这些知识点你都了解了吗?#云安全CCSK-M3:管理云计算的安全性和风险-阿里云开发者社区

开发者社区> tangjf10> 正文

这些知识点你都了解了吗?#云安全CCSK-M3:管理云计算的安全性和风险

简介: 内容概述:管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重要的CSA风险工具,包括CAIQ,CCM和STAR注册表。
+关注继续查看

内容概述:

管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重要的CSA风险工具,包括CAIQ,CCM和STAR注册表。

知识架构图:

image.png

管理云计算的安全性和风险域包括(源自于:CSA云安全指南-M3):

一、云计算安全治理与风险管理

信息安全是信息风险管理的工具,信息风险管理进而是企业风险管理的工具,企业风险管理又是企业治理的工具。

云计算影响治理关系,因为它要么引入对第三方过程管理(在公共云或托管私有云的情况下),或在私有云的情况下可能改变内部的治理结构。

管理云计算时要记住的首要问题是,一个组织永远不能外包治理的责任,即使是使用外部供应商的情况下。

云治理的工具通常包括:合同、供应商(云提供商)评估、合规报告。“云安全联盟STAR注册”可以用来看做是一种保证程序,它提供了一系列文件注册表信息,供云提供商基于CSA的云控制矩阵(CCM)和(CAIQ)开展通用评估的报告。一些云服务提供商还披露额外的认证信息和评估文件(包括自我评估)。

在云环境下,风险管理是基于责任共享模型的(这是我们最经常讨论的参考安全模型)。对某些风险来说,云提供商承担一定的责任,而云客户要承担比这个范围更大的风险责任。在SaaS情况下,云服务提供商承担更多的风险,而在IaaS 情况下,云客户承担更多的风险。

ERM依赖于良好的合同和文件、明确的责任划分以及应对潜在的、未经处理的风险的方式。迁移到云端不会改变你的风险承受能力,它只是改变了管理风险的方式。

不仅需要考虑选择不同的云服务提供商,而且在云服务的交付模式上,也必须注意不同的服务模式和部署模式是如何影响风险的管理、治理和能力的。

云计算在企业风险管理方面有利有弊。在云计算部署中,风险管理的核心方法依然是管理、转移、接受或规避风险。

二、法律问题、合同和电子举证

在许多情况下,根据以下规定,不同国家的法律可能同时适用:云提供商所在的区域;云用户所在的区域;数据主体所在的区域;合同适用的法律管辖区域,可能与某些股东不同;这些不同区域之间的互认条约或其他的法律文书。

当数据被传输到云中后,保护数据以及确保其安全通常是数据收集人或保管人的职责,即使在某些情况下这个责任可能与他人共享。

除了法律、法规、标准以及相关的最佳实践,也要求对数据保管人进行尽职调查(在执行合同前)或安全审计(在合同履行期间),以确保这些责任得到履行。

由于云计算将成为诉讼或调查中所需要的电子化存储信息的仓库,云服务提供商和他们的客户必须仔细规划如何识别案件涉及的所有文档,为了能够满足联邦民事诉讼规则中电子证据发现条款的严格要求,各州也要与这些法律条款相吻合。

三、合规和审计

当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。

与安全性一样,合规性在云服务中是一个共享责任模式。这些责任是通过合同、审核/评估和具体的合规性要求的细节来确定的。

云供应商在同时给多个租户提供服务的时候,会(并且通常应该)将部署地点现场审计视为一种安全风险。因此客户与这些供应商的工作将会不得不依赖第三方认证而不是他们自己执行的审计。

四、CSA工具:CCM、CAIQ简介

云安全联盟 (CSA) 维护安全、信任及保证注册项目 (STAR),这是一个可公开访问的免费注册项目,云服务提供商 (CSP) 可在其中发布他们与 CSA 相关的评估。STAR包括三个级别的保证,分别与 CSA云控制矩阵 (CCM)中的控制目标对应。

CMM(云安全控制列表)分为16个域,133个控制项。CCM将云安全控制映射到通用的合规框架、法规和标准,为这些控制构建通用语言。CAIQ(共识评估问卷),云提供者的标准问卷,直接与CCM保持一致。许多提供者在CSA STAR注册表中预先填写并公开。

测一测,看看您掌握了多少?
M3:管理云计算的安全性和风险域的相关测试:https://jinshuju.net/f/rr3m9I

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux内存管理-高端内存(二)
在支持MMU的32位处理器平台上,Linux系统中的物理存储空间和虚拟存储空间的地址范围分别都是从0x00000000到0xFFFFFFFF,共4GB,但物理存储空间与虚拟存储空间布局完全不同。Linux运行在虚拟存储空间,并负责把系统中实际存在的远小于4GB的物理内存根据不同需求映射到整个4GB的虚拟存储空间中。
1051 0
这些知识点你都了解了吗?#CISSP-D2:资产安全
资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。
267 0
云安全是不是云计算的护身符
本文讲的是云安全是不是云计算的护身符,今年以来,在云计算和虚拟化持续升温的同时,业内的一些高人开始质疑云安全,认为云安全不是什么新技术,只是一种炒作而已。
934 0
能在电脑桌面提醒待办事项的日程安排管理软件
很多上班族越来越习惯找寻一款桌面日程安排软件来管理待办日程、提醒任务事项,常见的比如win7系统的便笺、win10系统的便利贴等。
3334 0
Linux内存管理-高端内存(一)
高端内存是指物理地址大于 896M 的内存。对于这样的内存,无法在“内核直接映射空间”进行映射。 为什么?   因为“内核直接映射空间”最多只能从 3G 到 4G,只能直接映射 1G 物理内存,对于大于 1G 的物理内存,无能为力。
773 0
+关注
tangjf10
15年网络和信息安全领域从业经验,具有较强的网络安全管理、建设和维护、管理咨询和技术评估实战项目经验,曾就职于联通、绿盟,以及自主创业。现主要担任CISSP(国际注册信息系统安全专家认证)、CISP(国家注册信息安全人员认证)、信息安全管理、渗透测试、等级保护、网络安全防护体系等
20
文章
0
问答
来源圈子
更多
阿里云最有价值专家,简称 MVP(Most Valuable Professional),是专注于帮助他人充分了解和使用阿里云技术的意见领袖阿里云 MVP 奖项为我们提供了这样一个机会,向杰出的意见领袖表示感谢,更希望通过 MVP 将开发者的声音反映到我们的技术路线图上。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载