云计算关键领域安全指南V4.0.pdf

云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved4Confidential for CSA members only NOT FOR DISTRIBUTIONCSA前前言言欢迎来到云安全联盟关于云计算关键领域安全指南的第四个版本。云计算的兴起是一项不断发展的技术，它带来了许多机遇和挑战。通过这个文档，我们的目标是提供指导和灵感来支持业务目标，同时管理和减轻采用云计算技术相关的风险。云安全联盟促进了在云计算领域内提供安全保证的最佳实践，并为寻求采用云计算模式的组织提供了一个实用的、可执行的路线图。云计算关键领域安全指南的第四个版本是建立在之前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之上的。该版本集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。安全云计算的发展需要来自广泛的全球分布式利益相关方的积极参与。CSA 汇集了不同的行业合作伙伴、国际机构组织、工作组和个人。我们非常感谢所有为这次发布做出贡献的人。请访问 ，了解您如何与我们合作，确定并促进最佳实践，以确保有一个安全的云计算环境。Best Regards,L Lu uc ci ia an no o(J J.R R.)S Sa an nt to os sExecutive Vice President ofResearch Cloud SecurityAlliance云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved5Confidential for CSA members only NOT FOR DISTRIBUTIONCSA致致谢谢Lead AuthorsRich MogullJames ArlenAdrian LaneGunnar PetersonMike RothmanDavid MortmanEditorsDan MorenJohn MoltzCSA StaffJim ReavisLuciano(J.R.)SantosDaniele CattedduFrank GuancoHillary BaronVictor ChinRyan BergsmaStephen Lumpe(Design)编编著著者者我们谨代表 CSA 董事会和 CSA 执行团队，感谢所有为 CSA 云计算关键领域安全指南提供时间和反馈的个人。我们珍视您的志愿者贡献，相信像您这样的志愿者将继续引领云安全联盟走向未来。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved6Confidential for CSA members only NOT FOR DISTRIBUTIONCSACEO 的来信我对这个社区的云安全最佳实践的最新贡献感到非常激动，这一实践始于 2009 年 4 月发布的云安全联盟最初的指导文件。我们希望您能仔细研究这里列出的问题和建议，与您自己的经验相比较，并向我们提供您的反馈。非常感谢所有参与这项研究的人。最近，我有机会与帮助建立云安全联盟的一位行业专家共度一天。他表示，CSA 已经完成了最初的任务，即为了证明云计算可以安全，并提供必要的工具来实现这一目标。CSA 不仅帮助云计算成为信息技术的可靠安全选择，而且今天的云计算已经成为 IT 的默认选择，并且正在以非常深远的方式重塑现代商业世界。云计算的巨大成功和 CSA 在引领受信任的云生态系统方面的作用，给我们的新使命带来了更大的挑战和紧迫感。云现在已经成为各种计算形式的后端，包括无处不在的物联网。云计算是信息安全行业的基础。集装箱(容器)化和 DevOps 等等在组织内的 IT 新常态，已经与云计算密不可分，加速了我们的变革。在云安全联盟中，我们致力于为您提供在高速发展的 IT 环境中您所需的必要的安全知识，让您保持在新时代质量保证和信任趋势的前沿。总之，我们欢迎你们加入我们的社区。Best Regards,J Ji imm R Re ea av vi is sCo-Founder&CEOCloud Security Alliance云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved7Confidential for CSA members only NOT FOR DISTRIBUTIONCSA目录D1:云计算概念和体系架构.8D2:治理与企业风险管理.30D3:法律问题，合同和电子举证.40D4:合规和审计管理.55D5:信息治理.62D6:管理平面和业务连续性.69D7:基础设施安全.80D8:虚拟化和容器.95D9:事件响应.106D10:应用安全.113D11:数据安全和加密.124D12:身份、授权和访问管理.135D13:安全即服务.147D14:相关技术.154云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved8Confidential for CSA members only NOT FOR DISTRIBUTIONCSAD D1 1:云云计计算算概概念念和和体体系系架架构构1 1.1 1简简介介本域为云计算安全指南的其它所有部分介绍一个概念性的框架。它描述和定义了云计算，设置了我们的基本术语，并详细描述了文档其余部分中使用的总体逻辑和架构框架。看待云计算有很多不同的方式:它可以是一项技术、一系列的技术、一种运作模式、一种商业模式，这儿仅仅举了几个例子。从本质上来说，这是一场颠覆性的变革。它发展地非常非常快，而且没有放缓的迹象。虽然我们在本指南的第一个版本中包含的参考模型依旧比较准确，但是它们显然已经不再那么完整了。即使这样更新后也不可能解释未来几年的每一个可能的变化。云计算为敏捷、弹性和经济带来了巨大的潜在收益。组织可以运转地更快(因为他们不需要购买和拨备硬件，所有的都是软件定义的)，减少停机时间(由于固有的弹性和其他云特性)，并且节省资金(由于资本支出减少，需求和能力匹配)。自云服务提供商有重大的经济激励措施来保护消费者以来，我们也看到了安全收益。然而，这些收益是在您理解并采用原生云模型，并调整您的架构和控制，以适应云平台的特性和功能的基础上才会出现。其实，使用现有的应用或资产，并在不进行任何更改的情况下将其移动到云服务提供商，往往会降低敏捷性、弹性，甚至是安全性，同时还增加了成本。该领域的目的是建立基础，以使文档的其余部分及其建议都基于此。其意图是为信息安全专家提供一种通用语言和对云计算的理解，并开始强调云计算和传统计算之间的区别，以及帮助引导信息安全专家采用原生云方法，从而带来更好的安全性(以及其他收益)，而不是产生更多的风险。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved9Confidential for CSA members only NOT FOR DISTRIBUTIONCSA这个领域包括了 4 部分：定义云计算 云逻辑模型 云概念、架构和参考模型 云安全性和合规管理范围、职责和模型云安全联盟并没有着手创建一个全新的分类法或参考模型。我们的目标是对现有的模型进行提取和协调最值得注意的是 NIST 的特种文献 800-145,ISO/IEC 17788 andISO/IEC 17789关注与信息安全专家最相关的是什么。1 1.2 2概概览览1.1.1定定义义云云计计算算云计算是一种新的运作模式和一组用于管理计算资源共享池的技术。云计算是一种颠覆性的技术，它可以增强协作、提高敏捷性、可扩展性以及可用性，还可以通过优化资源分配、提高计算效率来降低成本。云计算模式构想了一个全新的世界，组件可以迅速调配、置备、部署和回收，还可以迅速地扩充或缩减，以提供按需的、类似于效用计算的分配和消费模式。NIST 将云计算定义为:云计算是一个模式，它是一种无处不在的、便捷的、按需的，基于网络访问的，共享使用的，可配置的计算资源(如:网络、服务器、存储、应用和服务)可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。ISO/IEC 的定义非常相似:通过自服务置备和按需管理，实现网络可访问、可扩展的、弹性的共享物理或虚拟资源池的范式。描述云的一种(稍微)简单的方法是，它需要一组资源，比如处理器和内存，并将它们放到一个大的池中(在这种情况下，使用虚拟化)。消费者需要从池中获得需要的东西，比如 8 CPUs 和云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved10Confidential for CSA members only NOT FOR DISTRIBUTIONCSA16 GB 的内存，而云将这些资源分配给客户端，然后客户端连接到网络并在网络上使用这些资源。当客户端完成时，他们可以将资源放回池中供其他人使用。云可以由几乎任何计算资源组成，从计算（如处理器和内存）到网络、存储以及更高级别资源（如数据库和应用程序）。例如，在数百个其他组织共享的服务中订阅 500 名员工的客户关系管理应用，与在云主机中启动 100 台远程服务器是一样的。定义:云用户是请求和使用资源的人或组织，云提供商是分发它的人或组织。我们有时还会使用术语“客户”和“消费者”来指代云用户，用服务或简单的云来描述云提供商。NIST 500-292使用“cloud actor”这个术语，并增加了云代理、运营商和审计人员的角色。ISO/IEC 17788 使用术语云服务用户、云服务合作伙伴和云服务提供商。创建云的关键技术是抽象和调配。我们从底层的物理基础设施中抽象出资源来创建我们的池，并使用调配(和自动化)来协调从池分割和分发各种资源到用户。正如您将看到的，这两种技术创造了我们用来定义“cloud”的所有基本特征。这就是云计算和传统的虚拟化之间的区别;虚拟化技术将资源抽象化，但是它通常缺乏将它们组合在一起并按需分发给用户的调配，而是依赖于手动流程。云是多租户的。多个不同的消费者共享同一个资源池,但彼此相互隔离和孤立。隔离允许云提供商将资源分配到不同的组,孤立确保他们不能看到或修改对方的资产。多租户不仅应用在不同的组织;它还用于在单个业务或组织中分配不同单元之间的资源。1.1.2定定义义模模型型云安全联盟(CSA)使用 NIST model for cloud computing 作为定义云计算的标准。CSA 还支持更深入的 ISO/IEC model，并作为参考模型。在这个领域中，我们将引用两者。NIST 出版物是被普遍接受的，所以，我们选择与 NIST Working Definition of Cloud Computing（NIST 800-145）保持一致，这样我们能够集中精力到用例上，而不是细微的语法定义差别上，云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved11Confidential for CSA members only NOT FOR DISTRIBUTIONCSA同时能保证一致性并获得广泛的共识。值得注意的是，本指南的目的是使其具有广泛的易用性、适用于全球范围内的组织。虽然NIST 是美国政府机构，选择此参考模型不应该被解释为是对其它观点或地域的排斥。在 NIST 对云计算的定义中，包括了五个基本特征、三个云服务模型、以及四个云部署模型。下图对它们进行了形象的汇总，后面会有详细描述。1 1.1 1.2 2.1 1基基本本特特征征以下特性使云成为了云。如果具备以下特征，我们就把它看作是云计算。如果它缺少其中任何一个，它很可能不是一个云。正如上面所讨论的，资源池是最基本的特性。云提供商对资源进行抽象，并将其聚集到一个池中，其中的一部分可以分配给不同的用户(通常是基于策略)。用户自己可以按需自动配置资源，他们自己管理自己的资源，而无需与服务提供商的服务人员互动。广泛的网络访问意味着所有的资源都可以通过网络获得，而不需要直接的实体接取；网络云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved12Confidential for CSA members only NOT FOR DISTRIBUTIONCSA并不是服务的必须部分。快速弹性允许用户从池中按需使用资源(置备和释放)，通常完全自动。这使他们更紧密地匹配资源消耗需求(例如,需求增加时添加虚拟服务器,然后当需求终止时释放它们)。提供可测量的服务，以确保用户只使用他们所分配的东西，如果有必要的话，还可以对他们收取费用。这就是“效用计算”这个术语的由来，因为计算资源现在可以像水和电一样消耗，客户只需要支付他们所使用的东西。ISO/IEC 17788 列出了六个关键特性，其中前五个特性与 NIST 的 特征相同。唯一的补充是多租户，这与资源池是不同的。1 1.1 1.2 2.2 2服服务务模模型型NIST 定义了三个服务模型，它们描述了云服务的不同基础类别:软件即服务(SaaS)是由服务商管理和托管的完整应用软件。用户可以通过 web 浏览器、移动应用或轻量级客户端应用来访问它。平台即服务(PaaS)抽象并提供开发或应用平台,如数据库、应用平台(如运行 Python、PHP或其它代码的地方),文件存储和协作,甚至专有的应用处理（例如机器学习、大数据处理或直接API 访问完整的 SaaS 应用的特性)。关键的区别在于，使用 PaaS，您不需要管理底层的服务器、网络或其他基础设施。基础设施即服务(IaaS)提供了基础性的计算资源，如计算、网络或存储。我们有时称它们为“SPI”模型。ISO/IEC 使用了一个更加复杂的定义，它使用了一个与 SPI 模型(软件、基础设施和平台功能类型)密切相关的云功能类型。然后，它扩展到更细粒度的云服务类别，比如计算即服务、存储即服务，甚至还包括 IaaS/PaaS/SaaS。这些类别具有一定的渗透性:一些云服务跨越了这些模型，而另一些则不完全属于单一的服务模式。实际上，没有理由尝试把所有的东西都分配到这三大类中，甚至是 ISO/IEC 模型中更细粒度的类别。这仅仅是一个有用的描述工具，而不是一个严格的框架。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved13Confidential for CSA members only NOT FOR DISTRIBUTIONCSA这两种方法都是同样有效的，但是由于 NIST 的模型更加简洁，并且目前使用得更广泛，所以它是 CSA 研究中主要使用的定义。1 1.1 1.2 2.3 3部部署署模模型型NIST 和 ISO/IEC 都使用相同的 4 个云部署模型。下面描述这些技术是如何部署和使用的，它们适用于整个服务模型的范围:公共云。云基础设施提供服务给一般公众或某个大型行业团体。并由销售云计算服务的组织所有。私有云。云基础设施专为一个单一的组织运作。它可以由该组织或某个第三方管理并可以位于组织内部或外部。社区云。云基础设施由若干个组织共享，支持某个特定有共同关注点的社区。(例如使命、安全要求、政策或合规性考虑等)。它可以由该组织或某个第三方管理并可以位于组织内部或外部。混合云。云基础设施由两个或多个云（私有、社区、或公共）组成，以独立实体存在，但是通过标准的或专有的技术绑定在一起，这些技术促进了数据和应用的可移植性（例如：云间的负载平衡）。混合通常用于描述非云化数据中心与云服务提供商的互联。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved14Confidential for CSA members only NOT FOR DISTRIBUTIONCSA部署模型是基于云用户定义的，即使用云的用户。如下图所示，拥有和管理云的组织即使在单个部署模型中也会有所不同。1管理包括：治理，运营，安全，合规等2基础设施是指物理基础设施，如设施，计算网络和存储设备3基础设施位置与组织的管理层相比是物理性的，并且与所有权和控制权有关4可信用户是那些被认为是组织的合法/合同/政策下的组成部分，包括员工，承包商和业务伙伴。不可信用户是可能被授权使用某些或所有服务的用户，但不属于组织的部分.Untrusted consumers are those that may be authorized to consume some/all services but云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved15Confidential for CSA members only NOT FOR DISTRIBUTIONCSA1.1.3参参考考和和架架构构模模型型现在，在构建云服务方面，有很多不断发展的技术，使得任何单一的引用或架构模型从一开始就过时了。本节的目标是提供一些基础知识，帮助信息安全专家做出明智的决策，以及了解更复杂和新兴模型的基线。对于一个深入的参考架构模型，我们再次推荐ISO/IEC 17789和NIST500-292，这是 NIST 定义模型的补充。看待云计算的一种方式是将其视为一个堆栈，SaaS 是位于 PaaS 之上，PaaS 位于 IaaS 之上。这并不是所有(甚至大多数)实际部署的代表，而是作为开始讨论的有用参考。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved16Confidential for CSA members only NOT FOR DISTRIBUTIONCSA1 1.1 1.3 3.1 1基础设施即服务基础设施即服务物理设施和硬件基础设施构成 IaaS 的基础。利用云计算，我们将这些资源抽象并集中在一起，但是在最基本的层面上，我们总是需要物理硬件、网络和存储来进行构建。这些资源通过抽象和调配进行汇集。抽象通常通过虚拟化，将资源从物理约束中解放，生成池。然后，一组核心连接和交付工具(编排)将这些抽象资源组合在一起，创建池，并自动化将他们交付给用户。所有这些都是通过应用程序编程接口(APIs)实现的。APIs 通常是云中组件的底层通信方法，其中一些(或完全不同的集合)公开给云用户，以管理他们的资源和配置。目前大多数云 APIs 都使用 REST(Representational State Transfer)，它在 HTTP 协议上运行，非常适合于 Internet 服务。在大多数情况下，这些 APIs 都是可以远程访问的，并被封装到基于 web 的用户界面中。这种结合是云管理层面，因为用户使用它来管理和配置云资源，比如启动虚拟机(实例)或配置虚拟网络。从安全的角度来看，这既是与保护物理基础设施最大的区别(因为您不能依赖物理访问作为控制)，也是在设计云安全程序时，需要最优先考虑的问题。如果攻击者进入您的管理平面，他们可能获得您的整个云部署的远程访问完整权限。因此 IaaS 由设备、硬件、抽象层、编排(核心连接和交付)层组成，将抽象资源绑定在一起，通过 APIs 远程管理资源并将它们交付给用户。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved17Confidential for CSA members only NOT FOR DISTRIBUTIONCSA下面是一个 IaaS 平台的简单架构示例:一系列物理服务器每个运行两个组件：虚拟机管理程序和管理/编排软件，以连接服务器并将它们连接到计算控制器。用户请求一个特定大小的实例(虚拟服务器)，而云控制器确定哪个服务器具有容量，并分配请求的大小的实例。控制器随后通过请求存储控制器的存储来创建一个虚拟硬盘驱动器，该存储控制器从存储池中分配存储，并通过网络将其连接到适当的主机服务器和实例(用于存储通信的专用网络)。网络，包括虚拟网络接口和地址，也被分配并连接到必要的虚拟网络。然后，控制器将服务器映像的副本发送到虚拟机中，启动它，并配置它；随着虚拟网络和存储都配置好之后，这就将创建一个在虚拟机中运行的实例。一旦整个过程完成，元数据和连接信息就由云控制器代理，并提供给用户，用户现在就可以连接到实例并登录。这是一个非常简单的图表，展示了用于编排的计算和存储控制器，用于抽象的管理程序，以及计算和存储池之间的关系。它省略了许多组件，例如网络管理器。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved18Confidential for CSA members only NOT FOR DISTRIBUTIONCSA1 1.1 1.3 3.1 1平台即服务平台即服务在所有的服务模型中，PaaS 是最难以确定的，因为 PaaS 产品的范围广泛，并且构建 PaaS服务的方法很多。PaaS 增加了与应用程序开发框架、中间件功能以及数据库、消息传递和队列等功能的集成层。这些服务允许开发人员在平台上构建应用程序，并使用程序支持的编程语言和工具。在现实世界中经常见到的一个选择，在我们的模型中也可以看到，就是在 IaaS 的基础上构建一个平台。在 IaaS 上构建了集成层和中间件，然后将其汇集在一起，进行编排，并使用 APIs作为 PaaS 暴露给用户。例如，可以通过在 IaaS 中运行的实例上部署修改后的数据库管理系统软件来构建数据库即服务。用户通过 API(和一个 web 控制台)管理数据库，并通过普通的数据库网络协议访问它，或者通过 API 访问它。在 PaaS 中，云用户只看到平台，而不是底层的基础设施。在我们的示例中，数据库可根据需要进行伸缩，而不需要管理单个服务器、网络、补丁等。另一个例子是应用程序部署平台。这使得开发人员可以在不管理底层资源的情况下加载和运行应用程序代码。这种服务使 PaaS 可以运行任何语言编写的任何应用程序，将开发人员从配置和构建服务器中解放出来，让他们与时俱进，或者去操心集群和负载均衡之类的复杂问题。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved19Confidential for CSA members only NOT FOR DISTRIBUTIONCSA这个简单架构图展示了一个在 IaaS 架构之上运行的应用平台(PaaS):PaaS 不一定要建立在 IaaS 之上；没有理由不能自定义设计独立架构。定义的特点是消费者访问和管理平台，而不是底层基础设施（包括云基础设施）。1 1.1 1.3 3.1 1软软件件即即服服务务SaaS 服务是完整的、多租户的应用程序，也具有任何大型软件平台的复杂架构。为了提高敏捷性、弹性和(潜在的)经济利益，许多 SaaS 提供商构建在 IaaS 和 PaaS 之上大多数现代云应用程序(SaaS 或其它)都使用 IaaS 和 PaaS 的组合，有时跨不同的云提供商。许多人还倾向于为一些(或全部)功能提供公共 APIs。他们经常需要这些来支持各种各样的客户端，特别是 web 浏览器和移动应用程序。因此，所有 SaaS 都有一个 API 位于应用程序/逻辑层和数据存储之上。然后有一个或多个表示层，通常包括 Web 浏览器、移动应用程序和公共 API 访问。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved20Confidential for CSA members only NOT FOR DISTRIBUTIONCSA下面的简化架构图取自一个真正的 SaaS 平台，但它是通用的，已删除使用中的特定产品的引用：云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved21Confidential for CSA members only NOT FOR DISTRIBUTIONCSA1 1.1 1.4 4.1 1逻逻辑辑模模型型从宏观上，云计算和传统计算都遵循一种逻辑模型，这种逻辑模型可以基于功能识别不同的层次。这有助于阐明不同计算模型之间的差异：基础设施：包括计算系统的核心组件：计算机，网络和存储，其他组件设立的基础，移动部件。元结构：提供基础设施层与其他层之间接口的协议和机制，是一种将多种技术紧密联系起来、实现管理与配置的粘合剂信息结构：数据和信息，如数据库中的内容，文件存储等应用结构:部署在云端的应用程序和用于构建它们的底层应用程序服务。例如，PaaS 的功能特性如消息队列，人工智能分析或通知服务不同的安全性将映射到不同的逻辑层。应用程序安全性映射到应用程序结构，数据安全性映射到信息结构，基础设施的安全性映射到基础设施层。云计算与传统计算的关键区别在于元结构。云计算元结构包括了可网络接入且远程访问的管理平台组件。另一个关键的区别在于，在云端，你往往会给每个层次赋予双重的任务。例如：基础设施包括用于创建云的基础设施以及云消费者使用和管理的虚拟基础架构。在私有云中，同一个组织可能需要同时管理上述两种基础设施；在公有云中，提供商管理物理基础设施，而消费者管理其部分虚拟基础架构。正如我们稍后要讨论的那样，这对谁是负责人，及管理、安全性有着深刻的影响。这些层次往往也映射到常见的 IT 组织中的不同专业和技术的团队。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved22Confidential for CSA members only NOT FOR DISTRIBUTIONCSA尽管最明显且最直接的安全管理差异在于元结构，但云与传统计算在每一个层次都有很大的差异。差异的规模不仅取决于云平台，更取决于云消费者如何利用云平台。例如，一个极大程度基于云提供商的 PaaS 产品所实现的云应用程序，相比一个仅为了迁移至IaaS 平台进行细小变更的应用程序而言，具有更多应用程序结构的差异。1 1.2 2 云云安安全全范范围围、职职责责和和模模型型1.2.1云云安安全全与与合合规规性性范范围围和和职职责责这听起来也许很简单，但是云安全和合规性包含了一个安全团队在当前应当负责的所有职责。虽然延续了所有传统安全领域，但是其风险、角色和职责的性质，以及控制点的实施时常有着巨大的变化。虽然云安全和合规性的总体范围没有变化，但是任何一个云服务参与者都应当承担起相应的职责。可以这样想：云计算是一种共享技术模式，不同的组织通常会承担实施和管理不同部分的责任。因此，安全职责也由不同的组织分担，所有的组织都包含在其中。这通常被称为共享责任模型，它是依赖于特定的云提供商和功能/产品，服务模型和部署模型的责任矩阵。从宏观上讲，安全职责是与任何角色对于架构堆栈的控制程度相对应的：软件即服务：云服务提供商负责几乎所有的安全性，因为云消费者只能访问和管理其使用的应用程序，并且无法更改应用程序。例如，SaaS 提供商负责周边安全，日志/监控/审计和应用安全性，而消费者可能只能够管理授权和权利。平台即服务：云服务提供商负责平台的安全性，而消费者负责他们在平台上所部署的应用，包括所有安全配置。因此两者职责几乎是平均分配的。例如，使用一个数据库作为服务时，提供商管理基本的安全，修复和核心配置，而云消费者则对其他负责，包括数据库要使用的安全功能，管理账户，甚至是身份验证方法。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved23Confidential for CSA members only NOT FOR DISTRIBUTIONCSA基础设施即服务：类似 PaaS，云服务提供商负责基本的安全，而云消费者负责他们建立在该基础设施上的其它安全，不同于 PaaS，IaaS 的消费者承担更多的责任。例如，IaaS 的提供商将可能监视他们的网络边界所受到的攻击，但消费者在服务商提供的工具基础上，全权负责如何定义和实现自己的虚拟网络安全。这些角色在使用云服务中介或其他中介机构和合作伙伴时就变得更加复杂。最重要的安全性考虑是确切地知道谁负责特定的云计算项目。如果任何特定的云提供商提供了特殊的安全控制，且你清楚地知道他们提供了什么以及如何运作，这一点相对而言就没有那么重要。消费者可以选择通过自身控制来消除控制的差异，或是选择不同的云提供商。当选择 IaaS 时，云消费者的责任就很高，而如果选择 SaaS 则相对较低。这是云服务提供商和消费者的安全关系的本质。提供商应当做什么？消费者应当做什么？云供应商是否给使用者提供了他们需要的服务？合同中担保了哪些责任和服务水平协议，以及技术文档和细则包含了什么技术？与这种共享责任模式相关的，有如下两条建议：云服务提供商应该清楚地记录其内部的安全控制和客户的安全功能，因此云消费者能够做出明智的决定。提供商也应正确地设计和实施这些控制。无论是什么云项目，云消费者应建立一个责任矩阵，以确定由谁及如何实施控制。这也应该与所有必要的合规标准相一致。云安全联盟提供了两个工具，以帮助满足这些要求：云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved24Confidential for CSA members only NOT FOR DISTRIBUTIONCSA共识评估问卷（CAIQ），为云服务提供商提供的标准模板以记录他们的安全与合规控制。云控制矩阵（CCM），其中列出了云计算的安全控制，并将它们映射到多个安全和合规标准。该矩阵还可以用来记录安全责任。这两份文件需要根据具体的组织和项目要求进行调整，但它提供了一个全面的初始模板，并可以确保满足合规要求。1.2.2云云安安全全模模型型云安全模型是一个协助指导安全决策的工具。“模型”这个词可能有些模糊，所以为了明确我们的目的，我们分解出以下类型：概念模型或框架概念模型或框架，包括用于解释云安全概念和原理的可视化效果和描述，如本文提到的 CSA 逻辑模型。控制模型或框架控制模型或框架，对特定的云安全控制或控制类别进行分类和细化，如 CSA CCM。参考架构参考架构是指实现云安全的模板，这个架构通常是具有普遍性的（例如 IaaS 安全参考架构）。它们可以是非常抽象的，与概念相关，或者相当详细，与特定的控制和功能相关。设计模式设计模式是针对特定问题的可重复使用的解决方案。在安全方面，IaaS 日志管理即其中一个例子。与参考架构一样，它们可能或多或少是抽象的或具体的，甚至是特定云平台上的常见实现模式。这些模型之间的划分往往是模糊和重叠的，这取决于模型开发人员的目标，甚至将它们中的一些称为“模型”也可能不够准确，但是由于我们看到这些术语在不同来源之间可互换使用，所以将它们分组是合乎情理的。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved25Confidential for CSA members only NOT FOR DISTRIBUTIONCSACSA 已经审查并推荐以下模型：CSA 企业架构企业架构CSA 云控制矩阵（云控制矩阵（CCMCCM）NIST 云计算安全参考架构草案（云计算安全参考架构草案（NISTNIST 500-299500-299 号特刊）号特刊），其中包括概念模型，参考架构和控制框架。ISOISO/IECIEC FDISFDIS 2701727017 信息技术信息技术-安全技术安全技术-基于基于 ISOISO/IECIEC 2700227002 的云服务信息的云服务信息安全控制实践守则安全控制实践守则。在本指南中，我们还提及其他领域特定的模型。1 1.2 2.2 2.1 1一一个个简简单单的的云云安安全全流流程程模模型型虽然实施细节、必要的控制、具体过程以及各种参考架构和设计模型会根据具体的云项目有很大的不同，但是仍会有一个相对简单的的高级流程来管理云安全：确定必要的安全和合规要求以及任何现有的控制点。选择云提供商、服务和部署模型。定义架构。评估安全控制。确定控制差距。设计和实施控制以弥补差距。持续管理变更。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved26Confidential for CSA members only NOT FOR DISTRIBUTIONCSA由于不同的云计算项目，即使是同一个云提供商，也可能会采用完全不同的配置和技术，每个项目都应该根据自己的情形进行评估。例如，针对某一供应商部署在 IaaS 上的应用程序所适用的安全控制，与这家供应商部署在 PaaS 的类似项目所适用的安全控制相比，可能看起来区别很大。关键在于识别需求、设计架构，然后根据底层云平台的功能来识别差距。这就是为什么在将安全需求转化为控制之前，您需要了解云供应商和云架构。云计算关键领域安全指南 v4.0Security Guidance v.4 Copyright 2017,Cloud Security Alliance.All rights reserved27Confidential for CSA members only NOT FOR DISTRIBUTIONCSA1 1.3 3重重点点关关注注领领域域组成 CSA 指南的其它 13 个领域着重介绍了云计算安全的关注领域，以解决云计算环