读《CSA云计算关键领域安全指南》

    在导师的指导下，开始看云计算领域的相关文章，按老师的说法，我还太菜，暂时不用深究各种细节，看了也看不懂，主要是要对整个行业有大概的理解，能够建立起大概的框架即可。所以，文中不免有不足甚至错误，还望批评指正。

    看的第一篇文章是《CSA云计算关键领域安全指南》。

    恰如编者所说：我们希望这本指南将帮助您更好地了解需要什么问题、最新的建议措施、避免什么潜在的陷阱。本手册对云计算进行了定义，从宏观上介绍了云的特点、模型和服务，通过对云计算安全的若干安全问题重点特别是十二个关注点进行阐述，使读者对云计算安全有个更为清晰的全景图，并提出深刻的、更富针对性的建议。而这也是我阅读本手册的初衷。

风险

    所谓安全指南，本手册首先描述了入云的风险评估。

    由于云计算提供的种类繁多的服务以及不同的云部署模型，所以，不可能用一个安全控制模型列表涵盖所有情况，各组织在云迁移和安全控制选择过程中英采取以风险为本的路线，存在很多风险评估框架用来对迁移到云计算模型进行评估。

云架构

    云计算是一个演化中的词汇，描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。根据NIST（美国国家标准技术研究院）对云计算的定义，云计算有五个关键特征、三个服务模型和四个部署模型。模型如下图所示：

    SaaS、PaaS和IaaS之间具有很强的依赖性，IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上。而正如云服务能力的继承一样，信息安全风险和问题也可以继承，云安全的一个关键特点就是云服务提供商所在等级越低，云服务用户自己所要承担的安全能力和管理职责就越多。

关注领域

   手册从12个方面突出了云计算安全的关注领域，包括治理和运行两部分。

• 治理

• • 治理和企业风险管理
  • 法律和电子证据发现
  • 合规和审计
  • 信息生命周期管理
  • 可移植性和互操作性
• 运行
• • 传统安全、业务连续性和灾难恢复
  • 数据中心运行
  • 应急响应、通告和补救
  • 应用安全
  • 加密和密钥管理
  • 身份和访问控制
  • 虚拟化

     其中治理范围更广，解决云计算环境的战略和策略，二运行这关注更战术性的安全考虑以及架构内的实现。

     其中加密和密钥管理、身份和访问控制是我关注的重点。

     强加密及密钥管理师云计算系统需要用以保护数据的一种核心机制，加密不仅仅需要加密静态数据，还需要对网络传输中的数据进行加密、对备份没接中的数据加密。除此之外，还可能需要进一步分析加密动态数据。同时，云计算的密钥管理还存在挑战，如保护蜜月存储、访问密钥存储和密钥备份和恢复等。