mây
sử dụng danh sách kiểm tra như một khung để báo cáo về bảo mật của đám mây của
họ, thì người thuê và người dùng tiềm năng có thể so sánh bảo mật của nhiều đám
mây. Danh sách kiểm tra cũng có thể được sử dụng bởi một khách hàng đám mây
công cộng để hỏi một loạt các câu hỏi có liên quan đến nhu cầu kinh doanh của
khách hàng. Không phải tất cả các câu hỏi này sẽ có liên quan cho tất cả các sử dụng
hoặc mối quan hệ kinh doanh.
Mỗi phần sau đây được tổ chức xung quanh một tập hợp các điều khiển hoặc yêu
cầu liên quan chặt chẽ. Hình 6.2 trình bày tổng quan về các phần trong danh sách
kiểm tra đánh giá và liệt kê các nhóm điều khiển hoặc yêu cầu cho từng phần.
HÌNH 6.2
Tổng quan về Danh sách kiểm tra đánh giá
các lĩnh vực (như chính sách sử dụng được chấp nhận ). Chính sách
bảo mật tập trung vào việc đạt được kết quả mong muốn, chứ không
phải vào việc triển khai cụ thể.
Tăng cường các chính sách như vậy là các tuyên bố khác về các
yêu cầu cho các lĩnh vực cụ thể. Chúng thường được định nghĩa
là các tiêu chuẩn và bao gồm các lĩnh vực cụ thể như kiểm soát
kỹ thuật hoặc các yêu cầu cứng cụ thể. Tiêu chuẩn nhà nước hành
động bắt buộc hỗ trợ chính sách. Nguyên tắc là một lớp tài liệu thứ
ba ít chính thức hơn và có định hướng hơn đối với các thực tiễn
tốt nhất về thủ tục. Đây là các khuyến nghị hoặc mô tả về các thực
tiễn hỗ trợ các mục tiêu của chính sách bảo mật bằng cách mô tả
một khung để thực hiện các thủ tục. Nói cách khác: Một chính
sách nêu rõ lý do tại sao , một tiêu chuẩn nêu rõ điều gì và một
hướng dẫn nêu rõ cách thức . Danh sách kiểm tra 6.1 bao gồm các
yếu tố bảo mật cơ sở liên quan đến chính sách, tiêu chuẩn và
hướng dẫn. Danh sách kiểm tra 6.2 bao gồm các tiêu chí đánh giá
tha t được tập trung vào tính minh bạch của CSP.
Bảo mật nhân sự cho một đám mây là một nền tảng mà bảo mật hoạt động cư
trú. Mục đích của bảo mật nhân sự là để tránh một số loại rủi ro bảo mật và tạo ra
một môi trường củng cố các mục tiêu được nêu trong an ninh poli cy. Danh sách
kiểm tra 6.3 liệt kê các tiêu chí đánh giá liên quan đến an ninh nhân sự.
Việc sử dụng các nhà thầu phụ hoặc nhà cung cấp bên thứ ba có thể tạo ra rủi ro
không đáng có cho khách hàng trừ khi các nhà cung cấp đó tuân theo và hoạt động
theo các điều khoản của CSP pol . Danh sách kiểm tra 6.4 tiêu chí chi tiết cho các
nhà cung cấp bên thứ ba.
Một kỹ thuật rất mạnh để cải thiện bảo mật phần mềm là trao
quyền cho các nhà phát triển trong quá trình phát triển bằng cách
cung cấp cho họ acce ss cho các công cụ kiểm tra bảo mật. Các
công cụ như vậy bao gồm từ phân tích mã tĩnh thông qua kiểm tra
bảo mật Web. Một thực tiễn tốt nhất là có môi trường phát triển
phản ánh chặt chẽ các môi trường thử nghiệm, dàn dựng và sản
xuất cuối cùng. Với sự phát triển, điều này không phải lúc nào
cũng dễ dàng, nhưng càng có nhiều đồng bằng giữa các môi
trường, quá trình chuyển đổi càng tốt và càng ít bất ngờ về bảo
mật mà các nhà phát triển của bạn sẽ gặp phải. (Khi kiểm tra, dàn
dựng và môi trường sản xuất rất khác nhau, lỗi và chi phí cũng sẽ
tăng lên đáng kể .)
TIỀN BOA
Một kỹ thuật kiểm thử phần mềm được gọi là fuzzing . Kỹ thuật
này liên quan đến việc tiêm dữ liệu không hợp lệ và bất ngờ vào
đầu vào của chương trình hoặc hệ thống. Sử dụng kỹ thuật này,
thậm chí dữ liệu ngẫu nhiên có thể dẫn đến sự cố chương trình
hoặc vào trạng thái theo đó kiểm soát bảo mật có thể được thực
hiện để thất bại. Hai lĩnh vực đặc biệt hiệu quả cho thử nghiệm
này: Một là định dạng tệp và hai là giao thức mạng. Dữ liệu Fuzz
có thể được gửi dưới dạng sự kiện, đầu vào dòng lệnh hoặc gói
bị đột biến. Một trong những điểm mạnh của chúng tôi trong
việc làm mờ là nó có thể chiếu sáng các lỗi nghiêm trọng và có
thể khai thác.
Khía cạnh quan trọng nhất của bảo mật của đám mây cũng có thể
là việc triển khai mạng. Các lựa chọn kiến trúc và cách ly được
thực hiện ở đây sẽ có lợi ích sâu rộng hoặc hậu quả là các ca. Các
lựa chọn mạng bắt đầu với chức năng của thiết bị và mạng vật lý
và mở rộng sang giám sát và ảo hóa mạng. Mức độ cô lập giữa các
loại lưu lượng khác nhau (truy cập của khách hàng, khách hàng
với khách hàng, hoạt động và quản lý, truy cập bên ngoài, v.v.) sẽ
thúc đẩy các yêu cầu bảo mật khác ở cấp độ hệ thống và VM. Danh
sách kiểm tra 6,9 liệt kê các tiêu chí cho an ninh mạng.
Các loại và mức độ kiểm soát bảo mật được yêu cầu để bảo vệ máy chủ và máy ảo
ở mức độ lớn được điều khiển bởi kiến trúc mạng. Một mặt có sự đánh đổi giữa sự
cô lập và kiểm soát cực kỳ netwo rk và mặt khác với mong muốn linh hoạt tối đa
trong hoạt động. Độ linh hoạt càng cao, càng cần nhiều điều khiển bù ở cấp máy
chủ và VM. Danh sách kiểm tra 6.10 liệt kê các tiêu chí đánh giá cho bảo mật máy
chủ và VM .
n Giao tiếp được thực hiện giữa các VM cho cùng một khách
hàng như thế nào? n Làm thế nào bảo mật được đảm bảo cho dữ
liệu người dùng trong các hệ thống lưu trữ? n Làm thế nào bảo
mật ity được đảm bảo cho dữ liệu người dùng chuyển động giữa
các hệ thống lưu trữ và VM khách
hàng?
n Làm thế nào bảo mật được đảm bảo cho dữ liệu người dùng và tương
tác người dùng giữa VM và hệ thống người dùng không mở?
n CSP có cung cấp thông tin cho khách hàng để hướng dẫn bảo mật
khách hàng sao cho phù hợp với môi trường ảo hóa không?
CSP thường chịu trách nhiệm cho ngăn xếp phần mềm nền tảng,
bao gồm bảo mật. Mặc dù CSP có thể miễn cưỡng cung cấp thông
tin chi tiết về bảo mật của ngăn xếp PaaS, CSP cần minh bạch về
thực tiễn bảo mật của nó và phạm vi kiểm soát bảo mật. Danh sách
kiểm tra 6.11 liệt kê các tiêu chí đánh giá về bảo mật PaaS và
SaaS.
Nhận dạng và quản lý truy cập là các yếu tố quan trọng của bảo
mật cho một đám mây. Danh sách kiểm tra 6.12 liệt kê các tiêu chí
đánh giá để nhận dạng và quản lý truy cập, cùng với xác thực.
Quản lý khóa và mật mã phải được xử lý theo những cách chính xác và chính
xác; mặt khác, bảo mật mật mã nhanh chóng bị phá hoại. Danh sách kiểm tra 6.13
liệt kê các tiêu chí bảo mật cho các khu vực này.
Đến thời điểm này trong danh sách kiểm tra, chúng tôi đã đề cập đến các tiêu chí
đánh giá về an ninh cơ sở, cân nhắc kinh doanh và bảo vệ theo chiều sâu. Nhóm
cuối cùng của danh sách kiểm tra giải quyết các vấn đề bảo mật hoạt động.
An ninh hoạt động
Một CSP phải duy trì một danh sách đầy đủ và đầy đủ tất cả các
tài nguyên thông tin được sử dụng để triển khai và vận hành đám
mây. Thực tiễn (ITIL) là sử dụng cơ sở dữ liệu quản lý cấu hình
(CMDB) để duy trì thông tin đó. Trạng thái của nghệ thuật là
để quá trình đó được tự động hóa bằng cách sử dụng CMDB làm
kho lưu trữ tập trung mà tất cả các chức năng quản lý đám mây
khác tương tác với nhau. Danh sách kiểm tra 6.15 liệt kê các tiêu
chí để quản lý tài sản trung tâm dữ liệu.
Bảo mật hiệu quả là một quá trình liên tục đòi hỏi các thủ tục và vai trò được xác
định rõ ràng cho tất cả các nhân viên. Để có hiệu quả, các thủ tục như vậy phải dự
đoán các loại sự kiện. Các thủ tục nên cung cấp đủ hướng dẫn để cho phép nhân
viên điều hướng một loạt các lỗi trong hệ thống, quy trình và các trường hợp
khác. Các sự kiện và phản hồi như vậy phải được nắm bắt, với các bài học kinh
nghiệm được tích hợp vào các thủ tục cập nhật. Chương 7 cung cấp một cách xử lý
sâu hơn về chủ đề này, nhưng ở đây chúng tôi phác thảo các loại điều khiển hướng
dẫn thực hành hoạt động và bảo mật. Danh sách kiểm tra 6.16 liệt kê các tiêu chí
đánh giá cho thực hành hoạt động.
KIỂM TRA 6.16: THỰC HÀNH HOẠT ĐỘNG 54
n Có quy trình kiểm soát thay đổi chính thức không và các quy trình có
được ghi chép rõ ràng không?
n Kiểm soát thay đổi có bao gồm một phương tiện để hướng dẫn các quyết định về
những thay đổi nào cần đánh giá lại rủi ro không?
n Các quy trình vận hành có được ghi chép rõ ràng và tuân theo không? n Có môi
trường riêng biệt để phát triển, thử nghiệm, dàn dựng và sản xuất không? n Điều
khiển bảo mật hệ thống và mạng nào được sử dụng để bảo mật thông tin và ứng
dụng của người dùng cuối hoặc người thuê?
n Điều khiển bảo mật nào được sử dụng để giảm thiểu mã độc?
n Các thủ tục sao lưu là gì (ai thực hiện việc này, những gì được sao lưu, làm thế
nào để thực hiện, thực hiện theo hình thức nào và sao lưu được kiểm tra định kỳ)? n
Các bản sao lưu được lưu trữ ở đâu và chúng được giữ trong bao lâu? n CSP có xóa
an toàn tất cả các bản sao dữ liệu khách hàng sau khi chấm dứt hợp đồng của khách
hàng không? n Theo những gì các tài nguyên khách hàng được vệ sinh bằng cách
sử dụng các thực tiễn tốt nhất trong ngành (ví dụ, khử từ)?
n CSP có tài liệu cơ sở bảo mật cho mọi thành phần bao gồm cơ sở hạ tầng đám mây
không?
Số liệu cho Danh sách kiểm tra
Mục tiêu của quản lý sự cố và ứng phó là để giảm thiểu hoặc chứa
tác động của các sự kiện. Quản lý sự cố cần được xác định rõ để
hỗ trợ và hướng dẫn các CSP và khả năng của khách hàng nhằm
giảm hậu quả của các sự kiện hoặc dự đoán không lường trước
được . Danh sách kiểm tra 6.17 liệt kê các tiêu chí đánh giá cho
lĩnh vực quản lý sự cố.
TÓM LƯỢC
Sự gia tăng các tiện ích điện toán công cộng đã mang lại nhu cầu bảo mật tốt hơn. Về
bản chất, các dịch vụ đám mây công cộng cạnh tranh phải đối mặt với nhu cầu cung
cấp các bộ dịch vụ và tính năng hiệu quả về chi phí cho phép dễ dàng áp
dụng. Nhưng điều quan trọng không kém là nhu cầu về một dịch vụ đám mây công
cộng được coi là một giải pháp phù hợp và an toàn để đáp ứng các yêu cầu về
CNTT. Và trong đó, CSP có một vài thay đổi bản địa khác ngoài việc đánh giá sản
phẩm của họ bằng các tiêu chí thường được chấp nhận. Tương tự như vậy, với các
đám mây riêng, ngay cả khi các yêu cầu bảo mật được bao gồm từ các giai đoạn
thiết kế sớm nhất và ngay cả khi các nguyên tắc âm thanh được tuân thủ trong việc
xây dựng một đám mây riêng, bằng chứng tục ngữ vẫn nằm trong mánh khóe đánh
giá .
Tóm lược
Các danh sách kiểm tra bảo mật trong chương này nhằm hướng
dẫn người đọc phát triển danh sách của riêng họ để xác minh tính
bảo mật của CSP hoặc đám mây riêng. Vào thời điểm cuốn sách
này được viết, có một số hoạt động đang diễn ra xung quanh việc
phát triển các hướng dẫn của ngành hoặc chính phủ xung quanh
nhu cầu này. Độc giả được khuyến khích nghiên cứu tình trạng
của công việc đó bằng cách theo dõi các nhóm hàng đầu khác nhau
có liên quan đến các hoạt động này. Vẫn chưa rõ mức độ thành
công của bất kỳ nhóm nào trong số này, và ngày nay có rất nhiều
sự hợp tác giữa các nhóm như CSA và CloudAudit / A6. Một điều
chắc chắn rằng đây là một lĩnh vực phát triển nhanh chóng,
một điều rất có thể là các đặc điểm độc đáo của mô hình điện toán
đám mây sẽ thúc đẩy tự động hóa lớn hơn nhiều trong việc xác
minh liên tục các tiêu chí đánh giá đó.
GHI CHÚ
Độc giả quan tâm đến đánh giá bảo mật đám mây nên tham gia các nhóm sau:
n Cloud Liên minh An ninh:
n www.cloudsecurityalliance.org n www.
linkedin.com/groups? mostP phổ biến =
& gid = 1864210 n http://groups.google.
com/group/cloudsecurityalliance
n Mây Kiểm
toán: n www.cloudau
dit.org
n http://groups.google.com/group/cloudaudit
n Nhóm tính toán đáng tin cậy:
n www.trustcomputinggroup.org/solutions/c
loud_security n www.linkedin.com/groups?
MaximumP Phổ = & gid = 3,254114
n CloudSecurity.org ( http://cloudsecurity.org/forum/index.php )
không hoạt động nhiều nhưng có tiềm năng như một diễn đàn độc
lập để hợp tác trong việc kiểm tra bảo mật đám mây.
Dường như cứ sau vài tuần, LinkedIn và Google Groups lại thêm
các nhóm đám mây mới và hơn một vài trong số các nhóm này tập
trung vào bảo mật. Với tất cả các nhóm bảo mật đám mây này,
một trong những cách tốt nhất để được thông tin là tham gia các
nhóm lợi ích đám mây cấp cao chính và theo xu hướng chung
trong lĩnh vực này. Nghiên cứu định kỳ thông qua tìm kiếm trên
Web nên xác định các nhóm lợi ích cụ thể khác khi chúng phát
sinh.
Chú thích
1. CSA-GRC-Stack-v1.0-
README.pdf; www.cloudsecurityalliance.org .
2. Ibid.
3. Ibid.
4. Đề xuất đánh giá và ủy quyền bảo mật cho điện toán đám mây của
chính phủ Hoa Kỳ, Dự thảo phiên bản 0.96, Hội đồng CIO, Chính
phủ liên bang Hoa Kỳ; 2010.
5. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
6. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây , Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009 [truy cập 24.03.11].
7. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp kiểm
soát an ninh được khuyến nghị cho các hệ thống và tổ chức thông
tin liên bang I ; 2009.
8. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
9. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
10. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Kiểm soát an ninh
được khuyến nghị cho các tổ chức và hệ thống thông tin liên
bang; 2009.
11. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
12. Catteddu D., Hogbe n G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
13. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Giới thiệu bảo mật
được khuyến nghị cho các tổ chức và hệ thống thông tin liên
bang; 2009.
14. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
15. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
16. Ấn bản đặc biệt NIST 800-53 Phiên bản 3, Kiểm soát an ninh
được khuyến nghị cho các tổ chức và hệ thống thông tin liên
bang; 2009.
17. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
18. Catteddu D, Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
19. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Khuyến nghị các
biện pháp kiểm soát an ninh cho các tổ chức và hệ thống thông tin
liên bang; 2009.
20. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
21. Catteddu D, Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
( ENISA). www.enisa.europa.eu ; 2009.
22. Ấn bản đặc biệt NIST 800-53 Phiên bản 3, Kiểm soát an ninh
được khuyến nghị cho các tổ chức và hệ thống thông tin liên
bang; 2009.
23. Ma trận điều khiển (CM), Bảo mật đám mây Allianc e
V1.0; 2010.
24. Catteddu D, Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
25. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
26. Asendorpf D. Bên Ab trong die Wolken Hồi, Zeit Online,
2011; www.zeit.de/2011/08/ Điện toán đám mây; 2011 [truy cập
24.03.11].
27. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
28. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
29. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
30. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
31. Catteddu D., Hogb en G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
32. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Sự tương phản an
ninh được khuyến nghị đối với các tổ chức và hệ thống thông tin
liên bang; 2009.
Tóm lược
33. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
34. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
35. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
36. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
37. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
38. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, được khen thưởng
Kiểm soát an ninh cho các tổ chức và hệ thống thông tin liên
bang; 2009.
39. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
40. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu
Âu (ENISA). www.enisa.europa.eu ; 2009.
41. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
42. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
43. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2 009.
44. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
45. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
46. Catteddu D, Hogben G. Đảm bảo thông tin điện toán đám mây
Fr amework, Cơ quan an ninh thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
47. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các hệ thống thông tin
liên bang và các tổ chức; 2009.
48. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
49. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
50. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
51. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
52. Catteddu D., Hogben G. Cloud Computing I nifying Khung bảo
đảm, Cơ quan an ninh mạng và thông tin châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
53. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các hệ thống và tổ chức
của Informa tion; 2009.
54. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
55. Catteddu D., Hogben G. Khung bảo đảm thông tin điện toán đám
mây, Cơ quan bảo mật thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
56. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.
57. Ma trận điều khiển (CM), Liên minh bảo mật đám mây
v1.0; 2010.
58. Catteddu D., Hogben G. C Khung bảo đảm thông tin điện toán
lớn, Cơ quan an ninh thông tin và mạng châu Âu
(ENISA). www.enisa.europa.eu ; 2009.
59. Ấn bản đặc biệt của NIST 800-53 Phiên bản 3, Các biện pháp
kiểm soát an ninh được khuyến nghị cho các tổ chức và hệ thống
thông tin liên bang; 2009.