CSA發布《雲計算關鍵領域安全指南V4.0》

2017年7月28日，國際雲安全聯盟（CSA）發布了《雲計算關鍵領域安全指南V4.0》（簡稱：《雲安全指南4.0》）。隨著雲計算領域的發展，國際雲安全聯盟（CSA）不斷研究迭代更新發布新的標準。時隔6年，國際雲安全聯盟（CSA）將《雲安全指南》在V3.01版本的基礎上升級到V4.0版本。

《雲安全指南4.0》相比2011年發布的《雲安全指南》V3.01版本，雖然還是從架構、治理和運行三個方面14個領域對雲計算安全進行指導，但是在結構和內容上進行了非常大的更新改動。新指南去掉了互操作性與可移植性、數據中心運行等內容，同時還與時俱進地增加了基礎設施安全以及與雲計算相關的新技術，如大數據、物聯網、移動互聯等安全方面的指導內容，對雲、安全性和支持技術等方面提供更加詳實的最佳實踐指導。

在網路安全等級保護雲計算擴展要求中主要是給雲服務提供商提出了為保障雲安全的相關要求，對雲用戶的要求較少，因此本文將從雲用戶的角度出發，按照《雲安全指南4.0》的14個領域分別歸納總結雲用戶應該如何保障雲安全的指導建議。

D1:雲計算概念和體系架構

本節主要介紹了雲計算的相關概念及本指南其它13個章節的簡要說明。本節的主要內容包括雲計算的定義、雲邏輯模型、雲的架構和參考模型、雲的安全性和合規管理範圍、職責等內容。

在雲安全範圍、職責和模型安全方面，本指南對三種雲服務模型下的安全職責與角色進行了概述。在SaaS服務模型下雲用戶只能管理授權和權利；在PaaS服務模型下，雲用戶負責他們在平台上所部署的應用，包括所有安全配置；而在IaaS服務模型下，雲用戶負責他們建立在該基礎設施上的其它安全。因此可以看出，當雲用戶選擇IaaS時，雲用戶承擔的責任就更多，如果選擇SaaS則承擔的責任相對較少。

除此之外，指南還提供了用於幫助建立共享責任模式的兩個工具，即共識評估問卷（CAIQ）與雲控制矩陣（CCM）。建議雲用戶使用安全流程模型來選擇雲服務提供商。

D2：治理和企業風險管理

本節主要介紹了雲治理的工具和方法以及如何審查和評估企業管理雲計算所帶來的風險的能力。

在雲治理方面，指南中指出了雲治理的主要工具是雲服務提供商和雲客戶之間的合同。雲用戶應了解合同是如何影響治理框架/模型的，應根據不同的部署模式提出不同的合同要求，在簽訂協議之前應獲得和審查合同，如果合同不能有效協商，且具有無法接受的風險，可以考慮採用其他機制來管理這種風險。

在企業風險管理方面，雲用戶應根據選定的雲部署和服務模型確定安全和風險管理的責任共擔模型。除此之外，雲用戶應建立一種具體的風險管理和風險接受/緩解方法，來評估每個解決方案的風險。雲用戶應定期對雲服務提供商管理風險的能力進行審查和評估，在審查和理解雲服務提供商管理風險的能力之後，還應考慮殘餘風險，殘餘風險通常可以通過控制措施（例如加密）來管理。

D3:法律問題，合同和電子取證

本節的主要內容包括信息和計算機系統的保護要求、安全漏洞信息披露的法律、監管要求，隱私要求和國際法以及合同和電子取證的相關要求和建議等。

在數據保護方面，雲用戶應採用合理的技術、物理和管理措施來防範個人數據遭受丟失、濫用或篡改。如果要將用戶的數據傳輸給第三方或遷移到雲上時，應經過用戶的同意。

在簽署合同時，雲用戶應與雲服務提供商慎重簽署書面協議，協議應清晰定義角色、各方的期望和與數據利害攸關的眾多職責，還應明確識別允許和禁止使用的數據，以及數據被盜或泄漏時應採取的措施。除此之外，應有保密協議或數據使用協議來限制公司將用戶數據傳輸給第三方。

在電子取證時，雲用戶可能無法像在本地一樣申請或使用電子取證工具，也可能沒有能力或管理許可權搜索或訪問託管在雲中的數據，所以雲用戶需要考慮導致受限訪問所需要的潛在的額外的時間和費用。當雲用戶發出訪問雲中存儲的數據的請求時，雲服務提供商應該分析信息的要求和關聯性、重要性、均衡性或可訪問性的相關數據結構，當雲用戶收集到信息後，應採取合理的措施以驗證其從雲服務提供商收集的信息是完整的和準確的。雲用戶和雲服務提供商之間應簽署一項協議，用來在電子取證請求事件中相互配合，達到共同利益。

D4:合規性和審計管理

本節涉及評估雲計算如何影響內部安全策略的合規性、以及不同的合規性要求（規章、法規等）。同時還提供在審計過程中證明合規性的一些指導。

合規性在雲服務中是一個共享責任模式，雲用戶應始終對自己的合規性負責，其中的責任是通過合同，審核/評估，和具體的合規性要求的細節來確定的。因此，雲用戶應該在部署、遷移或開發雲技術之前，明確全部合規義務。了解評估和認證的範圍，包括控制和系統特性/服務。雲用戶應評估雲服務提供商的第三方認證，並將其與合規性要求保持一致。雲用戶應定義審計管理的範圍，選擇具有雲計算經驗的審核人員，確保他們了解雲服務提供商提供的合規性證據，並有效地收集和管理這些證據。雲安全聯盟雲控制矩陣可以提供雲服務提供商的註冊表、相關的遵從性要求以及當前的狀態等證據。當雲服務提供商的證據不充足時，雲用戶應創建和收集自己的證據。

D5：信息治理

本節涉及雲中數據的識別和控制；以及可用於處理數據遷移到雲中時失去物理控制這一問題的補償控制。除此之外也提及了其他內容，如誰負責數據機密性、完整性和可用性等。

雲用戶應該在計劃向雲過渡之前，確定信息的治理需求。包括法律和監管要求、合同義務和其它公司策略，確保信息治理策略和實踐可以擴展到雲端。雲用戶還應對信息的去向以及信息的訪問進行授權，利用遷移到雲的機會，對現有基礎設施曾使用的斷裂的方法，進行重新思考和重新構建，而不是擱置和平移現有的信息架構。在需要時，雲用戶應使用數據安全生命周期幫助數據處理和控制進行建模。

D6：管理平面和業務連續性

本節主要介紹了對訪問雲時使用的管理平台和管理結構進行的保護，包括Web控制台和API，從而確保雲部署的業務連續性。

對於保障管理平面的安全，雲用戶應該負責正確配置他們所使用的管理平面，保護和管理其授權證書，利用身份識別和訪問許可權管理措施來保障管理平面的安全。始終只允許用戶、應用程序和其他管理平面所需的最少特權，應謹慎使用這些特權；所有特權用戶的帳戶都應使用多因子身份驗證（MFA）。在業務連續性方面，在SaaS服務模型下，雲用戶應依靠雲服務提供商保障整個應用程序的服務運行。而在IaaS服務模型下，雲用戶可以設計自己的應用程序的架構來應對故障，將更多責任掌握在手中。除此之外，雲用戶應定期提取和歸檔數據，使用冷備設備和DNS重定向技術，並且還應該擁有相應的通知計劃和應急響應方案，從而保證宕機之後業務的連續性。

D7：基礎設施安全

本節主要涉及核心雲基礎架構的安全性，包括對網路、負載和混合雲的安全考慮，該領域還包括私有雲的安全基礎。

雲用戶應定期檢查行業標準和行業特定的合規證書和認證，確保雲服務提供商遵循雲基礎設置的最佳實踐和規則。在網路方面，應優先使用SDN，確保在多個虛擬網路和多個雲帳號/業務中可以增強網路隔離。還應基於每一個負載部署默認拒絕策略的防火牆，只要環境允許，建議始終使用雲防火牆策略限制同一個虛擬子網中負載之間的流量。在計算/負載方面，盡量使用不可變負載，將日誌存儲到負載之外，還應了解和遵守雲服務提供商對漏洞評估和滲透測試的規定。

D8：虛擬化及容器技術

本節涉及虛擬化管理系統、容器和軟體定義的網路的安全性。

在虛擬化方面，雲用戶主要負責合理配置虛擬網路的部署，尤其是虛擬防火牆。負責控制正確的許可權管理及配置。當虛擬防火牆和/或監控不滿足安全需求時，雲用戶可用虛擬安全設備或主機安全代理進行補償。雲用戶應該確保他們理解雲服務提供商提供的功能及所有安全漏洞。根據云服務提供商和其他行業最佳實踐合理地配置虛擬化服務。

對於容器技術，雲用戶應該了解已選容器平台和底層操作系統的安全隔離功能，然後選擇合適的配置。使用物理或虛擬主機在同一物理或虛擬主機上提供相同的安全性的上下文的容器隔離和容器組。確保只能部署批准的、已知且可靠的容器鏡像或代碼。適當地保護容器協調器/管理程序及調度者軟體棧。為所有容器和管理程序倉庫實現適當的基於角色的訪問控制，以及強大的認證功能。

D9：事件響應

本節主要介紹了適當的和充分的事件檢測、響應、通告和補救的措施建議。嘗試說明為了啟動適當的事件處理和取證，在雲用戶和雲服務提供商兩邊都需要滿足的一些條目。

雲用戶必須了解雲服務提供商所提供的用於分析目標數據的內容和格式，並評估現有的取證數據是否滿足司法證據保管鏈要求。採用持續和無伺服器的方式監控雲資源，才能比傳統的數據中心更早地發現潛在的問題。數據源應存儲或複製到在事件期間仍可保證可用性的位置上。雲用戶應該建立與雲服務提供商溝通的適當路徑，以便在事件發生時使用。事件響應計劃至少每年或每當應用架構有重大變化時進行測試。雲用戶應儘可能地將其測試程序與雲服務提供商（和其他合作夥伴）的測試程序進行最大程度的整合。

D10：應用安全

本節主要介紹如何保護在雲上運行或在雲中開發的應用軟體。包括將某個應用遷移到或設計在雲中運行是否可行，如果可行，什麼類型的雲平台（SaaS,PaaS,IaaS）是最合適的。

雲用戶應了解雲服務提供商的安全功能，不僅僅是他們的基準，還有各種平台和服務，應將安全性構建到初始設計過程中，即使沒有正式的安全軟體開發生命周期（SDLC），也可以考慮進行連續部署，將安全性自動化到部署管道中。應將威脅建模、靜態應用程序安全測試（SAST）和動態應用程序安全測試（DAST）、安全測試集成到部署過程中。使用事件驅動的安全性自動檢測和修復安全問題。使用不同的雲環境來更好地隔離管理平台訪問，並自由的為開發人員提供配置開發環境，同時也鎖定生產環境。 D11：數據安全和加密

本節主要介紹了如何實施數據的安全和加密控制，並保證可擴展的密鑰管理。

雲用戶應確保在數據移動到雲端的過程中採取數據保護措施，採用訪問控制和加密的數據安全控制技術保護雲中的數據，創建用於確定訪問控制的授權矩陣。但是也不要完全依賴訪問控制和加密，還要利用架構來提高數據安全性。密鑰管理和加密同樣重要，密鑰管理主要考慮因素是性能、可訪問性、延遲和安全性，應將正確的密鑰在正確的時間放在合適的位置。雲用戶管理的密鑰允許雲用戶在雲服務提供商管理加密引擎時管理自己的加密密鑰。除此之外，雲用戶還應利用現有標準來幫助建立良好的安全性，正確使用加密和密鑰管理技術和流程。 D12：身份、授權和訪問管理

本節介紹了如何利用管理身份和目錄服務來提供訪問控制。關注點是組織將身份管理擴展到雲中所遇到的問題。

雲用戶負責維護身份提供者並定義身份和屬性，還應制定一個全面和正式的計劃和流程管理雲服務的身份和授權，酌情考慮適當的使用身份代理。雲用戶應對所有外部雲賬戶優先選擇MFA，並發送MFA狀態作為聯合身份驗證時的屬性。為每個雲服務提供商和項目制定權利矩陣，重點是元結構和管理界面的訪問。除此之外，在控制風險方面，沒有什麼事情比特權用戶管理更重要的，應利用憑證控制，數字證書，物理和邏輯上獨立的訪問控制點，以及堡壘機等單獨嚴格控制的系統，對特權用戶的登錄行為進行控制。

D13：安全即服務

本節主要介紹了雲服務提供商提供安全能力來促進安全保障、事件管理、合規認證以及身份和訪問監督，除此之外還給出了安全即服務潛在的優勢以及問題。

在確定SecaaS提供商之前，雲用戶務必要了解數據處理（和可用性）、調查和合規性支持的任何安全性要求。特別需要注意處理受監管的數據，如個人身份信息保護（PII）。了解數據保留需求，並選擇支持輸入的數據不會產生鎖定情況的雲服務提供商。確保SecaaS服務與當前和未來的計劃兼容。 D14：相關技術

本節主要介紹了與雲計算有著密切關係的已建立的新興技術，包括大數據，物聯網和移動計算。

大數據

儘可能利用雲服務提供商的能力，即使它們與大數據工具安全功能有重疊。對數據收集和數據存儲層中的主存儲、中間存儲和備份存儲進行加密。充分理解使用雲機器學習或分析服務的潛在好處和風險。特別注意隱私和合規性的含義。當考慮到不符合安全性、隱私或合規性要求的服務時，雲用戶應該考慮使用數據屏蔽或混淆。除此之外，雲用戶還應遵循其他大數據安全最佳實踐，包括工具供應商(或開放源碼項目)和雲安全聯盟提供的那些最佳實踐。

物聯網

在數據收集階段，應使用安全的數據收集管道並對其進行數據清理，以防止通過對數據收集管道進行攻擊從而利用雲應用和雲基礎設施。在數據傳輸階段，需要加密通信。在數據存儲階段，不要將靜態憑據存儲在可能導致雲應用程序或基礎設施受損的設備上。除此之外，還需要確保設備可以進行修補和升級，並且還應遵循由CSA物聯網工作組發布的更多、更詳細的指南。

移動

在設計一個直接連接到雲基礎設施的應用程序時，雲用戶需要遵循雲服務提供商的指導，以正確的身份驗證和授權移動設備。在API防護方面，為惡意的API活動實現伺服器/雲端安全監視。測試所有的API時，都應該假設惡意攻擊者具有身份驗證、未加密的訪問許可權。驗證所有API數據並對其進行清理以確保安全。在數據傳輸方面，不要在網際網路上傳輸未加密的密鑰或憑證。在數據存儲方面，確保存儲在設備上的所有數據都是安全的和加密的。那些可能由於應用程序棧受攻擊而導致泄露的敏感信息不能存儲在本地設備上，因為惡意用戶很可能訪問到這些數據。除此之外，雲用戶還應遵循CSA移動工作組的更詳細的建議和研究。

f