CSA云计算关键领域安全指南4.0 （中文版）

飞絮  赛博朔方

      2017年7月28日，CSA国际云安全联盟在广州举办CSA《云计算关键领域安全指南V4.0》（简称：《云安全指南》4.0）发布会。

     《云安全指南》第1版在2009年4月1日发布，也就是在2009年的RSA会议上CSA成立后的第一个月。在当时尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下，《云安全指南》高屋建瓴而又不乏具体的策略和实施建议，无疑是其中最具影响力的。随着云计算领域的发展，CSA不断研究迭代更新发布新的标准。时隔6年，CSA在V3.01版上本同时发由V4.0中英文版。云安全指南版本发布历史如下图：

 

《云安全指南》v4.0由CSA大中华区研究院组织志愿者进行翻译，感谢参与翻译工作的志愿者！文末提供云安全指南下载。

 

云安全指南导读

      云计算是信息安全行业的基础，已经成为各种计算形式的后端，包括无处不在的物联网。容器化和DevOps等技术与理念已在组织内已成为IT新常态，已经与云计算密不可分，我们需要必要的安全知识来管理和减轻采用云计算技术相关的风险。

       《云安全指南4.0》相比2011年发布的《云安全指南3.0》，在结构和内容上有超过80%的更新改动。新指南从架构（Architecture）、治理（Governance）和运行（Operational）三个方面14个领域对云、安全性和支持技术等方面提供最佳实践指导。

下面重点对第1章节：云计算概念和体系架构及第13章节：安全即服务进行导读。

                云计算概念和体系架构

本章是介绍云计算相关概念及本指南其他13个章节的简要说明。

云计算一组用于管理计算资源共享池的技术，更是一种运作模式、一种商业模式。NIST 对云计算的定义中，包括了五个基本特征（资源池化、按需分配、网络获取、弹性管理、可测量服务）、三个云服务模型（IaaS/PaaS/SaaS）、以及四个云部署模型（公有云、私有云、社区云、混合云）。

在云安全范围、职责和模型安全方面，本指南对三种云服务模型下的安全职责与角色进行了概述，更提供了用于帮助建立共享责任模式的两个工具，即共识评估问卷（CAIQ）与云控制矩阵（CCM）。同时也提供了一个简单的云安全实施流程模型。

指南的其它13个领域概述：
D2：治理和企业风险管理。组织治理和度量云计算带来的企业风险的能力。例如违约的判决先例，用户组织充分评估云提供商风险的能力，当用户和提供商都有可能出现故障时保护敏感数据的责任，及国际边界对这些问题有何影响等都是关注点。
D3:法律问题：合同和电子举证。使用云计算时潜在的法律问题。本节涉及的的问题包括信息和计算机系统的保护要求、安全漏洞信息披露的法律、监管要求，隐私要求和国际法等。
D4:合规性和审计管理。保持和证明使用云计算的合规性。本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求（规章、法规等）。同时还提供在审计过程中证明合规性的一些指导。
D5：信息治理。治理云中的数据。本节涉及云中数据的识别和控制；以及可用于处理数据迁移到云中时失去物理控制这一问题的补偿控制。也提及其它项，如谁负责数据机密性、完整性和可用性等。
D6：管理平面和业务连续性。保护访问云时使用的管理平台和管理结构，包括Web控制台和API。确保云部署的业务连续性。
D7：基础设施安全。核心云基础架构安全性，包括网络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。
D8：虚拟化及容器技术。虚拟化管理系统、容器和软件定义的网络的安全性。
D9：事件响应、通告和补救。适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证，在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。
D10：应用安全。保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行，如果可行，什么类型的云平台是最合适的（SaaS,PaaS,IaaS）。
D11：数据安全和加密。实施数据的安全和加密控制，并保证可扩展的密钥管理。
D12：身份、授权和访问管理。管理身份和利用目录服务来提供访问控制。关注点是组织将身份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。
D13：安全即服务。提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。
D14：相关技术。与云计算有着密切关系的已建立的新兴技术，包括大数据，物联网和移动计算。

 

安全即服务      

安全即服务（SecaaS）提供商提供安全能力作为云服务，这些服务不一定只用于保护云部署，他们同样有可能帮助保护传统的本地部署的基础设施。

SecaaS的潜在优势：

1、云计算本身带来的优势。如在成本低、敏捷、弹性。

2、人员配置和专业知识。不用雇用、培训和保留安全相关领域的专业人士。

3、智能共享。客户相互间共享信息情报和数据。

4、部署灵活。服务通常可以处理更灵活，不需要复杂的硬件安装。

5、客户无感知。如在达到客户资产前处理某些攻击。

6、伸缩和成本。按您的成长付费，安全问题留给专家。

SecaaS的潜在问题：

1、能见度不足。由于安全即服务的运行是从客户中迁移过来的，因此与运行自己的操作相比，它们往往提供较少的可见性或数据。

2、监管差异。鉴于全球监管要求，SecaaS供应商可能无法实现以确保组织在所有司法管辖区的合规。

3、处理监管的数据。客户还需要保证根据任何合规性要求处理任何受管制数据，可能会违反在数据居住地区有限制的规定。

4、数据泄漏。与其它任何云计算服务或产品一样，一直存在数据从一个云消费者泄漏到另一个云消费者的顾虑。

5、更换供应商。虽然简单地切换SecaaS提供商比替换本地部署的硬件和软件可能在表面上更容易，但组织可能需要关注因锁定效应而丢失对数据的访问，包括遵守或调查支持所需的历史数据。

6、迁移到SecaaS。对于已经具有安全操作和本地部署的传统安全控制解决方案的组织，迁移到SecaaS以及任何内部IT部门和SecaaS提供商之间的边界和接口，必须进行良好的计划、实施和维护。

 

SecaaS的主要分类：

1、身份，授权和访问管理服务

2、云访问安全代理（CASB:又称云安全网关）

3、Web安全（Web安全网关）

4、电子邮件安全

5、安全评估：

1）在云中部署的资产的传统安全/漏洞评估（例如虚拟机/实例的补丁和漏洞）或本地化部署。

2）应用安全评估，包括SAST、DAST和RASP的管理。

3）通过API直接与云服务连接的云平台评估工具，不仅可以评估部署在云中的资产，还可以评估云配置。

6、Web应用程序防火墙（WAF）

7、入侵检测/防御（IDS/IPS）

8、安全信息与事件管理（SIEM/SOC/威胁情报/态势感知）

9、加密和密钥管理

10、业务连续性和灾难恢复

11、安全管理。如终端保护、代理管理、网络安全、移动设备管理等。

12、分布式拒绝服务保护