内容概述:
管理雲計算安全性和風險。本子產品涵蓋了管理雲計算安全的重要注意事項。它從風險評估和管理開始,然後涵蓋法律和合規問題,例如雲中的發現需求。它也涵蓋了重要的CSA風險工具,包括CAIQ,CCM和STAR系統資料庫。
知識架構圖:
管理雲計算的安全性和風險域包括(源自于:CSA雲安全指南-M3):
一、雲計算安全治理與風險管理
資訊安全是資訊風險管理的工具,資訊風險管理進而是企業風險管理的工具,企業風險管理又是企業治理的工具。
雲計算影響治理關系,因為它要麼引入對第三方過程管理(在公共雲或托管私有雲的情況下),或在私有雲的情況下可能改變内部的治理結構。
管理雲計算時要記住的首要問題是,一個組織永遠不能外包治理的責任,即使是使用外部供應商的情況下。
雲治理的工具通常包括:合同、供應商(雲提供商)評估、合規報告。“雲安全聯盟STAR注冊”可以用來看做是一種保證程式,它提供了一系列檔案系統資料庫資訊,供雲提供商基于CSA的雲控制矩陣(CCM)和(CAIQ)開展通用評估的報告。一些雲服務提供商還披露額外的認證資訊和評估檔案(包括自我評估)。
在雲環境下,風險管理是基于責任共享模型的(這是我們最經常讨論的參考安全模型)。對某些風險來說,雲提供商承擔一定的責任,而雲客戶要承擔比這個範圍更大的風險責任。在SaaS情況下,雲服務提供商承擔更多的風險,而在IaaS 情況下,雲客戶承擔更多的風險。
ERM依賴于良好的合同和檔案、明确的責任劃分以及應對潛在的、未經處理的風險的方式。遷移到雲端不會改變你的風險承受能力,它隻是改變了管理風險的方式。
不僅需要考慮選擇不同的雲服務提供商,而且在雲服務的傳遞模式上,也必須注意不同的服務模式和部署模式是如何影響風險的管理、治理和能力的。
雲計算在企業風險管理方面有利有弊。在雲計算部署中,風險管理的核心方法依然是管理、轉移、接受或規避風險。
二、法律問題、合同和電子舉證
在許多情況下,根據以下規定,不同國家的法律可能同時适用:雲提供商所在的區域;雲使用者所在的區域;資料主體所在的區域;合同适用的法律管轄區域,可能與某些股東不同;這些不同區域之間的互認條約或其他的法律文書。
當資料被傳輸到雲中後,保護資料以及確定其安全通常是資料收集人或保管人的職責,即使在某些情況下這個責任可能與他人共享。
除了法律、法規、标準以及相關的最佳實踐,也要求對資料保管人進行盡職調查(在執行合同前)或安全審計(在合同履行期間),以確定這些責任得到履行。
由于雲計算将成為訴訟或調查中所需要的電子化存儲資訊的倉庫,雲服務提供商和他們的客戶必須仔細規劃如何識别案件涉及的所有文檔,為了能夠滿足聯邦民事訴訟規則中電子證據發現條款的嚴格要求,各州也要與這些法律條款相吻合。
三、合規和審計
當組織将其業務從傳統資料中心遷移至雲計算資料中心之時就将面臨新的安全挑戰。其中最大的挑戰之一即遵從衆多監管條例對傳遞、度量和通信的合規限制。了解雲計算與監管環境的互相關系将是任何“雲”戰略的關鍵因素。
與安全性一樣,合規性在雲服務中是一個共享責任模式。這些責任是通過合同、稽核/評估和具體的合規性要求的細節來确定的。
雲供應商在同時給多個租戶提供服務的時候,會(并且通常應該)将部署地點現場審計視為一種安全風險。是以客戶與這些供應商的工作将會不得不依賴第三方認證而不是他們自己執行的審計。
四、CSA工具:CCM、CAIQ簡介
雲安全聯盟 (CSA) 維護安全、信任及保證注冊項目 (STAR),這是一個可公開通路的免費注冊項目,雲服務提供商 (CSP) 可在其中釋出他們與 CSA 相關的評估。STAR包括三個級别的保證,分别與 CSA雲控制矩陣 (CCM)中的控制目标對應。
CMM(雲安全控制清單)分為16個域,133個控制項。CCM将雲安全控制映射到通用的合規架構、法規和标準,為這些控制建構通用語言。CAIQ(共識評估問卷),雲提供者的标準問卷,直接與CCM保持一緻。許多提供者在CSA STAR系統資料庫中預先填寫并公開。
測一測,看看您掌握了多少?
M3:管理雲計算的安全性和風險域的相關測試:
https://jinshuju.net/f/rr3m9I![Linux之父警告全球程式員:我剛釋出的5.12核心有bug,你們千萬别用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)