学习笔记-云安全基础
1.什么是云计算
- 通过互联网创建一个内耗最小、功效最大的虚拟资源服务集合
- 本质上是商业模式的创新、优化社会资源配置的方式
2.云计算的类型
- 基础设施即服务(IaaS):提供机器、存储和网络资源,开发人员可以通过安装自己的操作系统、应用程序和支持资源来管理
- 平台即服务(PaaS):开发人员可以在其中部署自己的应用程序的平台,客户不需要管理或控制底层的云基础设施,包括网络、服务器、操作系统、存储等
- 软件即服务(SaaS):这是一个完整的软件应用程序,具有用户界面
3.云安全的定义
- 云安全是指保护基于云的关键业务的应用程序的可用性、数据和虚拟基础架构的机密性、完整性、可用性、不可否认性等。
- 云计算面临的九大安全威胁:
- 数据破坏
- 数据丢失
- 账户或业务流量被劫持
- 不安全的接口和API
- 拒绝服务
- 恶意的内部人员
- 云服务的滥用
- 部署云服务前没有对云计算进行足够的审查
- 共享技术漏洞
- 云环境下的安全理念:
- 自动化:所有的安全措施必须自动化
- 松耦合:每个安全服务或措施都要即可加进来又可拿出去
- 微服务:微服务吧安全限定在最小的边界范围内
4.相关的安全框架
- NIST CSF:美国国际标准与技术研究院网络安全框架
- CAF:云厂商与公立机构及商业机构客户共同创建的企业云转型的框架
- GDPR:通用数据保护用例,欧洲
- ATT&CK云安全攻防模型
- 中国云计算服务安全标准:在2015年颁布的《中华人民共和国国家安全法》中,明确规定了国家安全审查制度,在支撑这项制度的技术标准中,全国信息安全标准化技术委员会在2015年批准的《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)与《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)是两个基础性标准。