由于有如此多的應(yīng)用程序和數(shù)據(jù)駐留在云中，因此使用安全框架來(lái)幫助保護(hù)云基礎(chǔ)設(shè)施是組織的必要舉措。

云安全框架是一組指導(dǎo)方針和控制，用于幫助保護(hù)組織的云基礎(chǔ)設(shè)施。它為云計(jì)算服務(wù)提供商及其客戶(hù)提供安全基準(zhǔn)、驗(yàn)證和認(rèn)證。

云計(jì)算已經(jīng)不再是一種積極的架構(gòu)選擇，而更多地成為新應(yīng)用程序的實(shí)際采用策略。越來(lái)越少的組織有目的地為新部署選擇內(nèi)部部署或托管部署;相反，大多數(shù)企業(yè)選擇云部署。

無(wú)論采用何種部署模型，確保組織的技術(shù)環(huán)境都是必不可少的。但是，保護(hù)云環(huán)境不同于其他環(huán)境，因此業(yè)界需要有關(guān)保護(hù)云平臺(tái)的目標(biāo)資源。關(guān)于如何最好地保護(hù)云的使用并長(zhǎng)期保持其安全，已經(jīng)發(fā)布了相當(dāng)多有價(jià)值的指導(dǎo)。

在保護(hù)云計(jì)算使用方面，從業(yè)者可以選擇一系列可用的指導(dǎo)。一方面，有詳細(xì)的技術(shù)指導(dǎo)，通常來(lái)自云提供商自己。這在尋求回答一個(gè)特定的、通常是技術(shù)性的問(wèn)題時(shí)很有用，例如，如何在XYZ環(huán)境中設(shè)置blob存儲(chǔ)的加密?在研究如何從整體和體系結(jié)構(gòu)上保護(hù)云環(huán)境時(shí)，這種類(lèi)型的指導(dǎo)不太有用。相比之下，更高級(jí)別的指導(dǎo)往往與供應(yīng)商無(wú)關(guān)——也就是說(shuō)，適用于不同的云環(huán)境——但與具體的、詳細(xì)的問(wèn)題關(guān)系不大。

一種指導(dǎo)是云安全框架。這些框架可以為從業(yè)者提供重要的實(shí)用程序。首先，就像通用安全框架一般可以幫助您定義整個(gè)技術(shù)領(lǐng)域的整體安全狀態(tài)一樣，云安全框架專(zhuān)門(mén)為云部署做這方面的工作。它們也有附加價(jià)值。例如，云安全框架可以幫助驗(yàn)證現(xiàn)有的安全措施，并進(jìn)行參與前審查。

什么是云安全框架?

通過(guò)更普遍的安全框架來(lái)理解云框架可能是最容易的——也就是說(shuō)，不是特定于云的指導(dǎo)。有許多廣泛的安全框架，包括治理框架(例如COBIT和ITIL)，架構(gòu)框架(例如，SABSA,TOGAF)，管理標(biāo)準(zhǔn)(例如，ISO/IEC27001)和NIST的網(wǎng)絡(luò)安全框架。正如這些框架可以廣泛應(yīng)用于任何技術(shù)領(lǐng)域或安全程序一樣，它們也適用于云。

存在各種通用的網(wǎng)絡(luò)安全框架。

除了這些通用框架之外，還存在多個(gè)可能與用例和場(chǎng)景相關(guān)的專(zhuān)用框架;這方面的一個(gè)例子是醫(yī)療保健場(chǎng)景中的HITRUST通用安全框架或支付場(chǎng)景中的PCIDSS。

這些框架對(duì)從業(yè)者很有用，但并不專(zhuān)門(mén)針對(duì)云計(jì)算。當(dāng)然，它們可以用來(lái)幫助告知組織的云態(tài)勢(shì)，但是特定于云的框架可能更有用。有一些重要的需要了解，包括云安全聯(lián)盟(CSA)、云控制矩陣(CCM)、云安全聯(lián)盟的安全、信任、保證和風(fēng)險(xiǎn)(STAR)注冊(cè)表、聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)和ISO/IEC27017。同樣重要的是互聯(lián)網(wǎng)安全中心(CIS)關(guān)鍵安全控制，特別是與云伴侶指南一起使用時(shí)。還有許多其他的，具有廣泛的云適用性，但這里提到的那些是經(jīng)常使用的，在整個(gè)行業(yè)中備受尊重，特定于云計(jì)算，對(duì)csp及其客戶(hù)同樣有用。

云安全框架向更廣泛的行業(yè)提供有關(guān)適用于云環(huán)境的安全措施的信息。與任何安全框架一樣，這些框架包括一組帶有關(guān)于控制(包括意圖和嚴(yán)格性)、控制管理、驗(yàn)證和其他與保護(hù)云用例相關(guān)的信息的特定指導(dǎo)的控制。

云安全框架的類(lèi)型

每個(gè)框架都有自己的重點(diǎn)和目標(biāo);它們都是獨(dú)一無(wú)二的。但是，從分類(lèi)學(xué)的角度來(lái)考慮它們是有用的。這樣做可以幫助明確哪些可能對(duì)什么目的最有用。在高層次上，各種框架可以分為以下幾類(lèi):

?通用框架。這些框架是通用的，試圖為云環(huán)境提供關(guān)于控制選擇、范圍、狀態(tài)等方面的廣泛指導(dǎo)。

?綁定到現(xiàn)有的更廣泛的框架。其中包括特定于云的指導(dǎo)，這些指導(dǎo)作為更廣泛的生態(tài)系統(tǒng)的一部分而存在，而不是以云為中心。CISCloudCompanionGuide就是一個(gè)例子，它將特定的云控制與非特定于云的CIS關(guān)鍵控制聯(lián)系在一起。

?控制特定的指導(dǎo)。還有比一般框架更具體的指導(dǎo)，包括一些針對(duì)特定控件或控件家族的指導(dǎo)。一個(gè)例子是NIST特別出版物(SP)800-210“云系統(tǒng)的通用訪(fǎng)問(wèn)控制指南”，它特定于云，但也專(zhuān)注于一個(gè)控制族和主題——在這種情況下，訪(fǎng)問(wèn)控制而不是更通用的云。

?認(rèn)證框架。一些可用的指導(dǎo)直接或間接地支持認(rèn)證工作。例如，CSA的CCM對(duì)其STAR計(jì)劃注冊(cè)是有用的。同樣，F(xiàn)edRAMP是一個(gè)認(rèn)證工具，允許美國(guó)聯(lián)邦機(jī)構(gòu)使用云服務(wù)。

這些類(lèi)別之間有一些重疊。例如，ISO/IEC27017:2015(信息技術(shù)——安全技術(shù)——基于ISO/IEC27002的云服務(wù)信息安全控制實(shí)踐規(guī)范)檢查了與上述類(lèi)別相關(guān)的幾個(gè)方框。一方面，它是適用于大多數(shù)云部署的通用框架。它也存在于更廣泛的生態(tài)系統(tǒng)中(ISO/IEC27001和27002)。此外，它也是認(rèn)證的潛在目標(biāo)。

云安全框架如何有用?

由于以下幾個(gè)原因，使用框架作為一組控制和實(shí)踐對(duì)云計(jì)算服務(wù)提供商和云計(jì)算客戶(hù)都是有益的。首先，控制和對(duì)策的規(guī)范列表有助于指導(dǎo)從業(yè)者找到他們可以在自己的環(huán)境中評(píng)估和使用的具體措施。其次，清單提供了一個(gè)參考框架，在其中討論安全實(shí)踐和具體的安全對(duì)策;這為與安全相關(guān)的協(xié)商提供了基礎(chǔ)，例如云消費(fèi)者和提供商之間就共享責(zé)任模型中各自的責(zé)任等問(wèn)題進(jìn)行的協(xié)商。

此外，組織可以采用幾乎無(wú)限種可能的對(duì)策來(lái)保護(hù)其環(huán)境。擁有一個(gè)普遍接受的控制列表可以幫助云計(jì)算服務(wù)商決定如何投入時(shí)間和預(yù)算，并為客戶(hù)提供在評(píng)估云計(jì)算服務(wù)商時(shí)應(yīng)該尋找哪些標(biāo)準(zhǔn)安全機(jī)制的指導(dǎo)。

具體來(lái)說(shuō)，框架可以作為評(píng)估的基線(xiàn):它們?yōu)樵瓶蛻?hù)提供了一個(gè)結(jié)構(gòu)，以評(píng)估提供商或比較提供商之間的安全實(shí)踐。他們還可以幫助服務(wù)提供商展示他們的安全實(shí)踐，要么幫助他們的客戶(hù)進(jìn)行合同前審查，要么作為他們銷(xiāo)售敘述的一部分?？蚣苤幸?guī)定的控制措施越具體、越規(guī)范，就越有利于發(fā)揮這種評(píng)價(jià)能力。

如果有策略地使用，框架可以減少工作量并為客戶(hù)和云計(jì)算服務(wù)商提供價(jià)值。作為評(píng)估清單的基礎(chǔ)，它們減少了潛在客戶(hù)的工作?？蚣苓€通過(guò)減少客戶(hù)可能提交給提供商的不同的、一次性的評(píng)估問(wèn)卷的數(shù)量，減少了云計(jì)算服務(wù)商的工作。即使客戶(hù)堅(jiān)持使用他們自己的調(diào)查問(wèn)卷，框架仍然可以簡(jiǎn)化客戶(hù)審查所涉及的工作，使供應(yīng)商能夠根據(jù)一組已知的標(biāo)準(zhǔn)組織響應(yīng)、準(zhǔn)備敘述和收集證據(jù)，而不是單獨(dú)針對(duì)他們可能遇到的每個(gè)客戶(hù)。

如何選擇云安全框架

采用云安全框架是一個(gè)相對(duì)簡(jiǎn)單的過(guò)程，但根據(jù)是客戶(hù)還是云服務(wù)提供商，它確實(shí)會(huì)有所不同。對(duì)于客戶(hù)來(lái)說(shuō)，選擇哪家公司在很大程度上取決于公司更廣泛的項(xiàng)目和業(yè)務(wù)背景。例如，美國(guó)聯(lián)邦政府機(jī)構(gòu)或承包商幾乎肯定會(huì)首先調(diào)查FedRAMP。FedRAMP提供了一套基于標(biāo)準(zhǔn)安全措施的驗(yàn)證標(biāo)準(zhǔn)，并簡(jiǎn)化了政府使用的csp的注冊(cè)。一個(gè)大型跨國(guó)組織，其安全程序已經(jīng)建立在ISO/IEC27001之上，并結(jié)合了ISO/IEC27002的控制，可能會(huì)發(fā)現(xiàn)ISO/IEC27017更適合，因?yàn)榭刂茖⑹鞘煜さ模鼘⒅苯优c現(xiàn)有的安全程序保持一致。

云計(jì)算服務(wù)提供商(csp)應(yīng)該采用一組框架，包括云和安全框架，這些框架在他們所服務(wù)的市場(chǎng)中是已知和接受的。如上所述，考慮這些特定框架的原因之一是它們支持的保證程序。對(duì)于FedRAMP,云計(jì)算服務(wù)商可以成為FedRAMP授權(quán)的服務(wù)提供商。云計(jì)算服務(wù)商可以通過(guò)ISO/IEC標(biāo)準(zhǔn)或任何ISO管理體系標(biāo)準(zhǔn)的認(rèn)證。CSA有它的共識(shí)評(píng)估倡議問(wèn)卷，建立在CCM和它的STAR注冊(cè)表上，它證明了遵守的有效性。云計(jì)算服務(wù)商應(yīng)該支持的框架是可能在其客戶(hù)中得到最多認(rèn)可的框架。

無(wú)論選擇哪一種，云安全框架都可以幫助云安全工作?？蚣芴峁┝擞懻摼唧w控制的通用語(yǔ)言，以及評(píng)估和認(rèn)證的基準(zhǔn);他們?yōu)榻M織內(nèi)部安全工作創(chuàng)造了一個(gè)支柱。學(xué)習(xí)可用的框架選項(xiàng)是值得花時(shí)間的。

最佳實(shí)踐

當(dāng)評(píng)估和決定哪個(gè)框架(或框架組合)適合您時(shí)，記住以下最佳實(shí)踐:

1.根據(jù)業(yè)務(wù)定制框架。要特別注意與更廣泛的業(yè)務(wù)場(chǎng)景聯(lián)系在一起的框架。如上所述，如果您是美國(guó)聯(lián)邦機(jī)構(gòu)，那么像FedRAMP這樣的結(jié)構(gòu)可能更可取。

2.根據(jù)安全程序定制框架。另外，在評(píng)估框架時(shí)要考慮更廣泛的安全程序。如果您的安全程序是圍繞ISO/IEC27001/27002構(gòu)建的，那么ISO/IEC27017可能比CIS控制等更適合您。

3.但要始終如一。記住這是一場(chǎng)馬拉松，不是短跑;保持可控的速度。根據(jù)場(chǎng)景和您的組織，使用框架可能會(huì)涉及大量工作，特別是如果您是云計(jì)算新手或安全程序日趨成熟。不要試圖一次做完所有的事情。就像鍛煉養(yǎng)生法一樣，如果你慢慢開(kāi)始并建立一個(gè)框架，那么使用框架會(huì)更容易。不要做那種第一天去健身房練了三個(gè)小時(shí)，第二天就酸痛得再也回不來(lái)的人。相反，隨著時(shí)間的推移，尋求持續(xù)的進(jìn)步。

云安全框架的未來(lái)

考慮框架可能如何變化是很有用的。雖然沒(méi)有人確切知道它們將如何或何時(shí)出現(xiàn)，但它們可能會(huì)以一些方式進(jìn)化。

隨著時(shí)間的推移，可能期望看到正規(guī)化和成熟。在云的早期，像這些框架這樣的指導(dǎo)存在著巨大的壓力，因?yàn)樵颇Ｐ褪切碌?，從業(yè)者很難保證它們的安全。隨著云變得越來(lái)越普遍——現(xiàn)在是規(guī)范的部署模型——有機(jī)會(huì)指導(dǎo)在覆蓋深度上成熟，并更全面地處理邊緣情況。

我們可能會(huì)看到的另一件事是，在這些框架最初構(gòu)想時(shí)，包含了積極和頻繁使用的新技術(shù)，但這些技術(shù)不太規(guī)范。例如，將服務(wù)網(wǎng)格和基礎(chǔ)設(shè)施等技術(shù)視為代碼。兩者幾乎都可以與云環(huán)境無(wú)縫配合，但現(xiàn)有指南可能無(wú)法直接解決這一問(wèn)題。期望指南的新迭代和更新來(lái)處理這些技術(shù)。這可以通過(guò)印發(fā)補(bǔ)充材料(例如，特定技術(shù)的增編)或?qū)?lái)對(duì)框架本身進(jìn)行改進(jìn)來(lái)實(shí)現(xiàn)。

最后，也許對(duì)從業(yè)者最直接有用的是，期望看到專(zhuān)業(yè)的社區(qū)建設(shè)專(zhuān)業(yè)知識(shí)和對(duì)現(xiàn)有指南的熟悉程度，可能以二級(jí)來(lái)源指南的方式-例如，專(zhuān)家編寫(xiě)指南和像這樣的如何操作提示-旨在幫助從業(yè)者有效地利用這些資源。