CSA发布 | 云盘算关键范畴安全指南v5

《云盘算关键范畴安全指南》（简称：云安全指南）由云安全联盟（CSA）于2009年首次发布，成为了全球实施云安全的必备手册，为云盘算用户、服务提供商及安全专家提供实用的安全战略，帮助他们在快速变革的云环境中有效地实施安全控制和防护措施。作为 CSA 云安全知识认证（CCSK）国际网络安全认证的官方学习材料，云安全指南已被翻译成六种语言，成为全球网络安全从业者的经典教材。
现在已更新至《云盘算关键范畴安全指南 v5》。在前几版的基础上，云安全指南v5 对技术进展和新兴安全威胁进行了全面更新。特殊是在云原生技术快速发展的背景下，指南强化了云原生安全措施，并融入AI、零信任等新兴安全技术/理念，为云安全3.0（智能云安全）的快速发展提供理论指导和实践指引。

以下是对指南各范畴的扼要导读，详细内容请阅读指南原文（18万字）。
范畴 1：云盘算概念和架构
范畴1为指南的其它范畴内容提供了概念性的框架。本部分主要先容云盘算的基本概念、服务模子（如IaaS、PaaS、SaaS）和部署模子（如公有云、私有云、混合云）。它夸大了云盘算的多租户特性、虚拟化技术以及资源池化的安全挑战，并提出了如何应对这些挑战的最佳实践。
范畴1提出了“一切即服务”（XaaS）的观点。XaaS作为云盘算的基础模子，涵盖了通过互联网提供的各种服务，区别于传统的当地或专有IDC数据中央。XaaS模子下，“X”代表几乎任何以服务形式交付的资源，如安全即服务、容器即服务、AI即服务等。这些服务通常与IaaS、PaaS、SaaS模子兼容，但它们更加详细且具有描述性，帮助企业在不同场景下选择符合的云服务形式。通过对XaaS的理解，企业能够更精准地选择和设计适合的云服务架构，同时应对安全、合规等多方面的挑战。

范畴2：云治理
范畴2关注云治理，重点夸大安全的作⽤。治理是基于由战略、步伐和控制构成的框架，旨在促进透明度和对既定标准的问责制。有效的治理实践涉及战略指导、⻛险管理和缓解措施、合规性监控和调停、预算分配和成本控制。IT 治理确保信息和相关技术能够⽀持企业战略和⽬标的实现。
有效的云治理必要建⽴一个强⼤的框架和⼀组战略，以确保有效、安全和合规地使⽤云资源。它必要实施强⼤的控制框架和战略来安全、合规和⾼效地管理云资源。此中包括：
界说角色和职责
建⽴云杰出中央或雷同机构
进⾏需求网络
基于⻛险的规划
⻛险与调停措施管理
数据和数字资产分类
服从法律和羁系要求
维护云注册表
建⽴治理层级结构
利⽤云特定的安全框架
界说云安全战略
设定控制⽬标并指定控制规范
通过实施这些组件，组织可以最⼤限度地发挥云盘算的优势，同时低落潜在风险。

范畴3：风险、审计与合规
范畴3 探究了评估云服务提供商 (CSP) 的⽅法。它涵盖了云⻛险注册中⼼的建⽴和审批流程的实施。此外，它还参考了 CSA 的“顶级威胁”提供常⻅⻛险的背景信息。
此范畴概述了合规性和审计、不同类型的合规性以及合规性继续的概念。为了帮忙治理、⻛险和合规性(GRC) 流程，该范畴引⼊了各种⼯具和技术。这包括战略、步伐、控制、⾃动化的作⽤、软件物料清单(SBOM) 和相关技术。总的来说，这些组件⽀持治理框架并帮助管理复杂的云盘算⻛险和合规性要求。
管理云⻛险的第⼀步是建⽴体系流程来评估CSP及其服务产物，此评估应与业务需求和⻛险承受能⼒保持⼀致。以下流程旨在办理这些差别：业务请求、查看 CSP ⽂档、检察外部来源、映射到合规性要求、映射到数据分类、界说所需控制和补偿控制、审批流程。

保护云环境必要全⾯的⻛险管理、合规性和连续监控⽅法。通过利⽤⾮技术和技术⼯具，组织可以有效地管理云⻛险、确保合规性并维护其云基础办法的安全性和弹性。
范畴4：组织管理
组织管理是指云环境的全面管理，它涉及组织和验证云服务提供商 (CSP) 的安全措施，以及保障各个云服务部署的安全。这些关键的安全议题跨越了部署战略，旨在实现结构化的最优“影响范围”控制和安全管理。尽管每个CSP的底层技术存在差别，但它们通常提供足够的功能对等性，以实现战略一致的管理实践。
租户管理是多租户环境中资源分配的关键机制，在云环境管理中发挥着至关重要的作用。创建关键控制措施来管理层级结构并办理主要的安全性和合规性问题，对于维护可见性和结构至关重要。范畴4还探究了管理和保护多个云部署的各种组织层级结构模子及其功能和最佳实践。通过研究结构差别和标准化方法，云服务客户 (CSC) 可以实施一致的安全控制和战略，加强其云管理战略并最小化安全风险。

此范畴还涉及组织安全管理的细节，包括身份提供商映射、CSP战略、共享服务，以及混合和多云环境的留意事项。实现云安全的第⼀步包括限制不必要的扩展、确定组织占用空间，在跨CSP及其内部实施安全控制，以确保单个部署的安全。主要任务是掌握如何将云服务分别成更小的控制单元，并在部署之上创建企业级和租户级的控制措施。
范畴5：身份与访问管理（IAM）
身份和访问管理确保只有颠末授权身份才能访问相应的资源。随着云平台将众多数据中央的管理功能和服务整合到同一的可通过互联网访问的Web控制台和应用步伐编程接口 (API)中，IAM成为云原生安全的新防线，保护敏感资源免遭未经授权的访问和滥用。
在公有云和私有云中，云服务提供商(CSP)和云服务客户(CSC)都有责任在可继承的风险容忍度内管理IAM。与当地体系相比，云盘算为IAM管理引入了新维度。固然核心安全问题可能并不新鲜，但它们的影响却被放大，并可能在云环境中产生连锁反应。
在云中管理IAM与在当地体系管理IAM之间的主要区别是：
云服务提供商（CSP）与云服务客户（CSC）之间的关系，以及各自的职责。
多个管理接口的整合。
这些接口对互联网的暴露，特殊是对于公共云环境。
IAM不能仅由CSP或CSC管理。它必要两边之间的信任关系、明确的责任分别以及促进IAM管理的技术机制。此外，与多个CSP打交道的CSC还增长了管理多个IAM办理方案与每个供应商的独特战略保持一致的复杂性。
范畴6：云安全监控
范畴6为云环境提出了独特的安全监控挑战和办理⽅案。它夸大了云遥测、管理平⾯⽇志、服务和资源⽇志以及⾼级监控⼯具集成的不同⽅⾯。它探究了混合和多云设置的复杂性，包括互操作性和安全性思量。进⼀步夸大了⽇志、事件和配置检测在全⾯安全监控中的关键作⽤。末了先容了⽣成式⼈⼯智能(GenAI)，作为加强云安全性和提供多⽅⾯保护云基础办法的创新⼯具。

云遥测源可让组织了解云环境，跟踪从管理操作到单个服务交互和资源性能的所有内容。它们通过不断网络和共享详细信息，提供“看到”和“听到”云环境中正在发⽣的事变的能⼒。然后，安全⼯具、管理员或⾃动化流程会处理这些信息，以分析和了解 CSC 云环境的运⾏状态、性能和安全性。
范畴7：云基础办法与网络安全
范畴7涵盖管理整体基础办法占⽤空间和⽹络安全。保护云基础办法是⼀项双重任务，既要保护 CSP 的设置，⼜要保护 CSC 部署的配置。基础办法安全的核⼼⽀柱包括创建安全架构、确保配置从⼀开始就是安全的、在开发⽣命周期的早期阶段集成安全性（左移实践）以及通过监控和应⽤护栏保持鉴戒。
基于 SDN 原则构建的云⽹络提供⾼级安全功能，例如实施默认拒绝战略、根据战略管理访问和规则以及答应进⾏细粒度的⽹络分段。这些功能显著的加强了云环境中的安全框架。

融⼊零信任原则（例如 SDP 和 SASE）对于确保多云毗连和实现安全长途访问⾄关重要。这些模子确保严格控制访问并根据颠末验证的⾝份和上下⽂提供访问，从⽽加强分布式环境中的安全性。

容器⽹络在传统虚拟化云⽹络之上添加了⼀个抽象层，从⽽带来了新的复杂性。这必要在容器和云⽹络层都应⽤安全措施，以防⽌漏洞被利⽤。末了，云⽹络安全不但限于安全组。它还包括部署防⽕墙、IDS/IPS 和 WAF 等预防性措施，以及流⽇志和流量镜像等检测控制。这些元素共同构成了对⽹络威胁的强⼤防御措施，确保利⽤云技术的企业的云基础办法的完备性和弹性。
范畴8：云⼯作负载安全
范畴8涵盖保护云⼯作负载。云⼯作负载指在云盘算环境中运⾏的各种任务、应⽤步伐、服务和流程。云⼯作负载具有可扩展性、机动性和效率，使企业和个⼈⽆需在物理硬件上投⼊⼤量资⾦即可访问和运⾏应⽤步伐或数据处理任务。云⼯作负载包含⼀系列资源，包括虚拟机 (VM)、容器、⽆服务器功能、AI平静台即服务(PaaS)。云环境的动态性质及其不断变革和扩展的资源必要与传统⽅法不同的安全⽅法。
在使⽤ Kubernetes进⾏容器编排时，⾃界说配置以加强安全性⾄关重要。扫描容器镜像中的漏洞并控制谁有权访问和管理这些镜像是⾄关重要的做法。此外，实施运⾏时保护机制可确保连续监控容器并防御连续威胁。

⽆服务器应⽤步伐必要接纳有针对性的安全性⽅法，⾸先是严格的IAM战略。保护API端点免受未经授权的访问并严格管理秘密是防⽌漏洞利⽤的关键。
AI⼯作负载安全范畴发展速率特殊快，必要不断学习。为了保护AI⼯作负载免受攻击，必须采⽤对抗性练习，保护AI模子免受未经授权的访问或盗窃，并采⽤差分隐私等数据隐私技术。
范畴9：云数据安全
在云服务快速发展和⽹络威胁⽇益增长的背景下，范畴9满⾜了云环境中对强⼤数据安全的需求。它夸大了数据安全对于维护组织完备性、秘密性、客户信任和法规服从性的重要性。

该范畴探究了数据安全的各个⽅⾯，包括数据分类、云存储类型以及针对不同数据状态（静态数据、移动数据和使⽤数据）的特定安全措施。它涵盖了IAM、加密和访问控制战略等基本安全⼯具和技术，为保护云数据提供了全⾯的指南。总体⽽⾔，该范畴是加强云数据安全实践的组织的基础指南。
范畴10：云应用安全
范畴10涵盖应用步伐安全性，纵然用安全控制保护盘算机应用步伐免受外部威胁的实践。云盘算是应用步伐安全性进步的主要驱动力，它要求进步是稳定的、可扩展的和安全的。安全开发生命周期提供了必要的技术和方法指南，以帮助制作和维护安全的云应用步伐。
指南提出左移（Shift-Left）的概念，左移（Shift-Left）是指将安全工作转移到SSDLC的早期阶段，以确保产物的设计安全和默认安全。

左移（Shift-Left）确保在SSDLC的每个阶段，都通过安全视角来审视风险，从而实现主动安全，前置安全。与SSDLC后期阶段被动修补漏洞相比，安全左移也更具成本效益。
范畴11：事件相应与韧性（规复力）
范畴11旨在确定和解释云事件相应和韧性（规复力）的最佳实践，安全专业⼈员在订定⾃⼰的事件计划和流程时可以将其⽤作参考。本范畴探究了云事件相应框架以及为有效相应事件所需的预备工作。它为CSP和CSC提供了一种透明、共同的框架，帮助他们共享云事件相应实践，指导CSC如何预备并管理云事件，贯穿整个粉碎性事件的生命周期。
事件相应生命周期是云客户有效预备和管理云事件的指导。NIST所描述的事件相应生命周期包括以下阶段和主要活动：预备阶段、检测与分析、控制、消除与规复，以及事后分析。

范畴12：相关技术与战略
范畴12指出，为了应对日益复杂的云安全挑战，组织必要从多个维度进行全面分析。通过联合“视角”和“流程”两者，我们能够从不同的角度审视问题，并在决策过程中接纳明智的措施，确保云应用、体系和数据的安全性与合规性。
当前，零信任（ZT）战略作为云安全的核心之一，夸大连续验证所有用户和设备，最小化信任，应用最小特权原则，并联合多因素身份验证、微分段和加密技术，缩小攻击面，进步安全弹性。与此同时，人工智能（AI）在云安全中的应用正逐步加强。通过AI，组织可以改善威胁检测、访问控制和战略实施，利用机器学习改进异常检测和风险管理，提拔安全防护能力。
CCSK课程先容
为了适应云安全3.0（智能云安全）时代对人才的需求，CSA在升级了CCSK课程与认证体系的同时，同步更新《云安全关键范畴安全指南v5》。CCSK课程内容与指南紧密联合，确保学员能够学习到最新的云安全理念与最佳实践。
CCSK V5在传统云安全知识体系的基础上，引入了包括AI/GenAI、零信任、DevSecOps、数据湖等新兴技术或理念，为云安全3.0时代的人才造就提供了与时俱进的完满的知识体系，同时为学员提供了明确的造就路径和目标。

CCSK（Certificate of Cloud Security Knowledge）云安全知识认证是国际权势巨子组织云安全联盟CSA于2011年发布的认证项目，是首个面向个人用户全球安全认证。被译成六国语言，在全球范围内进行讲授。被誉为“云盘算安全认证之母”，CCSK持证者已超过80000人。
关注国际云安全联盟CSA公众号，回复关键词“云安全知识”获取指南完备版

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。