有效的云安全服务管理指南 © 2018 云安全联盟 - 保留所有权利 版权所有。 您可以从 https://cloudsecurityalliance.org/working-groups/cloud-security-servicesmanagement/#_downloads 中下载,存储,显示在电脑屏幕上,查看,打印和链接到云安全 联盟,受以下情况限制: (a)该草案仅可用于个人,参考,非商业用途;(b)不得以任何方式修 改或更改草案;(c)该草案不得重新分发;(d)商标,版权或其他通知不得删除。如果您需要 引用草案的部分内容,您必须遵守“美国版权法”中“合理使用”条款,并将所引用部分归属于 云安全联盟。 Guideline on Effectively Managing Security Service in the Cloud © Copyright 2018, Cloud Security Alliance. All rights reserved. 1 致谢 项目领导 陈恺 主要贡献者 Renato Jose Delatorre 王振宇 石新美 张志亮 金懿鑫 罗斌 梁珩 Theo Dimitrakos Sabri Khemissa Vani Murthy Andrea Knoblauch Atul Bahl Diego Fernandez CSA 人员 Hing-Yan Lee Haojie Zhuang Victor Chin Courtney Keogh Jane Chow 摘要 以安全责任共担模型为指导,对云服务商和云客户在不同云服务部署模式(IaaS,PaaS和SaaS),包括在 有些情况下云安全服务提供商提供的安全即服务(SecaaS)下的安全责任进行划分,对于每项安全责任 分析并识别一个或者多个安全功能和特性去实现。本指南提供了如何使用第三方安全产品和服务实现 云安全控制(参考CCM)。附录提供的案例给出了采用现有安全产品和服务(不指定厂商)实现上述云安 全功能与特性。 Guideline on Effectively Managing Security Service in the Cloud © Copyright 2018, Cloud Security Alliance. All rights reserved. 2 1 前言 1.1 背景介绍 1.2 如何使用本指南 1.3 1. 2. 3. 4. 安全责任共担模型已经形成共识,各大云服务提供商(CSP)发布了他们的安全责任共担模型白皮书或 者声明,澄清它们提供的云服务中所承担的安全责任及角色。现实情况是,相同的概念但不同的CSP的 解读及实施确不尽相同。业界已经为CSP开发了很多安全标准和规范以帮助它们实施和完成相应的安 全职责,而对于云客户来说,这方面的指导相对匮乏,它们在设计、部署和运营云业务安全方面仍然面临 挑战。本指南则旨在为云客户提供一种易于理解、适用于不同云服务模式的安全设计、部署和运营的指 南。这里也提供一些对云客户有帮助的标准和最佳实践供参考1,2,3,4 。 本指南主要供有意使用云服务的组织在计划将其业务系统构建或者迁移上云之前,能够清晰的了解如 何保障业务系统的安全运行,尤其是能够清晰的了解自身应该负责哪些方面的安全责任,哪些安全责任 将由云服务提供商来提供,以及为了承担这些安全责任而应该具备哪些安全保障特性以及如何构建这 样的能力。本指南也可以作为云服务提供商建设云平台安全保障体系的指南;本指南也可以为云服务安 全集成商提供指导。 本指南适用于私有云、公有云、混合云及社区云。 术语 CSP: 云服务提供商 O&M: 运行与维护 Cloud Customer Architecture for Securing Workloads on Cloud Services, https://www.omg.org/cloud/deliverables/CSCC-Cloud-Customer-Architecture-for-Securing-Workloads-on-Cloud-Services.pdf. Cloud Computing Security for Tenants, https://acsc.gov.au/publications/protect/Cloud_Computing_Security_for_Tenants.pdf. ISO/IEC 27018:2014 — Information technology — Security techniques —Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors. Software Defined Perimeter for Infrastructure as a Service, https://cloudsecurityalliance.org/artifacts/sdp-for-iaas/ Guideline on Effectively Managing Security Service in the Cloud © Copyright 2018, Cloud Security Alliance. All rights reserved. 3 2 2.1 云服务提供商、安全服务提供商和云客户 的安全角色及安全责任 安全责任共担模型 在云环境中,服务提供商与租户之间共担安全责任得到广泛认可。要理解责任共担模型则需要明确不同 的云业务部署模式,即基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS),以及很多组织 在部署和使用混合云业务的现实,在不同的模式下,安全责任在服务提供商和客户之间的划分是有很大 区别的。 一些领先的云服务提供商发布白皮书以解释它们所理解和提供的安全责任共担模型,例如微软 Azure,5 Amazon AWS,6 和华为7。 这里,参考Gartner的研究8 给出一个安全责任共担模型如下图。它描述了在不同云部署模式 IaaS、PaaS、SaaS下安全责任的变化情况,从图中可以看出由IaaS 到SaaS安全责任的分界线在上移,即 在IaaS模式下服务提供商分担的责任相对少,而客户的责任较大,到了SaaS模式,则大部分安全责任由 服务提供商承担而云客户承担的责任变少。 图 2-1 不同云服务部署模式下安全责任在云服务提供商和云客户之间的划分 IaaS 5. 6. 7. 8. PaaS SaaS 数据安全 数据安全 数据安全 云租户 应用安全 应用安全 应用安全 云服务提供商 中间件安全 中间件安全 中间件安全 主机安全 主机安全 主机安全 虚拟化安全 虚拟化安全 虚拟化安全 基础设施安全 基础设施安全 基础设施安全 Shared Responsibilities for Cloud Computing, Microsoft Azure, https://gallery.technet.microsoft.com/Shared-Responsibilities-81d0ff91. AWS Shared Responsibility Model, https://aws.amazon.com/compliance/shared-responsibility-model. Huawei Cloud Security Whitepaper, https://static.huaweicloud.com/upload/files/pdf/20171123/20171123171541_66845.pdf. Staying Secure in the Cloud Is a Shared Responsibility, Gartner, https://www.gartner.com/doc/3277620/staying-secure-cloud-shared-responsibility. Guideline on Effectively Managing Security Service in the Cloud © Copyright 2018, Cloud Security Alliance. All rights reserved. 4 2.2 云服务提供商和云客户各自的通用安全责任 2.2.1 云服务提供商的通用安全责任 有些安全责任对于云服务提供商和云客户来说,在不同云业务部署模式下是通用的,为了简洁,将它们 在此列出而不在不同部署模式章节中赘述。 ▪▪ ▪▪ ▪▪ ▪▪ ▪▪ ▪▪ ▪▪ ▪▪ 2.2.2 ▪▪ 应该负责基础设施的物理安全,包括但不限于机房选址、电力保障、冷却设施、防火、防水、抗震、 防盗、监控等。这部分安全要求可以参考相关标准。 应该负责计算、存储、网络硬件设施的安全。 应该负责基础网络的安全保护,如抗DDoS、防火墙等。 应该负责云存储的安全保障,如备份、恢复。 应该负责云基础资源的虚拟化安全保护,如租户资源的隔离、虚拟化资源的管理等。 应该负责租户的身份管理和访问控制。 应该负责提供租户安全访问云资源的能力。 应该负责基础设施的安全管理、运行监控及安全应急响应。 应该负责制定基础设施的业务连续性的保障规划和灾难恢复的计划并演练。 云租户的通用安全责任 ▪▪ 应该负责业务系统的用户身份管理、访问控制等。 ▪▪ 应该负责对访问云服务的终端设备进行安全管理和控制,包括设备的硬件、软件及应用系统、设 备的使用权限等等 ▪▪ 必须负责数据安全。 Guideline on Effectively Managing Security Service in the Cloud © Copyright 2018, Cloud Security Alliance. All rights reserved. 5 2.3 IaaS 2.3.1 云服务提供商的安全责任 2.3.2 在IaaS云部署模式下,云租户从云服务提供商处租用计算、存储、网络等基础设施,构建自己的业务系 统,因而将承担绝大部分的系统安全保障责任;云服务商则主要负责云数据中心的基础设施及基础资源 的安全保障。 云服务提供商应该承担2.2.1部分定义的通用安全责任。 云租户的安全责任 ▪▪ 云租户在承担2.2.2部分定义的通用安全责任的基础上还应该承担
CSA 有效的云安全服务管理指南
文档预览
中文文档
44 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共44页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-20 12:46:39上传分享