CSA云计算关键领域云安全指南V4.0中文版.pdf-资料库

u014315131-11824396-16359647480153059538.pdf-第1页.png

第1页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第2页.png

第2页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第3页.png

第3页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第4页.png

第4页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第5页.png

第5页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第6页.png

第6页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第7页.png

第7页 / 共161页

u014315131-11824396-16359647480153059538.pdf-第8页.png

第8页 / 共161页

CSA 云计算关键领域安全指南 v4.0 云计算关键领域安全指南 v4.0 的官方网址是：英文版： https://cloudsecurityalliance.org/document/security-guidance-for-critical-areas-of-focus-in-cloud-computi ng-v4-0/ 中文版： https://www.c-csa.org 官方学习指南：英文版中文版 ? 2017 Cloud Security Alliance – All Rights Reserved All rights reserved. 你可以下载、存储、显示在你的电脑上 ,查看 ,打印，以及链接到云计算关键领域安全指南 v4.0 https://cloudsecurityalliance.org/document/V4.0security-guidance-for-critical-areas-of-focus-in-cloud-co mputing-v4-0 / , 以下主题 :(a)报告可用于个人，信息 ,非商业用途 ;(b)报告不得修改或以任何方式改变 ;(c)报告不得重新分布 ;(d) 商标 ,版权或其他条款不可被删除。根据美国版权法的合理使用条款，如果你将引用部分归为云计算关键领域安全指南 v4.0，那么你可以引用报告的部分内容。 Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 2

CSA 云计算关键领域安全指南 v4.0 中文版翻译说明 CSA云计算关键领域安全指南 v4.0 由 CSA大中华区研究院组织志愿者进行翻译。参与翻译工作专家名单： D1 及前面部分由高轶峰、张全伟、洪毅翻译， D2 由王永霞翻译， D3 由刘剑、白阳翻译， D4 由陈皓翻译， D5 由牛志军翻译， D6 由李建民翻译， D7 由孙军、刘永钢、陈光杰翻译， D8 由王红波翻译， D9 由黄远辉翻译， D10 由耿万德翻译， D11 由任兰芳翻译， D12 由姚伟翻译， D13 由黄远辉、马超翻译， D14 由邹荣新翻译。参与审校工作工作专家名单： D1 及前面部分由顾伟、王朝辉审校， D2 由李建民审校， D3 由刘剑、白阳审校， D4 由耿万德审校， D5 由陈皓审校， D6 由王永霞审校， D7 由孙军、刘永钢审校， D8 由姚伟审校， D9 由王红波审校， D10 由牛志军审校， D11 由张全伟审校， D12 由任兰芳审校， D13 由黄远辉审校， D14 由高轶峰审校。合稿审核：郭剑锋、叶思海、刘文宇、李雨航、杨炳年。全文由郭剑锋、叶思海负责组织和统稿。在此感谢参与翻译工作的志愿者。由于翻译时间仓促，存在很多不足的地方，请大家批评指正。欢迎大家提供修改意见，可发送邮件到下面邮箱： jguo@china-csa.org。 Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 3

CSA 云计算关键领域安全指南 v4.0 前言欢迎来到云安全联盟关于云计算关键领域安全指南的第四个版本。云计算的兴起是一项不断发展的技术，它带来了许多机遇和挑战。通过这个文档，我们的目标是提供指导和灵感来支持业务目标，同时管理和减轻采用云计算技术相关的风险。云安全联盟促进了在云计算领域内提供安全保证的最佳实践，并为寻求采用云计算模式的组织提供了一个实用的、可执行的路线图。云计算关键领域安全指南的第四个版本是建立在之前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之上的。该版本集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。安全云计算的发展需要来自广泛的全球分布式利益相关方的积极参与。 CSA 汇集了不同的行业合作伙伴、国际机构组织、工作组和个人。我们非常感谢所有为这次发布做出贡献的人。请访问 cloudsecurityalliance.com ，了解您如何与我们合作，确定并促进最佳实践，以确保有一个安全的云计算环境。 Best Regards, Luciano (J.R.) Santos Executive Vice President of Research Cloud Security Alliance Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 4

CSA 致谢云计算关键领域安全指南 v4.0 Lead Authors Rich Mogull James Arlen Adrian Lane Gunnar Peterson Mike Rothman David Mortman Editors Dan Moren John Moltz CSA Staff Jim Reavis Luciano (J.R.) Santos Daniele Catteddu Frank Guanco Hillary Baron Victor Chin Ryan Bergsma Stephen Lumpe (Design) 编著者我们谨代表 CSA董事会和 CSA执行团队，感谢所有为 CSA云计算关键领域安全指南提供时间和反馈的个人。我们珍视您的志愿者贡献，相信像您这样的志愿者将继续引领云安全联盟走向未来。 Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 5

CSA 云计算关键领域安全指南 v4.0 CEO 的来信我对这个社区的云安全最佳实践的最新贡献感到非常激动，这一实践始于 2009 年 4 月发布的云安全联盟最初的指导文件。我们希望您能仔细研究这里列出的问题和建议，与您自己的经验相比较，并向我们提供您的反馈。非常感谢所有参与这项研究的人。最近，我有机会与帮助建立云安全联盟的一位行业专家共度一天。他表示， CSA 已经完成了最初的任务，即为了证明云计算可以安全，并提供必要的工具来实现这一目标。 CSA 不仅帮助云计算成为信息技术的可靠安全选择，而且今天的云计算已经成为 IT 的默认选择，并且正在以非常深远的方式重塑现代商业世界。云计算的巨大成功和 CSA在引领受信任的云生态系统方面的作用，给我们的新使命带来了更大的挑战和紧迫感。云现在已经成为各种计算形式的后端，包括无处不在的物联网。云计算是信息安全行业的基础。集装箱 (容器 )化和 DevOps 等等在组织内的 IT 新常态，已经与云计算密不可分，加速了我们的变革。在云安全联盟中，我们致力于为您提供在高速发展的 IT 环境中您所需的必要的安全知识，让您保持在新时代质量保证和信任趋势的前沿。总之，我们欢迎你们加入我们的社区。 Best Regards, Jim Reavis Co-Founder & CEO Cloud Security Alliance Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 6

CSA 目录云计算关键领域安全指南 v4.0 D1: 云计算概念和体系架构 ................................................................. 8 D2: 治理与企业风险管理 .................................................................... 30 D3: 法律问题，合同和电子举证 ..................................................... 40 D4: 合规和审计管理 .............................................................................. 55 D5: 信息治理 ............................................................................................ 62 D6: 管理平面和业务连续性 ......................................................................... 69 D7: 基础设施安全 ......................................................................................... 80 D8: 虚拟化和容器 ......................................................................................... 96 D9: 事件响应 ............................................................................................... 107 D10: 应用安全 ............................................................................................ 114 D11: 数据安全和加密 ................................................................................. 125 D12: 身份、授权和访问管理 ..................................................................... 137 D13: 安全即服务 ........................................................................................ 148 D14: 相关技术 ............................................................................................ 154 Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 7

CSA 云计算关键领域安全指南 v4.0 D1: 云计算概念和体系架构 1.1 简介本域为云计算安全指南的其它所有部分介绍一个概念性的框架。它描述和定义了云计算，设置了我们的基本术语，并详细描述了文档其余部分中使用的总体逻辑和架构框架。看待云计算有很多不同的方式 : 它可以是一项技术、一系列的技术、一种运作模式、一种商业模式，这儿仅仅举了几个例子。从本质上来说，这是一场颠覆性的变革。它发展地非常非常快，而且没有放缓的迹象。虽然我们在本指南的第一个版本中包含的参考模型依旧比较准确，但是它们显然已经不再那么完整了。即使这样更新后也不可能解释未来几年的每一个可能的变化。云计算为敏捷、弹性和经济带来了巨大的潜在收益。组织可以运转地更快 ( 因为他们不需要购买和拨备硬件，所有的都是软件定义的 ) ，减少停机时间 ( 由于固有的弹性和其他云特性 ) ，并且节省资金 ( 由于资本支出减少，需求和能力匹配 ) 。自云服务提供商有重大的经济激励措施来保护消费者以来，我们也看到了安全收益。然而，这些收益是在您理解并采用原生云模型，并调整您的架构和控制，以适应云平台的特性和功能的基础上才会出现。其实，使用现有的应用或资产，并在不进行任何更改的情况下将其移动到云服务提供商，往往会降低敏捷性、弹性，甚至是安全性，同时还增加了成本。该领域的目的是建立基础，以使文档的其余部分及其建议都基于此。其意图是为信息安全专家提供一种通用语言和对云计算的理解，并开始强调云计算和传统计算之间的区别，以及帮助引导信息安全专家采用原生云方法，从而带来更好的安全性 ( 以及其他收益 ) ，而不是产生更多的风险。 Security Guidance v.4 ? Copyright 2017, Cloud Security Alliance. All rights reserved 8

资料库

CSA云计算关键领域云安全指南V4.0中文版.pdf

相关推荐

安全技术

热门标签

最新资料