2017云计算关键领域安全指南V4.0版.docx

云计算关键领域安全指南v4.0

PAGE

PAGE100

D1:云计算概念和体系架构 8

D2:治理与企业风险管理 30

D3:法律问题，合同和电子举证 40

D4:合规和审计管理 55

D5:信息治理 62

D6:管理平面和业务连续性 69

D7:基础设施安全 80

D8:虚拟化和容器 96

D9:事件响应 107

D10:应用安全 114

D11:数据安全和加密 125

D12:身份、授权和访问管理 137

D13:安全即服务 148

D14:相关技术 154

简介

本域为云计算安全指南的其它所有部分介绍一个概念性的框架。它描述和定义了云计算，设置了我们的基本术语，并详细描述了文档其余部分中使用的总体逻辑和架构框架。

看待云计算有很多不同的方式:它可以是一项技术、一系列的技术、一种运作模式、一种商业模式，这儿仅仅举了几个例子。从本质上来说，这是一场颠覆性的变革。它发展地非常非常快，而且没有放缓的迹象。虽然我们在本指南的第一个版本中包含的参考模型依旧比较准确，但是它们显然已经不再那么完整了。即使这样更新后也不可能解释未来几年的每一个可能的变化。

云计算为敏捷、弹性和经济带来了巨大的潜在收益。组织可以运转地更快(因为他们不需要购买和拨备硬件，所有的都是软件定义的)，减少停机时间(由于固有的弹性和其他云特性)，并且节省资金(由于资本支出减少，需求和能力匹配)。自云服务提供商有重大的经济激励措施来保护消费者以来，我们也看到了安全收益。

然而，这些收益是在您理解并采用原生云模型，并调整您的架构和控制，以适应云平台的特性和功能的基础上才会出现。其实，使用现有的应用或资产，并在不进行任何更改的情况下将其移动到云服务提供商，往往会降低敏捷性、弹性，甚至是安全性，同时还增加了成本。

该领域的目的是建立基础，以使文档的其余部分及其建议都基于此。其意图是为信息安全专家提供一种通用语言和对云计算的理解，并开始强调云计算和传统计算之间的区别，以及帮助引导信息安全专家采用原生云方法，从而带来更好的安全性(以及其他收益)，而不是产生更多的风险。

这个领域包括了4部分：

定义云计算

云逻辑模型

云概念、架构和参考模型

云安全性和合规管理范围、职责和模型

云安全联盟并没有着手创建一个全新的分类法或参考模型。我们的目标是对现有的模型进行提取和协调——最值得注意的是NIST的特种文献800-145,ISO/IEC17788andISO/IEC17789——关注与信息安全专家最相关的是什么。

概览

定义云计算

云计算是一种新的运作模式和一组用于管理计算资源共享池的技术。

云计算是一种颠覆性的技术，它可以增强协作、提高敏捷性、可扩展性以及可用性，还可以通过优化资源分配、提高计算效率来降低成本。云计算模式构想了一个全新的世界，组件可以迅速调配、置备、部署和回收，还可以迅速地扩充或缩减，以提供按需的、类似于效用计算的分配和消费模式。

NIST将云计算定义为:

云计算是一个模式，它是一种无处不在的、便捷的、按需的，基于网络访问的，共享使用的，可配置的计算资源(如:网络、服务器、存储、应用和服务)可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。

ISO/IEC的定义非常相似:

通过自服务置备和按需管理，实现网络可访问、可扩展的、弹性的共享物理或虚拟资源池的范式。

描述云的一种(稍微)简单的方法是，它需要一组资源，比如处理器和内存，并将它们放到一个大的池中(在这种情况下，使用虚拟化)。消费者需要从池中获得需要的东西，比如8CPUs和16GB的内存，而云将这些资源分配给客户端，然后客户端连接到网络并在网络上使用这些资源。

云可以由几乎任何计算资源组成，从计算（如处理器和内存）到网络、存储以及更高级别资源（如数据库和应用程序）。例如，在数百个其他组织共享的服务中订阅500名员工的客户关系

管理应用，与在云主机中启动100台远程服务器是一样的。

定义:云用户是请求和使用资源的人或组织，云提供商是分发它的人或组织。我们有时还会使用术语“客户”和“消费者”来指代云用户，用服务或简单的云来描述云提供商。NIST500-292使用“cloudactor”这个术语，并增加了云代理、运营商和审计人员的角色。ISO/IEC17788使用术语云服务用户、云服务合作伙伴和云服务提供商。

创建云的关键技术是抽象和调配。我们从底层的物理基础设施中抽象出资源来创建我们的池，并使用调配(和自动化)来协调从池分割和分发各种资源到用户。正如您将看到的，这两种技术创造了我们用来定义“cloud”的所有基本特征。

这就是云计算和传统的虚拟化之间的区别;虚拟化技术将资源抽象化，但是