​CSA云安全指南V4.0 D11 D12

最新推荐文章于 2023-02-17 18:30:42 发布
最新推荐文章于 2023-02-17 18:30:42 发布
阅读量249 收藏 1
点赞数
分类专栏: 安全 CCSK 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sherlockmj/article/details/119773922
版权
笔记 同时被 3 个专栏收录
55 篇文章 3 订阅
订阅专栏
安全
22 篇文章 2 订阅
订阅专栏
CCSK
6 篇文章 0 订阅
订阅专栏

CSA云安全指南V4.0 D11 D12

D11数据安全和加密

数据安全控制

  • 控制什么时候进入云端

  • 保护和管理云中的数据

  • 访问控制

  • 加密

  • 架构

  • 监控/告警(使用情况、配置、生命周期)

  • 附加控制-云提供商相关的具体产品、服务、平台、DLP以及企业权限管理

  • 执行信息生命周期管理安全

  • 管理数据位置、归属地

  • 确保合规性,人工审计(日志,配置)

  • 备份和业务连续性

云数据存储类型

  • 对象存储

  • 卷存储

  • 数据库

  • 应用程序/平台

管理数据迁移

  • CASB云访问和安全代理

  • URL过滤

  • DLP

保护数据安全传输

  • SFTP

  • TLS

云数据访问控制

  • 管理平面

  • 公共和内部提供商默认策略是访问控制

  • 应用程序级别控制

存储(AT-REST)加密和令牌
加密系统

  • 数据

  • 加密引擎

  • 密钥管理

IAAS加密

  • 实例管理的加密:加密引擎在实例中运行,密钥存储在卷中,但受密码短语或密钥对保护

  • 外部管理加密:加密引擎在实例中运行,但密钥由外部管理,并请求发送给实例

对象和文件存储

  • 客户端加密

  • 服务器端加密

  • 代理加密

PASS加密

  • 应用层加密

  • 数据库加密:透明数据库加密(TDE)

  • 其他

SAAS加密

  • 提供商管理的加密

  • 代理加密

密钥管理

  • HSM/设备

  • 虚拟设备/软件

  • 云提供商服务

  • 混合

D12 身份、授权和访问管理

概念

IAM

确保适当的个人能够以正确的理由在正确的时间访问正确的资源的安全规则

实体

具有身份的人或事物。可以是个人、系统、设备或应用程序代码。

身份

一个实体在给定命名空间内的唯一标识。可以有多个身份,媒体身份和社交身份。

标识符

可以鉴别身份的方式。对于数字身份,可以是令牌,可以是护照。

属性

身份的各个方面。属性可以相对静态或高度动态

人物角色

具有语义指向的属性身份的一种表示

角色

不同的语义中,身份可以有多个角色。

认证

确认身份的过程

多因素认证(MFA)

在认证中使用多个因素。包括OTP一次性密码

访问控制

限制对资源的访问

授权

允许一个身份访问某些内容,也称AUTHZ

权利

将身份映射到授权

联邦身份管理

跨不同系统或组织鉴别身份的过程。是单点登录的推动者,也是IAM的核心

授权源

身份的根源,如工作身份的目录服务器

身份提供者

联邦中的身份来源,可能会有代理授权

依赖方

依赖于身份提供者进行身份鉴别的系统

IAM的标准

  • 安全鉴别标记语言(SAML)2.0是联合身份管理的OASIS标准,支持身份验证和授权

  • OAuth是一种非常广泛用于web服务的IETF授权标准(包括消费者服务)

  • OpenID是联邦认证非常广泛支持的Web服务标准

  • 可扩展访问控制标记语言(XACML)是用于定义基于属性的访问控制/授权的标准。可以与SAML和OAuth一起用,解决一个实体允许使用一组属性,而不是处理登录或授权

  • 跨域身份管理系统SCIM是域之间交换身份信息的标准。它可用于外部系统中的账户配置和取消以及交换属性信息

联邦身份运行方式

联邦架构

free-form

内部身份提供者/来源(通常是目录服务器)直接连接到云提供商

hub and spoke

内部身份提供者/来源与集中代理通信,然后作为云提供商的城邦提供身份

自由格式模型问题

  • 目录需要internet访问

  • 访问云服务之前,可能需要用户将VPN重新连接到公司网络

  • 根据现有的目录服务器,特别是不同的组织孤岛中有多个目录服务器,则外部提供可能采用联邦形式会比较复杂且技术上难以实现

  • 身份代理处理身份提供商和依赖方之间的联盟

  • 身份提供者不仅仅需要位于内部,许多云提供商现在支持基于云的目录服务器,以支持内部联盟和其他云服务

实施时进行流程和架构的决策

  • 如何管理应用程序代码,系统,设备和其他身份识别

  • 定义身份配置过程以及如何将其集成到云部署过程中

  • 配置和支持单个云服务提供商并进行相应部署

  • 对身份提供者或依赖方之间的属性(包括角色)进行映射

  • 启用所需的监控/记录,包括身份相关的安全监控,如行为分析

  • 建立一个权利矩阵

  • 记录任何破解、修复情况,防止用于关系的联盟出现技术保障

  • 确保存在潜在账户被盗用的事件响应机制,包括特权账号的盗用

  • 对身份以及云服务提供商实施配置或权利变更的管理流程

MFA的形式

  • 硬件令牌

  • 软令牌

  • 带外密码(手机邮件)

  • 生物识别

FIDO(无密码强认证)是简化针对消费者的更强认证

授权

相对于RBAC,应优先选择ABAC

基于属性的访问控制 (ABAC),以允许在 IAM 策略和 AWS KMS 密钥策略的策略条件中使用标签和别名。基于属性的访问控制是一种授权策略,它基于可附加到用户和 AWS 资源的标签来定义权限。此外,KMS 还支持在策略条件中使用关键别名。

AWS KMS 可让您轻松创建和管理加密密钥,并控制其在各种 AWS 服务和应用程序中的使用。AWS KMS 是一种安全且有弹性的服务,它使用经过 FIPS 140-2 验证的硬件安全模块。您可以使用 ABAC 功能来基于应用于密钥的标签或别名来控制在 KMS 中使用或管理加密密钥的权限。

阿江要努力鸭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CSA云计算关键领域安全指南4.0 (中文版)
朔方飞絮谈安全
10-26 4781
云安全指南》第1版在2009年4月1日发布,也就是在2009年的RSA会议上CSA成立后的第一个月。在当时尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下,《云安全指南》高屋建瓴而又不乏具体的策略和实施建议,无疑是其中最具影响力的。随着云计算领域的发展,CSA不断研究迭代更新发布新的标准。
CSA云安全指南V4.0 D1 D2
sherlockmj的博客
07-28 233
CSA云安全指南V4.0 D1 D2CSA云安全指南V4.0 D1 D2D1:云计算概念和体系架构定义云计算云逻辑模型基础设施元结构信息结构应用结构云概念、架构和参考模型IAASPAASSAAS云安全性和合规管理范围、职责和模型软件即服务平台即服务基础设施即服务共享责任云安全模型概念模型或框架控制模型或框架参考架构设计模式推荐模型云安全流程模型运行域管理域D2:治理与企业风险管理云治理的工具合同供应商评估合规报告企业风险管理(ERM)风险容忍度服务模式和部署方式的影响公有云私有云混合云评估云风险云风险管理
CSA云安全指南V4.0 D9 D10
sherlockmj的博客
08-13 208
[[ENISA]] CSA云安全指南V4.0 D9 D10D9 事件响应(IR-incident response)事件响应生命周期准备处理事件流程通讯和设施的处理人员事件分析硬件和软件内部文档及数据确定相关培训评估基础设施订阅第三方威胁漏洞情报检测与分析警报验证警报信息分析时间范围指定负责人汇报事件恢复状态建立攻击时间表分析潜在数据丢失的程度通知和协调活动遏制、根除、恢复遏制消除与恢复记录事件和收集证据总结D10 应用安全CI/CD:持续集成,持续部署安全软件开发生命周期(SSDLC)分类微软NIST 8
CSA《企业架构参考指南》实现安全、效率和运营,最佳实践指南
CCSA2018的博客
02-17 1096
指南对企业架构建设、优化和运营实践的指导意义,在于他抽取、吸收了TOGAF、ITIL、SABSA、Jericho、NIST SP 500-299、 NIST SP 500-292、ISO 27001、ISO 27002等系列框架理论的精要,从而使得在云大物移环境下,企业架构的高效搭建与运行既拥有了理论框架,又有了可查找的实践行动。可服务于对安全、效率和运营有持续优化诉求的大中小企业,指南聚焦实践,沉淀知识,对于企业管理者和IT、业务、运营、安全的负责人能够快速学习,定位问题,抓住要领,快速实践。
云安全联盟CSA之《云安全指南》3.0浅析
lionzl的专栏
09-02 3995
云安全联盟CSA之《云安全指南》3.0浅析 July 9th, 2012Richard Leave a commentGo to comments 转贴一篇我的同事田民的文章,此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK,感兴趣考试CCSK的同学们,可以和他联系取取经。:) 摘要:在众多CSA已发布的研究文献中,《云安全指南》无疑是其中最具影响力的。在当前尚无一个
闲话云安全(1)_安全参考模型
枫桥过客的博客
09-28 1947
云计算服务安全吗? 国外,2017年3月1日,亚马逊的云计算服务(AWS)发生了故障,数千个网站和网络APP服务无法访问 国内,2017年7月18日, 有人发现,在百度网盘上看到上万条车主个人信息,企业、政府高官信息。 多条新闻显示出了一个问题,我们使用的云服务其实并不安全,但云服务已经逐渐走进我们的日常生活和企业中,那我们在选择云服务或者构建云服务时,该怎么去考量云服务的安全呢?
CSA云安全指南.docx
10-12
云安全联盟(Cloud Security Alliance,简称CSA)发布的《CSA云安全指南》是针对云计算安全的一份重要参考资料,旨在帮助企业理解和应对云计算带来的安全挑战。这份指南已更新至第四版,充分考虑了云计算技术的发展...
CSA云安全指南V4.0中文版.pdf
07-23
CSA云安全指南(中文版) pdf版 云计算关键领域安全指南
CSA云安全指南V4.0中文版
01-11
CSA云安全指南V4.0中文版,标准培训配套材料,学习辅导!
CSA云安全指南V2.1_V3.0_V4.0中文版
12-02
CSA 云计算关键领域安全指南 v2.1 v3.0 v4.0 共3份中文翻译稿 PDF格式 一次搞定
CSA云计算安全指南.pdf
10-10
CSA云计算安全指南.pdf
AlphaControls v16.23 Stable released Full Source D5-D11
08-20
delphi皮肤控件,AlphaControls 源码 D5—D11
CSA联盟的云安全指南V2.1中文版
04-01
CSA联盟成员有微软、Cisco、HP、EMC等,2009年12月发布的安全指南,完美翻译
Day1---D0:CSA云安全指南v4.0--架构
weixin_34303897的博客
10-31 300
今天开始深入学习和理解CSA云安全指南,第一天先把大概架构了解一遍,做了一张思维图:
d3d9、d3d11与d3d12比较
最新发布
07-23
d3d9、d3d11和d3d12都是DirectX图形API的不同版本。它们在功能和性能上有一些区别。 d3d9是DirectX 9的版本,它是较旧的API,但在早期Windows操作系统上广泛使用。它具有广泛的兼容性,并且可以在较旧的硬件上运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿江要努力鸭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值