1架构介绍
目前云等保标准2.0已进入送审稿阶段,未来将对云安全技术和能力要求产生很大的影响。2017年7月底CSA发布了第四版云安全指南,最新版本《云安全指南4.0》的发布集成了云、安全性和支持技术方面的进展,反映了现实世界的云安全实践,集成了最新的云安全联盟研究项目,并为相关技术提供了指导。同期,Gartner高德纳发布了2017年云安全HypeCycle(每一个关键技术的总结描述请参考附录一),指出了云安全产品和技术的最新发展趋势和成熟度。本文从框架关系的角度剖析三者之间的关联性,希望能给大家带来一些启示。
下面两幅图是各自体系的总体架构,从图1中可以看出CSA云安全指南4.0与云等保2.0的架构都分为两大部分,分别是管理领域和技术领域,但是二者分类的维度及内容侧重点不一致,云等保标准要求延续老等保的思路,基本从合规性角度设计考虑,对技术发展热点和趋势跟进不及时。
CSA指南除了参考欧美的合规标准以外,还考虑了近年围绕云计算及安全技术发展的热点和趋势提出了很多技术方向的细节建议,而Gartner高德纳则更偏重市场上产品的使用情况和技术发展阶段来呈现相关的技术成熟度指数,在欧美市场很受重视和推崇。
图1 CSA和云等保架构
图2 Gartner高德纳HypeCycle技术方向
图3 2017年Gartner高德纳技术成熟度曲线
2云等保2.0 与Gartner高德纳HypeCycle对比分析
在下面的表中列举了云等保三级基本要求能与Gartner高德纳技术成熟度曲线相对应的关系,其中很多Gartner高德纳的技术方向在云等保的要求中没有覆盖。
表1云等保三级要求与Gartner高德纳技术方向对照表
云等保三级基本要求 | Gartner高德纳云安全成熟度报告相关技术 | |
网络和通信安全 | 网络架构 | 云工作负载防护、应用程序安全即服务、微隔离 |
访问控制 | 软件定义边界、身份认证和访问控制即服务、身份和访问控制管理服务、云安全访问代理 | |
入侵防范 | 云工作负载防护、云安全访问代理、数据丢失防护、微隔离 | |
安全审计 | 云安全访问代理、云安全评估 | |
设备和计算安全 | 身份鉴别 | 开放认证连接、云访问安全代理、身份验证服务、身份认证和访问控制即服务、身份和访问控制管理服务 |
访问控制 | 密钥管理即服务、身份认证和访问控制即服务、身份和访问控制管理服务、云安全访问代理 | |
安全审计 | 云安全访问代理、云安全评估 | |
入侵防范 | 云工作负载防护 | |
恶意代码防范 | 云工作负载防护 | |
资源控制 | 云管理平台、微隔离 | |
镜像和快照保护 | 容器安全技术、IaaS容器加密、不变基础架构 | |
应用和数据安全 | 安全审计 | 云安全访问代理、云安全评估 |
资源控制 | 云应用发现、云工作负载防护 | |
接口安全 | 不变基础架构 | |
数据完整性 | 移动设备的数据丢失保护、数据丢失防护 | |
数据保密性 | 云数据防护网关、云安全访问代理、令牌化 | |
数据备份恢复 | 云上数据备份、数据灾备即服务、虚拟机备份和恢复 | |
安全建设管理 | 安全方案设计 | 应用程序安全即服务 |
云服务商选择 | 安全评级服务、云服务经纪人、云基础设施安全态势评估 | |
供应链管理 | 云安全评估 | |
安全运维管理 | 监控与审计管理 | 云安全评估 |
备注说明 | Gartner高德纳报告中数字业务安全、私有云计算、OAuth 2授权框架、云测试工具和服务、高可靠Hypervisor等在我国云等保基本要求中并无明确条款相对应。 |
上表展示了Gartner高德纳技术方向对云等保标准的适用度,同时我们可以从另一个维度看一下Gartner高德纳技术方向的活跃度,其细分方向对应频次排序表如下:
表2Gartner高德纳技术方向对云等保标准覆盖频次表
Gartner高德纳技术成熟度方向 | 覆盖频次 |
云安全访问代理 | 7 |
云工作负载防护 | 5 |
云安全评估 | 5 |
身份认证和访问控制即服务 | 3 |
身份和访问控制管理服务 | 3 |
微隔离 | 3 |
数据丢失防护 | 2 |
不变基础架构 | 2 |
软件定义边界、开放认证连接、身份验证服务、密钥管理即服务、云管理平台、容器安全技术、IaaS容器加密、云应用发现、云数据防护网关、令牌化、云上数据备份、数据灾备即服务、虚拟机备份和恢复、安全评级服务、云服务经纪人、云基础设施安全态势评估、应用程序安全即服务 | 1 |
在这里,我们可以清晰的看出有几个热门的Gartner高德纳技术范围能覆盖云等保不同层次的技术安全要求,其中排名靠前的几个方向如下:
1.云安全访问代理技术方向涵盖范围较广,能满足7个云等保二级条款要求;
2.云工作负载防护、云安全评估能满足5个云等保二级条款要求;
3.身份认证和访问控制即服务、身份和访问控制管理服务、微隔离均能覆盖3个云等保二级条款要求;
4.软件定义边界、开放认证连接等17个技术方向覆盖了1个云等保二级条款要求。
3 CSA云安全指南4.0 与
Gartner高德纳HypeCycle对比分析
CSA云安全指南技术运行域共有9个安全域,其各个安全域的推荐技术方向可以与Gartner高德纳技术方向做相对应的关系分析,Gartner高德纳定义的方向除了数字业务安全无技术对应外,其余均能找到相近的技术维度。表3即为关系对照表。
CSA云安全指南4.0 | Gartner高德纳云安全成熟度报告相关技术 | |
管理平面和业务连续性 | API网关、访问控制 | 云管理平台、软件定义边界、云安全访问代理 |
身份认证、授权 | 密钥管理即服务、身份认证和访问控制即服务、身份和访问控制管理服务、开放认证连接 | |
日志审计、监控 | 云安全访问代理、 | |
高可用性 | 高可靠Hypervisor | |
基础设施安全 | 提供商/平台基础设施安全 | 云访问安全代理、身份验证服务、云基础设施安全态势评估、私有云计算 |
网络安全、微分段与软件定义边界 | 微分段、软件定义边界、 | |
云负载安全 | 云工作负载防护 | |
虚拟机、容器、无服务器计算 | 容器安全技术、IaaS容器加密、不变基础架构、身份和访问控制管理服务 | |
虚拟化及容器技术 | 云网络虚拟化 | 软件定义边界 |
虚拟机、容器安全 | 容器安全技术、IaaS容器加密、不变基础架构、云工作负载防护、身份和访问控制管理服务 | |
安全配置 | 云工作负载防护 | |
事件响应、通告和补救 | 持续监控、自动化响应、与测试整合 | 云访问安全代理、云测试工具和服务 |
遏制、根除、恢复 | 云上数据备份、数据灾备即服务、虚拟机备份和恢复 | |
应用安全 | 安全基线、隔离、弹性、DevOps和持续集成/持续部署 | 容器安全技术、不变基础架构、云工作负载防护 |
数据安全和加密 | 访问控制、安全审计 | 身份认证和访问控制即服务、身份和访问控制管理服务、云安全访问代理 |
IaaS/PaaS/SaaS加密、数据加密、令牌、客户管理的密钥 | 密钥管理即服务、IaaS容器加密、令牌化、云安全访问代理 | |
数据备份、恢复 | 云上数据备份、数据灾备即服务、虚拟机备份和恢复 | |
DLP | 移动设备的数据丢失保护、数据丢失防护、云数据防护网关、云安全访问代理 | |
身份、授权和访问管理 | IAM、SAMLOAuthOpenID跨域身份管理系统、MFA | 身份认证和访问控制即服务、身份和访问控制管理服务、OAuth 2授权框架、开放认证连接 |
安全即服务 | 身份,授权和访问管理服务 | 身份认证和访问控制即服务、身份和访问控制管理服务 |
云访问安全代理(CASB) | 云安全访问代理 | |
Web 安全(Web 安全网关) | Web 安全网关 | |
电子邮件安全 | 云数据防护网关 | |
安全评估 | 安全评级服务、云安全评估 | |
Web 应用程序防火墙(WAF) | 无 | |
入侵检测/防御(IDS / IPS) | 无 | |
安全信息与事件管理(SIEM) | 无 | |
加密和密钥管理 | 密钥管理即服务 | |
业务连续性和灾难恢复 | 数据灾备即服务 | |
分布式拒绝服务保护 | 无 | |
相关技术 | 大数据、物联网、移动设备、无服务器计算 | 无 |
表3CSA云安全指南与Gartner高德纳技术方向对照表
Gartner高德纳技术方向对CSA指南安全域的覆盖频次和范围相对更高,原因是其都比较关注新技术的发展和采用,具体对应频次就不再分析了。
同时,CSA在云安全指南4.0中给出了现阶段安全即服务的多个具体方向,其中Web 应用程序防火墙(WAF)、入侵检测/防御(IDS / IPS)等方向Gartner高德纳没有对应项,主要原因是这些服务的技术已经比较成熟,只不过是以SaaS的模式进行交付。
此外,CSA指南给出了4个与云相关的新兴技术方向的安全建议,在其原文报告中这部分内容过于简单和表面,有画蛇添足之感。
4云等保2.0与 CSA云安全指南4.0对比分析
如前所述,云等保标准2.0的设计维度是有继承性和扩展性的,相关的条款要求有目标描述而无技术指导和细化推荐;CSA指南的安全域设计和划分没有特别清晰的逻辑,各域内及域间的关联关系较为松散,考虑了不同系统的技术多样性,其优点是对一些方向给出了比较具体的建议措施,可以作为技术思路和方案设计的参考内容。附件3给出了笔者在阅读报告时重点部分的一些笔记。
个人认为将两者的细分技术点对应起来没有太高的价值,如想得出部分对应关系,是可以通过第二节、第三节的关联分析推论的。
总体而言,这三个不同国家、不同维度、面向不同读者人群的云安全框架体系各有特色,本文从合规框架、技术框架及关键产品技术间关系的角度进行了梳理分析,希望能对今后的技术研究、产品定义及方案设计提供参考和借鉴。
附1:Gartner高德纳成熟度曲线中云安全技术方向简介
1、不变基础架构(Immutable Infrastructure)
不可变的基础结构是指系统和应用程序等基础设施一旦被实例化,就不会更新。相反,当需要更改时,基础结构就会被替换。不可变的基础设施可以包括整个应用程序的堆栈、或者IaaS和PaaS提供的API等基础设施的版本化模板。不可变的基础架构可以帮助企业实现基础架构快速、标准化、安全的配置。
在云IaaS、PaaS或者容器服务中,可以考虑采用不变的基础架构来持续交付稳定的云计算环境。对于需要高度安全性和严格合规性遵从的组织也可以考虑采用不可变的基础架构,以便在不使用传统补丁管理的情况下持续维护一致的、兼容的配置。采用不可变的基础结构的IT组织需要调整他们的应用程序生命周期以形成围绕该体系结构模式的操作流程。
2、云基础设施安全态势评估(Cloud Infrastructure Security Posture Assessment,CISPA)
云基础设施安全态势评估(CISPA)提供的服务主要是为了分析了公共云服务的基础设施是否进行了正确和安全的配置,不同公有云服务商之间提供的服务是否满足兼容性。例如,CISPA提供了针对不同公共云服务的身份和访问管理(IAM)帐户、特权、网络连接、网络配置和存储配置的分析。理想情况下,如果一个设置是不兼容的,CISPA也可以采取相应的补救措施等。
CISPA主要是为了确保云租户获取到的云服务的设置和配置是安全的,符合自身要求的。这种需求与数据中心的配置和漏洞评估是一样的,但是对于CISPA来说,重点是企业负责的云基础设施的安全和配置兼容性。
3、容器安全(Container Security)
随着容器技术的广泛应用,容器安全技术也受到越来越多的关注。容器安全指针对基于Linux的容器技术,在其整个生命周期、测试以及控制管理方面进行安全防护。容器安全应在容器开发时就关注容器面临的风险和可信性,进而延伸至容器运行过程中实时的威胁防护和访问控制。 OS容器本身并非是不安全的,但由于开发人员为了实现服务开发和部署中的快捷性,往往会在部署时引入新的安全问题。为此,安全和风险管理员应该关注容器在安全漏洞、可见性和合规性等方面存在的问题。
4、云上数据备份(Cloud Data Backup)
云数据备份是指采用基于策略的备份工具,备份和恢复在云中生成的生产数据。这些数据可以由SaaS应用程序生成,或者由IaaS提供的计算服务产生。备份副本可以存储在相同的或不同的云位置,并且可以根据恢复粒度和恢复位置提供各种恢复/恢复选项。
随着越来越多的生产工作负载迁移到云上(以SaaS或IaaS的形式),保护云中本地生成的数据变得至关重要。SaaS和IaaS提供商通常提供基础设施的弹性和可用性,以保护他们的系统不受站点故障的影响。然而,当由于基础设施的故障而丢失数据时,提供者对丢失数据的价值没有经济上的责任,并且在停机期间只提供有限的信用。当由于用户错误、软件损坏或恶意攻击而丢失数据时,用户组织将完全负责。因此,云生成的数据越重要,用户就越需要提供这些数据的可恢复性。
5、数字安全(Digital Security)
数字安全是在数字业务系统中保证信任、安全和可靠性的实践。所涉及的系统包括操作技术(OT)、网络物理系统安全(CPSS)和物联网(物联网)。系统包括设备、网络、通信、应用以及商业、政府和社会中的数据等数字商业活动。数字安全控制信任建立,为数字基础设施提供安全、可靠、隐私和弹性等功能。
引人注目的网络攻击可能会发生在诸如联网汽车、医疗设备、楼宇自动化和其他以资产为中心的行业等垂直领域。尽管这些攻击很少见,但这些攻击已经推动了早期数字安全在这些垂直领域的投入。政府的关注可能会导致潜在的监管。由于数字基础设施的物理依赖,数字安全的安全管理和一般安全管理的影响是重叠的。数字安全将继续成为数字业务发展的第一大障碍。从长远来看,这些新兴的数字安全技术将使数字业务生态系统变得可靠、安全、有弹性。
6、开放认证连接(OpenID Connect)
OpenID Connect(OIDC)是OAuth 2.0协议之上的一个身份层。它使客户端能够根据授权服务器的身份验证功能去验证终端用户的身份,以及以可互操作的RESTFUL方式获取终端用户的基本概要信息。同时还规定了对于身份提供者发现、注册和会话管理等其他可选功能。
OIDC将为用户提供方便和控制。它将减少用户注册和重新访问服务提供商的次数,并为web和移动应用提供单点登录支持。随着可互操作的实现增加,相对于基于xml的标准、OpenID的早期版本,企业能够进行更加无缝、低耗费、安全性更高的身份相互认证。
7、安全评级服务(Security Rating Services)
网络安全等级服务(SRSs)为组织实体提供连续的、独立的、定量的安全分析和评分。这些服务通过非侵入性的方式收集来自公共和私有的数据,使用组织自己的评分方法分析的安全态势。SRSs用于内部安全评估和第三方风险管理。
安全与风险管理的领导者要向高层领导展示他们的项目的状态,进而获得一个相对较低成本的客观和引人注目的指标。Gartner高德纳的客户报告说,使用SRS可以提高高级领导对安全计划的信心,并促进正在进行的项目投资。有许多合作伙伴或严重依赖云服务提供商和第三方的组织可以利用评级服务,为更昂贵的第三方风险管理工作节省资金,并提高管理第三方风险的能力。
服务提供者可以使用这些服务来支持他们的销售和业务开发,证明他们正在实践良好的安全性,并帮助他们的客户更有效和有效地管理他们自己的第三方风险。
8、移动设备的数据丢失保护(DLP for Mobile Devices)
移动设备的数据丢失防护可以用于保护移动设备平台上的敏感内容损失,比如iOS和Android。移动端DLP可以扩展现有的DLP产品,以保护在移动设备上访问的敏感内容。
除了少数例外,在移动设备上部署的DLP产品目前还没有被广泛使用,其原因如下:(1)移动操作系统的限制——这意味着在移动设备上没有任何api或其他设备可以连接到移动设备上,以监视所有应用程序和服务的活动;(2)电源要求——如果一个服务在本地不断地处理DLP规则,那么电池寿命将会受到很大的影响。
当企业为所有移动设备和应用使用VPN重定向时,所有的应用程序将他们的通信重定向到DLP服务进行分析。当企业使用特定于应用程序的VPN或特定于应用程序的CASB时,应用程序的通信将被重定向到DLP服务进行分析。当分析检查到了敏感性的内容,就会触发了适用的规则和补救。
9、密钥管理即服务(Key management as a service)
密钥管理即服务解决方案是部署在公共云基础设施中作为服务,可以提供加密密钥管理的软件设备或硬件安全模块(HSM),并启用数据访问控制策略。它们可以由第三方提供,也可以由云服务提供商(CSP)提供。
当组织在为关键任务业务目标寻找IaaS时,必须确保数据安全性和访问控制的实现。然而,组织应该使用数据安全治理来平衡云计算的高性能与IaaS中不成熟的应用程序和一般数据安全性之间的关系。组织必须明晰自身的数据流,并理解所有清晰的文本访问点,以决定是否应该在IaaS项目中部署特定的数据集。数据安全治理应该用于检查每个数据的可接受的风险、威胁和合规性性要求。
10、软件定义边界(Software-Defined Perimeter)
软件定义边界(SDP)定义了在一个安全计算领域内由不同网络连接组成的逻辑集合。这些资源通常隐藏在公开的发现中,并且通过可信中间件对该区域的指定设备进行访问,进而将这些资产从公开可见性中移除以减少攻击面。
软件定义边界将吸引那些寻求创新和安全的方式来连接和协作他们的数字商业生态系统的组织。
11、云应用发现(Cloud Application Discovery)
云应用程序发现(CAD)涉及安全性、合规性,主要是为使用公共云的企业活动提供可见性。CAD提供有关应用程序名称和类型的信息,以及个人和部门的使用情况,理想情况下还可以包括SaaS供应商的风险评价功能。
CAD工具是一种越来越常见的机制,用于对安全性、合规性、SaaS许可管理和使用费用进行战术决策。对于企业高管来说,越来越多的高管需要获取CAD报告。在接下来的5年里,对云应用程序使用的可见性将被审计人员和监管者视为强制性的功能。大多数对CAD的需求是由云访问安全代理供应商提供的,或者作为一个固有的功能,或者一个附加功能。这个市场的典型模式是将应用程序发现集成到安全评级服务中,为IT安全、隐私和合规性专业人员提供近乎实时的状态更新。
12、云数据防护网关(Cloud Data Protection Gateways)
云数据保护网关(CDPGs)可以采用前向或反向的代理和API组合方式进行部署,将加密、屏蔽或标记等作用于结构化或非结构化数据,这些数据通过云数据防护网关后再传输到云SaaS提供商。CDPG功能也可以由多个云访问安全代理(CASB)产品提供,可以防止应用程序用户、云租户、SaaS管理员和不良参与者进入云服务,并在使用SaaS时帮助满足数据留存的需求。
CDPG可以确保存储在SaaS应用程序中的敏感数据不会被SaaS基础设施的其他租户的查看,也不会被SaaS提供商的管理员获得,同时其不需要云服务提供商改变其应用程序。此外,CPDG可以帮助企业在满足解密控制的条件下实现数据解密处理。
13、云服务经纪人(Cloud Service Brokerage)
云服务中间人(CSB)是一种IT角色或实体,其在云租户和云服务提供商之间实现云计算能力的聚合、集成和定制,并且负责整体的管理。CSB将云计算技术、人员和方法结合起来,帮助组织正确选择和使用云服务。(例如目前的袋鼠云等,帮助企业上云)。
随着云服务的使用不断增加,云用户将越来越多地寻求云服务中间人的帮助,以改善和调配跨多个云计算提供者和多种服务的工作负载。新的纯粹的中介服务提供商正在涌现,而大型传统的系统集成商正在将自己定位为中间人,而不是试图与快速增长的超大规模云服务提供商竞争。分销商、增值分销商、独立服务提供商和OEM厂商在新的云服务现实环境下重新定义了自己的业务模式,而通信服务提供商和新兴的新参与者(如银行和金融机构)正进入云服务代理市场,提供小型或中型业务的服务。
14、云工作负载防护(Cloud Workload Protection Platforms)
云工作负载保护平台(CWPPs)是由以主机为中心的安全保护解决方案的,它可以满足跨物理、虚拟和多个公有云环境的混合数据中心中工作负载保护的独特需求。CWPP通常提供网络可视性和隔离、应用程序控制、系统完整性监视、行为监视和可选的反恶意软件保护。
企业正在越来越多地实现混合数据中心架构,包括跨本地和公有云基础设施的工作负载。为此需要增加CWPP以便对此类工作负载进行防护。虽然本地安全代理具备部分CWPP功能,但它们并不能满足全部需求,并且可能与弹性云工作负载不兼容。
15、私有云计算(Private Cloud Computing)
私有云计算是由一个组织使用的云计算的一种形式,或者是确保组织与其他组织完全隔离的一种形式。作为云计算的一种形式,它有完全的自助服务,完全自动化的服务和使用计量。它不需要在企业内部,也不需要由企业拥有或管理。
由于利用真正的云计算架构需要应用程序和为云计算设计的操作模型,因此现有应用程序的转换成本并不总是能够证明投资的价值。当企业无法在监管需求、功能或知识产权保护方面找到满足其需求的云服务时,就会使用真正的私有云计算。真正的私有云计算几乎总是为特定的一组新应用而专门构建的,它们的成功可以通过收入或市场份额来衡量。当私有云的主要目标是IT效率时,通过利用云计算,企业可以降低成本并提高其现有应用程序组合的总体运营效率。
16、云安全访问代理(Cloud Access Security Brokers)
云访问安全代理(CASBs)是基于本地或基于云的安全策略实施点,在云服务用户和提供者之间部署,以便在访问云资源时将企业安全策略组合在一起。CASBs整合了多种类型的安全策略实施,全策略包括身份验证、单点登录、授权、凭证映射、设备概要分析、数据安全(内容检查、加密、标记化)、日志记录、警报和恶意软件检测/预防。
CASBs具有独特的定位,使组织能够在不同的云服务中实现一致的安全策略。与传统安全产品不同的是,CASBs旨在保护存储在别人系统中的数据。
17、云管理平台(Cloud Management Platforms)
云管理平台(CMP)工具使组织能够管理私有、公共和混合云的云服务和资源。它们的特定功能涉及三个关键层:访问管理、服务管理和服务优化。CMP根据定义的策略,可以优化支持云服务的编排和自动化,以及基础的基础设施资源。企业将部署CMPs可以提高敏捷性,降低提供服务的成本,并增加满足服务水平的可能性。CMP部署需要遵守安全标准,并加强治理和问责制。
18、微隔离(Microsegmentation)
微隔离使用策略驱动的防火墙(通常是基于软件的)或网络加密技术,将数据中心和公共云基础设施中的工作负载隔离为服务,并将其放入容器中,其中也包括混合云场景中的工作负载。
微隔离是一种降低企业数据中心中高级攻击横向扩展风险的方法,并使企业能够在基于本地和基于云的工作负载之间执行一致的隔离策略。此外,一些微隔离解决方案提供了大量的可观测流和异常检测的可视性。
19、身份认证和访问控制即服务(IDaaS)
身份和访问管理即服务(IDaaS)是一种基于云的服务,它使用多租户或单租户专用的托管交付模型。IDaaS代理可以实现核心身份认证和管理、访问控制和分析目标系统功能。
云组织可以使用IDaaS来实现企业IAM功能。IDaaS可以提供一种标准的、一致的IAM功能,以支持企业内不同的IAM基础设施。IDaaS提供的服务,特别是以web为中心的IDaaS,可能无法取代组织中的功能深度和广泛实现的IAM解决方案,但IDaaS可以被用来作为这些实现的补充。IDaaS的功能在不断发展和改进,一些提供功能齐全的IDaaS的供应商已经出现,他们可以从云服务中交付功能。
20、OAuth 2授权框架
OAuth 2授权框架协调和授权客户机用户或者应用程序之间的交互,从而使第三方应用程序能够代表终端用户对资源进行有限的访问。OAuth 2授权框架将访问请求从被请求的资源中分离出来,以便允许授权服务独立于客户端程序,进而实现移动或web应用程序的访问管理。
21、安全WEB网关(Secure Web Gateways)
安全的web网关(SWGs)具备URL过滤、高级威胁防御(ATD)和恶意软件检测等功能,采用应用程序控制技术来保护组织并满足合规性。SWGs可以采用本地设备(硬件和虚拟)、基于云的服务或混合解决方案进行部署交。
SWG保护终端用户不受网络恶意软件的攻击。高端的SWG产品套件可以帮助企业抵御有针对性的攻击。监控员工的上网习惯、执行互联网接入政策以及生成管理报告也是SWG的重要功能。
22、数据灾备即服务(Disaster Recovery as a Service (DRaaS))
数据灾难恢复即服务是一种基于云的恢复服务,服务提供者负责管理虚拟机(VM)复制、VM激活和恢复练习的编排。
DRaaS可带来的实际好处将会有所不同,这取决于需要恢复支持的计算平台的多样性。另一个需要考虑的问题是,客户可以在多大程度上透明、高效地使用相同的供应商云存储来进行数据备份、复制和归档。此外,考虑到包括付款人在内的任何服务都不受范围渐变的影响,服务用户必须确保DRaaS服务提供者始终如一地实现承诺的恢复。
23、虚拟机备份和恢复(Virtual Machine Backup and Recovery)
虚拟机(VM)备份和恢复关注于保护和恢复VM的数据,而不是它们所运行的物理服务器。为VM备份优化的方法支持块级增量式的永久备份,从而消除了对客户代理备份方法的一般需求。随着生产环境变得高度或完全虚拟化,在这些环境中保护数据的需求变得至关重要。VM备份和恢复解决方案有助于从破坏性事件的中恢复,包括用户或管理员错误、应用程序错误、外部或恶意攻击、设备故障以及灾难事件的后果。对于许多组织来说,以自动化、可重复和及时的方式保护和恢复VM的能力是非常重要的。
24、身份和访问控制管理服务(IAM Managed Services)
身份和访问管理服务(IAM)提供外包业务管理,支持和维护用户基于本地交付模型的IAM技术。身份和访问管理服务通常是由专业公司提供的扩展的系统集成服务。 身份和访问管理服务服务有能力为企业提供高效益:在正常工作时间之外扩展支持范围。专注于不太成熟和更复杂的IAM需求。帮助解决人员短缺或短缺的问题。获得能够优化IAM部署的专家的访问权限。
IAM管理服务的最终好处是更灵活地支持业务操作。对于需要高度定制IAM解决方案的组织,IAM管理服务可以提供一个短期解决方案来解决人员和管理问题,直到通过IDaaS交付模型提供更好的选项。
25、云测试工具和服务(Cloud-Testing Tools and Services)
云测试工具和服务包括基于云的实验室管理、服务虚拟化、按需交付的测试工具。这一术语还包括对大规模负载和性能测试的支持、强大的技术覆盖(中间件、消息格式、安全协议等等)以及使用混合技术跨应用程序工作的能力。
移动测试实验室在私有云和公共云上使用虚拟基础设施可以降低管理、硬件、软件和电力的成本。与此同时,它可能是实现连续交付目标所必需的关键因素。托管工具增加了更频繁地运行更多测试的能力,从而减少了生产错误和系统故障。基于云的软件提供了更灵活的计费和容量,这必须与使用配置文件相平衡。这种灵活性对于所有组织来说都是可行的,不管他们使用的是什么开发方法。
26、云安全评估(Cloud Security Assessments)
公共云服务的租户需要标准化的方式来评估供应商的安全性和连续性。正式评估由授权的独立评估人员执行,他们使用发布的控制标准和过程指南来评估服务提供者的安全态势,并公开他们的评估结果。
正式的云计算风险评估的使用,在降低市场对安全性的担忧和当前缺乏透明度的问题上越来越有好处,这也使得供应商打算继续投资于安全领域。正式的安全评估允许云计算客户集中精力于可用服务的功能方面,而不必在确定CSP是否“安全”中浪费时间。
27、数据丢失防护(Data Loss Prevention)
数据丢失预防(DLP)是在操作时基于内容和上下文的策略进行数据丢失防护的动态应用程序。DLP是为了降低意外数据丢失的风险,以及使用监视、过滤、阻塞和修复等方式减少敏感数据的暴露。
这种技术并非万无一失,对于一个有决心的内部人士或有动机的外部人士来说,破解DLP并不难,但它有效地解决了由于事故和无知造成的泄漏。DLP能够显著地减少了敏感数据的无意泄漏。DLP能够在数据使用时提醒用户使用安全策略,因此还可以作为一个数据安全意识和教育工具。
28、IaaS容器加密(IaaS Container Encryption)
IaaS容器中使用加密技术加密工作负载,这种技术可以保护IaaS工作负载中的数据,不受其他租户、管理员或IaaS提供商或者黑客的未经授权的访问。当密钥被销毁时,它还可以确保数据销毁。这是一种迫切实用的保护形式,它可以让许多人减少将敏感数据放入公共云中的担心;而且它很容易实现,不需要对应用程序进行任何更改。
29、应用程序安全即服务(Application Security as a Service)
应用程序安全即务(AppSecaaS)是一种交付模型,应用程序安全服务被委托给远程工作的第三方专业安全厂商,通常采用订阅的方式通过互联网访问进行。举例如下:静态应用程序安全性测试(SAST)、动态应用程序安全性测试(DAST)、交互式应用程序安全性测试(IAST)、移动应用程序安全性测试、应用程序安全性分析和web应用程序防火墙(WAFs)。
AppSecaaS产品吸引企业有多个原因:首先无需购买和/或维护自己的硬件和软件,企业将从服务供应商使用服务。组织刻意节省招聘、培训和管理自己的人力资源。其次订阅原则在AppSecaaS市场是另一个节约成本的特点,组织仅支付供他们消费的服务。
AppSecaaS可能提供更大的灵活性,使它更适合应用程序在云中托管。作为服务应用程序安全性测试,测试的准确性和速度预计将更好,因为测试是由专门从事应用程序安全性的厂商提供。
30、高可靠Hypervisor(High-Assurance Hypervisors)
高可靠的Hypervisor是为了建立了一个高度可信的、安全强化的,没有被篡改或被破坏的管理层。建立高度信任的Hypervisor可以从底层平台提升关键工作负载和敏感数据的安全信心。
31、身份验证服务(Identity-Proofing Services)
身份验证服务:向某人发布新帐户或凭证,允许个人进行潜在的高风险交易,或重新验证处理高风险和异常业务所需的身份。
身份验证服务是防止新账户欺诈的必要手段,例如防止有人使用被盗或虚构的身份来开立账户或申请服务。当客户尝试诸如更改联系信息或从新设备或新目的地进行交易等高风险活动时,身份验证服务还可以启用更强的用户身份验证。此外,当与不需要创建帐户的新用户进行交互时,身份验证服务也是很有用的。
32、令牌化(Tokenization)
“令牌化”指的是一个过程,在这个过程中,一个敏感数据(例如一个支付卡号)将被一个被称为“令牌”的代理值代替。除非使用“无跳”的标记化,敏感数据仍然需要安全地存储在一个集中的位置以供后续引用,并且需要对其进行严格的保护。标记化方法的安全性取决于敏感值的安全性,以及用于创建代理值的算法和过程。
企业可以在本地或外部部署令牌化,并且可以使用云访问安全代理(CASBs)的标记来保护SaaS应用程序中所持有的数据。使用标记化可以帮助企业加强敏感数据的安全性,集中存储敏感数据。
附2:云等保2.0云服务方与云租户的责任划分
不同服务模式下云服务方和云租户的安全管理责任主体有所不同,具体如表C.1、C.2和C.3所示:
表A.1 IaaS模式下云服务方与云租户的责任划分
层面 | 安全要求 | 安全组件 | 责任主体 |
物理和环境安全 | 物理位置选择 | 数据中心及物理设施 | 云服务方 |
网络和通信安全 | 网络结构、访问控制、入侵防范、安全审计 | 物理网络及附属设备、虚拟网络管理平台 | 云服务方 |
云租户虚拟网络安全域 | 云租户 | ||
设备和计算安全 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 | 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等 | 云服务方 |
云租户虚拟网络设备、虚拟安全设备、虚拟机等 | 云租户 | ||
应用和数据安全 | 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 | 云管理平台(含运维和运营)、镜像、快照等 | 云服务方 |
云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等 | 云租户 |
表A.2 PaaS模式下云服务方与租户的责任划分
层面 | 安全要求 | 安全组件 | 责任主体 |
物理和环境安全 | 物理位置选择 | 数据中心及物理设施 | 云服务方 |
网络和通信安全 | 网络结构、访问控制、远程访问、入侵防范、安全审计 | 物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域 | 云服务方 |
设备和计算安全 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 | 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等 | 云服务方 |
应用和数据安全 | 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 | 云管理平台(含运维和运营)、 镜像、快照等 | 云服务方 |
云租户应用系统及相关软件组件、云租户应用系统配置、云租户业务相关数据等 | 云租户 |
表A.3 SaaS模式下云服务方与租户的责任划分
层面 | 安全要求 | 安全组件 | 责任主体 |
物理和环境安全 | 物理位置选择 | 数据中心及物理设施 | 云服务方 |
网络和通信安全 | 网络结构、访问控制、远程访问、入侵防范、安全审计 | 物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域 | 云服务方 |
设备和计算安全 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 | 物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等 | 云服务方 |
应用和数据安全 | 安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复 | 云管理平台(含运维和运营)、镜像、快照等、应用系统及相关软件组件 | 云服务方 |
云租户应用系统配置、云租户业务相关数据等 | 云租户 |
附3:CSA云安全指南4.0关键要点笔记
1.云计算特性描述
2.云计算的两个模糊区
3.治理域及运行域描述