内容概述:
管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重要的CSA风险工具,包括CAIQ,CCM和STAR注册表。
知识架构图:
管理云计算的安全性和风险域包括(源自于:CSA云安全指南-M3):
一、云计算安全治理与风险管理
信息安全是信息风险管理的工具,信息风险管理进而是企业风险管理的工具,企业风险管理又是企业治理的工具。
云计算影响治理关系,因为它要么引入对第三方过程管理(在公共云或托管私有云的情况下),或在私有云的情况下可能改变内部的治理结构。
管理云计算时要记住的首要问题是,一个组织永远不能外包治理的责任,即使是使用外部供应商的情况下。
云治理的工具通常包括:合同、供应商(云提供商)评估、合规报告。“云安全联盟STAR注册”可以用来看做是一种保证程序,它提供了一系列文件注册表信息,供云提供商基于CSA的云控制矩阵(CCM)和(CAIQ)开展通用评估的报告。一些云服务提供商还披露额外的认证信息和评估文件(包括自我评估)。
在云环境下,风险管理是基于责任共享模型的(这是我们最经常讨论的参考安全模型)。对某些风险来说,云提供商承担一定的责任,而云客户要承担比这个范围更大的风险责任。在SaaS情况下,云服务提供商承担更多的风险,而在IaaS 情况下,云客户承担更多的风险。
ERM依赖于良好的合同和文件、明确的责任划分以及应对潜在的、未经处理的风险的方式。迁移到云端不会改变你的风险承受能力,它只是改变了管理风险的方式。
不仅需要考虑选择不同的云服务提供商,而且在云服务的交付模式上,也必须注意不同的服务模式和部署模式是如何影响风险的管理、治理和能力的。
云计算在企业风险管理方面有利有弊。在云计算部署中,风险管理的核心方法依然是管理、转移、接受或规避风险。
二、法律问题、合同和电子举证
在许多情况下,根据以下规定,不同国家的法律可能同时适用:云提供商所在的区域;云用户所在的区域;数据主体所在的区域;合同适用的法律管辖区域,可能与某些股东不同;这些不同区域之间的互认条约或其他的法律文书。
当数据被传输到云中后,保护数据以及确保其安全通常是数据收集人或保管人的职责,即使在某些情况下这个责任可能与他人共享。
除了法律、法规、标准以及相关的最佳实践,也要求对数据保管人进行尽职调查(在执行合同前)或安全审计(在合同履行期间),以确保这些责任得到履行。
由于云计算将成为诉讼或调查中所需要的电子化存储信息的仓库,云服务提供商和他们的客户必须仔细规划如何识别案件涉及的所有文档,为了能够满足联邦民事诉讼规则中电子证据发现条款的严格要求,各州也要与这些法律条款相吻合。
三、合规和审计
当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。
与安全性一样,合规性在云服务中是一个共享责任模式。这些责任是通过合同、审核/评估和具体的合规性要求的细节来确定的。
云供应商在同时给多个租户提供服务的时候,会(并且通常应该)将部署地点现场审计视为一种安全风险。因此客户与这些供应商的工作将会不得不依赖第三方认证而不是他们自己执行的审计。
四、CSA工具:CCM、CAIQ简介
云安全联盟 (CSA) 维护安全、信任及保证注册项目 (STAR),这是一个可公开访问的免费注册项目,云服务提供商 (CSP) 可在其中发布他们与 CSA 相关的评估。STAR包括三个级别的保证,分别与 CSA云控制矩阵 (CCM)中的控制目标对应。
CMM(云安全控制列表)分为16个域,133个控制项。CCM将云安全控制映射到通用的合规框架、法规和标准,为这些控制构建通用语言。CAIQ(共识评估问卷),云提供者的标准问卷,直接与CCM保持一致。许多提供者在CSA STAR注册表中预先填写并公开。
测一测,看看您掌握了多少?
M3:管理云计算的安全性和风险域的相关测试:https://jinshuju.net/f/rr3m9I
