云服务客户（cloud service customer）：购买云服务的实体，也称云消费者（cloud consumer）

云服务提供商（cloud service provider, CSP）：提供云服务的实体

云服务合作伙伴（cloud service partner）：使用CSP合作伙伴的服务为客户提供各种云服务的第三方实体

云服务代理商（cloud service broker）：整合来自多方的服务、将服务与公司现有基础设施集成以及定制CSP无法或不会提供的服务来增加客户价值的代理商

云审计者（cloud auditor）：对CSP控制措施进行独立检查和评估的实体，通常负责发布有关这些控制措施有效性的报告

云载体（cloud carrier）：提供允许交付和使用云服务的网络和电信连接的实体，通常来说就是互联网服务提供商（ISP）

监管机构（regulator）：确保组织满足合规要求的机构

根据服务模型的不同，云客户和CSP的责任有很大差异

Issa

Paas

Saas

云客户应根据所选择的CSP提供的共享责任模型来确定最终的责任分配，需注意的是云客户对其数据安全负有最终责任

用户能够简单且容易地配置所需要的服务

伴随该易用性而来的风险是影子IT（shadow IT），即某实体能够绕过公司处理IT服务配置和控制的策略和程序，这将导致公司成本支持的增长

云服务是需要网络访问的服务，没有广泛的网络范围，云服务将没有价值

必须要注意网络访问的安全性，特别是公有云环境

弹性基础设施允许服务根据需要增长或收缩，以支持客户的需求

该特征允许云客户按需付费，以此节约成本

但这对CSP是一个巨大挑战，CSP必须维护过剩的容量来满足客户需求，避免出现资源挤兑的情况出现

将硬件资源池化后，云客户能够按需使用资源，不会出现资源浪费

在公有云环境中，CSP将为多个云客户服务，即多租户（multitenancy）模型

不同的云客户可能共用一个物理资源，如果配置不当导致隔离失效，则会出现数据暴露的风险

计量服务允许CSP对云客户使用的资源收费，可将IT支出从资本支出转变为运营支持，并为未来的容量规划提供参考指标

虚拟化允许在多个虚拟服务器之间共享物理服务器的资源

CSP可以选择不同的存储技术以透明的方式供云客户使用

为广泛的网络方能为提供支持，并提供相关安全控制

云客户能够存储数据，降低成本，转移管理职责

云编排是指使用编排工具，将本地环境、不同的云环境组成一个无缝的环境，以此降低成本、提高效率以及支持整个员工队伍

适合需要对云环境拥有最大控制的客户，将基础设施虚拟化

适合具有开发、测试、部署等需求的客户，能够控制代码的运行环境

适合不希望参与过多管理、拿来就用的客户，通过Web或qi'ta 途径获得功能

还有一些其他类型的云服务模式，如存储即服务（STaaS）、数据库即服务（DBaaS）、渗透测试即服务（PTaaS）等

通过订阅服务为能够访问互联网的任何实体提供云计算服务，通常是多租户环境，资源被所有租户共享

私有云只为一个客户提供云计算服务，形式可以是在客户本地部署云环境，或者是在公有云中划分独立的资源仅提供给单客户使用

社区云为一个特定群体提供云计算服务，如政务云、教育云、游戏云等

混合其他部署模式，如公有云部署应用程序，本地私有云部署数据库

同时使用多个CSP的云计算服务，与混合云区别是整个系统分布在多个CSP上，而不是特定的子系统处于不同的云环境中

跨平台、服务或系统协同工作的能力

数据、应用程序或系统在传统环境和云环境之间或在不同的云服务提供商之间无损移动的能力

云客户将运营环境转移到CSP中，是否可以再次将其移出而不会造成重大影响的能力

云客户是否能够随时随地访问云服务的能力

综合属性，一般不选

云环境下数据不在本地保存，因此隐私保护的责任界定非常重要

在不利或意外条件下继续运行的能力

性能是通过SLA中商定的要求来衡量的

云治理与本地治理一样，涉及策略、程序、控制和监督等

根据不同云服务模式，云客户和CSP的责任有所不同

将云客户和CSP商定的服务水平（通常是性能指标）形成协议，具备法律效力，如果CSP未达到要求，云客户可以要求赔款。

要求CSP提供对云客户数据保护的保障，通常由SOC报告证明

根据云客户所处行业对CSP提出合规要求

降低成本，但丧失控制

由于互操作性、可移植性、可逆性、合同等原因，云客户无法更换CSP的风险

由于CSP某些原因造成云客户无法使用云服务的风险

指的是从大量数据中理解、操纵和提取有价值的信息

AI的核心组件，通过学习历史数据建立模型，可用于数据科学

创造一种具有人类能力且无法与人类区分的机器，特别是在机器未预先编程处理的情况下

一个开放的分布式交易账本，用于匿名金融交易，并提供防篡改能力

随着IoT的快速发展，IoT设备产生大量数据，存储于云端是最好的选择

容器运行时位于主机操作系统之上，然后每个容器使用运行时访问所需的系统资源

量子计算机使用量子物理学来构建极其强大的计算机，目前在理论阶段

在收集数据的源头设备处理数据或对数据采取行动，以节约云端的计算资源

在机密计算中，只有当授权程序试图访问数据时，才使用可信执行环境（TEE）来执行数据解密

TEE充当一个安全的缓冲区，强制实施访问控制，以验证只有授权的应用程序才能调用受保护的数据

DevOps解决开发团队和IT等运营团队之间效率低下，DevSecOps将安全控制融入该管理方法中，以提高软件的安全性

云客户和CSP之间的数据传输需要保护

多租户环境下数据存储安全

云客户无法安全擦除物理驱动器

保障密码学安全性的核心是保障密钥的安全性，依靠密钥管理来实现，CSP也提供密钥管理服务（KMS）来提高密钥管理效率

由CSP负责，通常不允许云客户访问物理设施

根据服务模式不同，云客户和CSP责任各不相同

对特权账号的控制要更加严苛

指的是控制CSP对客户数据的访问

云客户无法物理访问磁盘，因此无法物理销毁

数据是共享的且分布式的，定位数据是个问题

覆写（overwriting）

加密擦除（cryptographic erase）

云中虚拟防火墙，提供访问控制功能

主体对客体的访问永不信任、经常验证

由于云环境导致传统边界的模糊，通常只能监控进出CSP的边界

Hyper-V负责虚拟机的创建和管理以及调度和调节虚拟机对底层物理硬件的访问

类型1 Hyper-V（如EXSI）相较类型2 Hyper-V（如VMare）通常更快、更安全

常见针对Hyper-V的攻击是虚拟机逃逸（VM escape）

容器化的好处把包括资源效率、可移植性、更容易扩展和敏捷开发、其涉及的风险包括访问控制、软件错误、隔离失效等

仅在较短的一段时间内进行计算，是按需自助服务和计量服务特征的体现

也被称为功能即服务（FaaS），CSP提供代码运行的标准编程语言和函数环境，而非标准操作系统环境

定期开展补丁修复有利于遏制漏洞利用

通过基础设施即代码（IaC）确保新建实例遵循预定义的基线配置，并根据

组织的业务决策应基于成本效益分析

衡量一个组织从投资中获得多少价值

SANS（SysAdmin、Audit、Network、Security）是一个为安全从业者提供各种服务的组织，包括培训、模板和CIS控制框架

每一个CSP都有自己的云计算架构框架，云客户根据CSP提供的内容按需选择

一个用于建模IT资源架构的框架，使其与组织内的业务需求保持一致，包含业务运营支持（BOSS）、IT运营和支持（ITOSS）、技术解决方案服务（TSS）和安全即风险管理四个领域

ISO 27001：信息安全管理体系（ISMS）

ISO 27002：信息安全技术控制

ISO 27017： 针对云环境的信息安全技术控制

ISO 27018：针对云环境中的PII的信息安全技术控制

PCI委员会负责定期更新，适用于支付卡行业交易数据保护

美国联邦风险和授权管理计划（FedRAMP）

英国政府云（G-Cloud）

CSA是一个非营利性组织，其STAR认证提供对CSP安全和隐私控制的认证

Level 1

Level 2

通用标准（CC）是一套用于评估信息安全产品的国际准则和规范

保护范畴（PP）

评估保障级别（EAL）

FIPS系列是为了保护政府机构处理的数据，FIPS 140-2提供了一种验证加密模块强度的方案，最新版本是FIPS 140-3

创建新数据或修改已有数据，涉及数据分类以及分配安全控制等

示例：客户填写Web表单

创建数据的同时伴随存储数据，涉及存储位置的选择、访问控制、加密、备份等

示例：客户在Web应用程序中保存数据

包括数据的访问、查看和处理，涉及访问控制、加密、日志审计等

示例：客户通过Web应用程序访问其账户

两个实体或系统间交换数据，涉及访问控制、加密、哈希等

示例：用户授权并通过电子邮件共享链接

数据不再使用进入长期存储，涉及数据保留、存储位置的选择、访问控制、加密、备份等

示例：系统被备份到一个可移动驱动器，该驱动器存储在异地

数据进行生命周期的终点，涉及数据净化

示例：粉碎HHD、SSD或硬拷贝

临时（ephemeral）

原始（row）

长期（long-term）

卷（volume）

对象（object）

磁盘（disk）

数据库（database）

二进制大对象（blob）

信息存储和管理

内容和文件存储

内容分发网络（CDN）

任何非授权的数据访问都应该阻断

按需自助服务的便利性可能产生影子IT问题，导致运营成本增长和安全风险

不合规可能导致组织停止运营或罚款

不同国家的法律要求不一样，需要确保数据的地理位置与其安全控制一致

广泛的网络访问可能导致云计算服务遭受DDoS攻击

数据输入中的人为错误、恶意内部人员篡改数据、硬件和软件故障或自然灾害问题都可能导致数据或存储介质无法使用

基本全是CSP的责任，但仍需加密数据提供额外保护

适当的访问控制和恶意软件工具可以防止或检测恶意软件活动，而数据备份和版本控制可以对受到恶意软件影响的数据采取有效的应对措施

基本全是CSP的责任，但仍需加密数据提供额外保护

使用如随机数噪音输入创建强随机密钥

以安全的方式存储密钥，无论是在密钥库中加密还是存储在物理设备上，并在密钥丢失时处理存储副本以供检索的过程，该过程称为密钥托管（key escrow）

安全地使用密钥，主要关注访问控制和可问责性

由于密钥的高度敏感性质，共享密钥并不常见，但应该存在共享公钥、安全地将对称密钥传输给通信伙伴以及将密钥分发给密钥托管代理的设施

归档不再需要常规使用，但可能以前加密数据所需要的密钥

安全销毁不再需要或已损坏的密钥

存储级加密

卷级加密

对象级加密

文件级加密

应用级加密

数据库级加密

通过将一些信息交换为其他数据来实现

移动数据改变数据排序来实现，数据仍是真实的

将数学变化应用于主要数字数据

用空置替换原始数据

类似于混淆处理，可用于防止敏感数据的泄露，而无需移除数据本身

使用假名混淆数据的过程，存在一个映射表能够逆向该过程，还原真实数据

又称去标识化（de-identification），删除数据中能够直接或间接标书个人身份的数据，使数据匿名且不可逆的过程

创建并使用敏感数据的非敏感表示（也称为令牌token）来代替敏感数据的过程，是支付卡行业数据安全标准（PCI DSS）合规性的建议控制措施

管理中心：管理终端和网络代理的平台，负责策略的配置和下发以及安全态势的监控

终端代理：运行在终端侧的代理软件，识别终端上的敏感数据、执行防护动作

网络代理：运行在网络侧的硬件设备，识别流量中的敏感数据、执行防护动作

发现（discovery）：识别、分类和盘点数据资产

监控（monitoring）：监控敏感数据的移动、存储和使用

执行（enforcement）：根据预设规则执行告警、拦截、日志记录等动作

标签可以识别文件的分类级别，通过识别标签为数据应用适应的安全控制

模式匹配（pattern matching）：将数据与已知格式进行比较，即正则匹配

语法分析（lexical analysis）：试图理解数据的含义和上下文，以发现可能不符合特定模式的敏感信息，易产生误报

哈希（hashing）：计算文件哈希值与已知敏感数据的哈希值做比较，适应固定不变的文件

个人身份信息（PII）：标识个人身份相关的信息

受保护的健康信息（PHI）：属于PII，聚焦于医疗保健相关

持卡人数据环境（CDE）：信用卡、借记卡以及交易相关的信息

不同分类级别固有的合规要求

数据保留和处置要求

哪些数据被视为敏感数据或受监管数据

适当或批准数据用途

访问控制和授权

加密需求

硬拷贝材料：主要是印刷在纸上的信息，可以用印刷水印、印戳或物理容器标记

物理资产：包括服务器、工作站、磁盘驱动器、光盘和可移动介质，这些介质可以贴上标签或徽章

数字文件：通常来自办公工具、数据库等电子资料，通常可以用元数据标记

标签的级别应与所存储数据的最高级别保持一致

标签不应该暴露太多信息

任何级别的数据都需要标签

发现未标签存储时应以最高级别分类对待

存储成本需要和访问数据的速度要求相互平衡，特别是使用云备份

健康保险携带和责任法案（HIPAA）

通用数据保护条例（GDPR）

时间表：数据必须保留的时间段

完整性检查：定期检查数据的完整性

检索程序：具备访问数据适当的授权步骤

数据格式：考虑数据的保存格式，以防未来不可读

加密算法：加密数据的算法是否会随着时间流逝变的不可靠

电子发现：保留的数据需支持合规要求的事件调查

清理（clear）

清除（purge）

销毁（destroy）

日志中时间的时间戳对于建立特定用户执行的活动链至关重要

不同的应用程序和平台将使用不同的元数据对事件进行分类

事件分析最终要确定是谁干了什么事，识别用户唯一性非常重要

用户身份：用户名相关，如UID、GUID等

IP地址：用户使用设备的逻辑地址，内网可控相对可靠，外网易伪装

地址位置：可使用IP地址或GPS定位用户的地理位置

应用程序可能提供生成日志的能力，但日志格式差异较大，需要标准化处理

日志容易被篡改，导致事件分析不准确

一个关于证据是如何处理的、由谁处理的、从收集到作为证据呈现的可辩护记录，用以证明收集的证据是可信的，能够用于呈堂证供

可以明确要求特定用户对待特定动作负责的特性，依赖身份标识、身份验证、日志记录、完整性检查灯多种技术共同维护

通常在组织本地部署，因此CSP就是组织本身，负责物理安全

还可以租用公有云独立空间部署，此场景下CSP是公有云提供商，由提供商负责物理安全

通常由社区成员、同时也是CSP负责物理安全，但也可以租赁公有云独立空间，与私有云情况类似

物理安全由CSP负责

类型1，也被称为裸机虚拟化管理程序，常用于云计算等企业解决方案，如ESXi

类型2，也被称为托管虚拟化管理程序，常用于个人需求或测试环境等，如VMware

虚拟化管理程序

虚拟化网络

虚拟机（VM）

在云环境中，租户之间的分隔通常是逻辑隔离，通过访问控制来实现，对租户来说是透明的，即仅能访问自己的资源而不知道其他租户的情况

由于数据安全的责任是云客户的，为了避免出现隔离失效的情况，应采用加密技术保护数据，并妥善保管密钥

访问控制可通过现有IAM系统与云资源集成来实现，建华了账户和权限配置

避免本地和云资源混用的方法是使用身份即服务（IDaaS），仅提供云访问的IAM管理

物理位置的选择主要考虑因素包括自然风险、距离用户的位置、稳定的公用设施等

CSP通常自建数据中心，拥有数据中心的最大控制权

云客户根据成本效益分析来决定购买公有云服务，还是自建或利用现有本地数据中心或租赁机房建设私有云或社区云

HVAC受数据中心物理位置影响而又不同的侧重，北极的机房不需要空调，撒哈拉沙漠的机房不需要供暖，应具备充分性和冗余性

CSP应采用多个互联网服务提供商（ISP）的路线，从多个物理位置接入数据中心

韧性（resilient）设计师为了积极应对变化或干扰，如自然灾害或人为干扰

首先识别组织的关键资产，包括硬件、数据、人员、业务流程、关键供应商等，然后通过头脑风暴列举资产可能面临的风险

对列举的风险进行分析，确定每个风险发生的可能性以及影响

CSP数据中心的地理分散性

停机时间

合规性

一般技术风险

公有云对整个互联网提供服务，因此组织可能被任何人攻击而受到连带风险

同一公有云中的其他租户可能对组织数据产生风险

供应商的员工可能无意或有意对组织产生风险

用户通过独特的东西，如用户名或用户ID，来表明自己的身份

用户证明自己所表示的身份，包括密码、硬件令牌或生物识别，应采用多因素身份验证（MFA）来提高安全性

完成身份验证后授予用户访问资源的权限，根据组织需求选择不同的访问控制模型，按需选择云访问安全代理（CASB）来集中管理

通过记录用户访问活动和监控实现可问责性

确定要收集的事件类型，遵循数据保留策略决定留存时间，使用SIEM能够集中存储日志并进行关联分析，提高日志审查和监控的效率

相关性指的是发现两个或多个事件之间关系的能力

数据包捕获或pcap是指对网络通信数据包的捕获，可用于监控网络活动，检测恶意网络活动以及网络攻击行为，并能够提供最准确的网络溯源证据

为每个系统确定最大容忍停机时间（MTD），并设计恢复时间目标（RTO），即系统崩溃到恢复所需要的时间，使RTO<MTD以确保组织不会收到严重影响

恢复点目标用于衡量系统崩溃时容忍损失的数据量

常用于指导备份策略的指定，备份频率越高、成本越大、RPO越小

恢复服务水平用于衡量灾难发生时，保持生产环境运行所需的计算资源（0~100%）

BC/DR计划创建是执行业务影响评估（BIA），识别关键业务流程并进行优先级排序，并设计相关控制措施以保障恢复能力

BC/DR计划的实施依赖高级管理层的支持，因为计划的有效实施依赖充足的资源

BC/DR计划应定期进行测试以确保其有效性

通读测试（Read-Though Test）

结构化演练（Structured Walk-Through）

模拟测试（Simulation Test）

并行测试（Parallel Test）

完整中断测试（Full-Interruption Test）

安全参与SDLC的每个步骤，越早开始越好，可参考构建安全成熟度模型（BSIMM）

安全是组织中每一个人的责任，在云环境中CSP与云客户明确责任、有效合作

了解安全风险并确保其得到环境应被认为是一个关键的业务目标，而不是一个阻碍

CSA定期发布云计算的顶级威胁，最新2022年版本名为Top Threats to Cloud Computing Pandemic Eleven

身份、凭据、访问和密钥管理、特权账号的不足

不安全的接口和API

配置不当和变更控制不足

缺乏云安全架构和策略

不安全的软件开发

不安全的第三方资源

系统漏洞

意外的云数据泄露

无服务器和容器工作负载的配置不当和利用

有组织的犯罪、黑客和APT

云存储数据泄露

最新版本为2021年

访问控制失效

加密失败

注入

不安全的设计

安全配置不当

脆弱且过时的组件

识别和身份验证失败

软件和数据完整性失败

安全日志记录和监控失败

服务器侧请求伪造

一份最危险的软件弱点清单，用于软件安全测试

需求：包含可行性研究以及收集业务、功能和安全需求

设计：解决需求以及测试用例

开发：编写代码或购买COTS

测试：根据测试用例来进行测试

部署：实施软件并确保安全配置

运行和维护：软件上线后的运营

非常严谨的开发方法，适合稳定性要求高的软件开发工作

该方法追求软件交付速度，适应需求变化快的软件开发工作

STRIDE用于识别和分类针对软件的安全威胁

欺骗：伪造身份获取访问权限

篡改：破坏完整性

否则：无法证明某人做了某事

信息披露：信息被未授权访问

拒绝服务：破坏可用性

特权提升：非授权获取特权账号

DREAD用于量化威胁评估，对威胁的补救进行排序

损害：威胁对组织的损害程度

可复制性：威胁有多容易复制

可利用性：威胁有多容易实现

受影响用户：威胁的影响面

可发现性：危险多容易发现

攻击模拟和威胁分析流程（PASTA）是基于风险的威胁分析方法

定义目标

定义技术范围

应用程序分解

威胁分析

脆弱性分析

攻击建模

风险和影响分析

ATASM是执行威胁建模的流程步骤的缩写

架构：对系统架构进行分析

威胁：列举所有可能的威胁

攻击面：列举系统暴露于攻击的任何部分

缓解措施：分析现有环境措施及其有效性

功能测试用于测试是否满足与系统需求相关的系统功能规范

单元测试：针对单个功能或模块的测试

集成测试：针对多个模块协同工作的测试

可用性测试：在类生产环境中测试，获取用户和系统之间互动的反馈

用户验收测试一旦完成，软件即可交付使用

回归测试是在软件开发的维护阶段进行的，以确保软件的变更不会影响当前功能，引入新漏洞或之前已修复的漏洞

非功能测试用于测试与系统主要功能没有直接关系的方面，如性能测试、安全测试、兼容性测试、文档测试、易用性测试等

三种常见测试类型的主要区别在于测试人员可获得的知识水平

白盒测试：测试软件的内部结构，涉及所有代码

灰盒测试：了解有限的信息来测试系统，如系统使用的算法、组件、设计文档等

黑盒测试：完全不了解软件的情况下测试系统如模拟用户或黑客

静态应用程序安全测试（SAST）

动态应用程序安全测试（DAST）

交互式应用程序安全测试（IAST）

运行时应用程序自我保护（RASP）

代码审查通过审查代码来发现缺陷

同行评审（peer review）指的是由一个开发人员审查另一个开发人员编写的代码

代码审查也可通过自动化工具完成，常用于CI/CD管道

人工测试涉及不由自动化工具执行的任何类型的测试，通常成本较高，但能够发现自动化工具无法发现的问题，如业务逻辑漏洞

软件成分分析旨在提供对软件组件或依赖性风险的可见性，可以识别软件中使用的所有组件以及包含的已知漏洞

SCA识别的组件清单被称为软件材料清单（SBOM）

微服务应用程序将复杂的架构设计为服务和数据的集合，遵循高内聚设计原则，每个微服务执行单一业务功能，可以灵活组合形成复杂系统

无服务器环境使用事件驱动的架构，即无服务器计算仅在触发时进行激活所需的功能

云原生架构是指部署到云中的应用程序，利用云计算交付模式，可以在任何类型的云环境中运行，并使组织专注于特定的开发任务

基于云的架构适合 构建和部署Web应用程序

通过使用API网关，安全API是Web应用程序的前门，提供对数据和业务逻辑的访问

Web应用防火墙（WAF）基于签名或启发式方法检测HTTP/HTTPS流量，保护Web应用程序免受常见攻击，如SQL注入、跨站脚本（XSS）、跨站请求伪造（XSRF）等

数据库活动监控是指一套支持识别和报告数据库中欺诈或可疑行为的工具，能够基于访问数据库的流量或数据库审计日志来发现异常行为，并支持对特权用户的监控

可扩展标记语言防火墙检测HTTP、HTTPS等流量，检测针对基于XML的应用程序和API

应用程序编程接口网关检测应用程序后端服务的流量，支持速率限制、访问记录和授权控制等

静态数据加密通常使用对称加密算法实现，CSP通常提供加密存储服务作为标准选项

传输中的数据加密依靠TLS、HTTPS或VPN来保护，也可以通过先加密数据再传输的方式进行保护

加密依赖密钥的安全性，因此密钥的生命周期管理非常重要

CSP提供密钥管理服务（KMS），也可以使用第三方密钥管理服务进行职责分离，但对于敏感数据来说，密钥管理应该由组织自己完成

你知道什么：如密码、PIN码、安全问题等

你有什么：硬件令牌、智能手机、银行卡等

你是什么：生物识别技术、如指纹、面部识别、虹膜扫描等

用户请求特征：包括地理位置、设备特种、访问行为等

TPM是一个内置在计算机系统中的专用模块，具有加密功能的专业能力，也称为加密协处理器（cryptographic coprocessor）

TPM通常是系统硬件的物理组成部分，不支持后期添加或删除，如Windows 11仅支持具有TPM的硬件才能安装

HSM是一种专用硬件，旨在支持和执行密码功能

它是一个独立模块，支持按需扩展来提高安全性

存储控制器用于控制存储设备，包括访问控制、完成请求数据的集合以及为用户或应用程序提供存储服务的接口

为设施的出入口提供足够的物理和环境安全

网络基础设施的韧性和冗余设计

建立灵活和可扩展的网络架构

为虚拟化和分布式环境提供适当的安全功能

Security Shell（SSH）

远程桌面协议（RDP）

虚拟网络计算（VNC）

KVM是一种允许使用一套人机界面外围设备访问多个主机的设备，支持隔离数据端口、防篡改设计、保护存储、安全固件、物理隔断、USB端口和设备限制等特性

CSP提供了一个用于交互的可视用户界面（UI），允许创建和管理资源，包括用户账户、虚拟机、云服务（如计算或存储）以及网络配置

VLAN常用于划分逻辑子网，起到隔离网络流量的作用，不同VLAN之间必须依赖三层设备才能通信

不同VLAN的网络流量依靠VLAN tag进行区分

虚拟可扩展局域网（VxLAN）可用于扩多个数据中心创建虚拟局域网

网络安全组（NSG）可用于限制网络访问，达到划分子网的效果

TLS用于保护传输中的数据安全，替代了过时的安全套接字层（SSL）

握手协议（handshake protocol）用于协商建立加密通信通道，包括三个步骤

大多数情况下，TLS依靠服务器数字证书还提供单向身份验证，即验证服务器身份；如果客户端也拥有数字证书，则可以支持双向身份验证，用于高安全或高完整性的环境

DHCP为主机动态分配晚安那个罗配置信息，包括IP地址、子网掩码、网关地址、DNS地址等

DNS解决域名（www.google.com）和IP地址（1.1.1.1）的映射问题

区域传输（zone transfer）

缓存投毒（cache poisoning）

DNS欺骗（spoofing）

DNS安全扩展（DNSSEC）

VPN为外部用户提供了虚拟和远程加入网络的能力，从而访问该网络上托管的资源；或在两个网络之间建立安全通道，使两个网络中的主机相互安全地通信

OpenVPN

IKEv2/IPSec

SSL VPN

由于云服务的去中心化性质，导致传统网络边界不再存在，SDP通过软件控制用户访问的逻辑边界，是一种基于零信任理念的网络安全技术架构

自定义VM镜像：客户自己创建安全的VM后生成相匹配的VM镜像以供未来使用

CSP定义镜像：CSP提供标准或添加安全配置的VM镜像

供应商提供的基线：根据所使用的产品供应商查询其提供的相关技术指南

国防信息系统局（DISA）的安全技术实施指南（STIG）

NIST检查表

互联网安全中心（CIS）的基准

保留（reservation）

限制（limit）

共享（share）

维护模式是指围绕集群主机的常规维护活动的实践，这将对CIA产生影响

机密性

完整性

可用性

高可用性是由一个健壮的系统和基础设施来定义的，以确保系统不仅正常运行，而且是可用的

通常以“9”的数量来衡量，例如，“5个9”或99.999%的可用性，这相当于每年大约5分钟的停机时间

Uptime institute 物理和环境冗余规范

VMware ESXi主机集群中的协调元素，它调解对物理资源的访问，并提供支持高可用性和管理的其他功能，包括VM迁移、硬件扩容、资源平衡、能源管理等

与DRS类似，Microsoft的软件，用于处理能源管理、VM迁移、优化计算和存储资源等

存储集群创建了一个存储池，其目标是提供可靠性、提高性能或可能增加容量

紧耦合（tightly coupled）集群中的组件通常由同一制造商提供，更新或扩展必须来自同一制造商，数据读取速度快

松耦合（loosely coupled）集群以牺牲性能为代价提供了更大的灵活性和更低的成本

漏洞检测：客户通过人工、漏扫、威胁情报等方式检测漏洞

布丁发布：供应商通过公告、标准更新机制或临时通讯向客户发布补丁

补丁适用性评估：客户评估不定是否适应自己的组织

测试：在测试环境中测试补丁应用情况，评估是否能够接受风险

应用和跟踪：识别需要修复的系统，安排修复计划并跟踪闭环

需要时回滚：补丁修复可能会导致未知问题，回滚计划必须安排

记录：补丁修复意味着系统发生变更，需要记录变更并更新配置文档

使用基础设施即代码（IaC）：使用IaC创建VM能够应用最新的补丁模版

不可变架构：通过限制主机处于不合规状态的时间来解决基线监控和合规问题

软件成分分析（SCA）：用于是被软件中开源组件的漏洞

防火墙用于隔离和控制不同网络之间的访问，根据规则检查流量来决定允许还是拒绝流量通行

防火墙有基于硬件的网络防火墙，也有基于软件的主机防火墙

静态包或无状态防火墙（static packet or stateless）：基于五元组检测单个数据包并匹配规则

状态防火墙（stateful）：基于会话检测整个会话的数据包并匹配规则

Web应用程序防火墙（WAF）和API网关：专门分析HTTP或HTTPS流量的防火墙

安全组（security group）：也称为网络安全组（NSG），云环境中的虚拟防火墙

下一代防火墙（NGFW）：赋予更多安全功能的防火墙，如入侵检测、病毒检测等

传统环境中，IDS旁路部署，通过端口镜像检测网络流量，匹配攻击库规则，并发出报警；IPS串接部署，直接检测网络流量，匹配攻击库规则，并发出报警并拦截攻击行为；称为基于网络的入侵检测/入侵防御系统（NIDS/NIPS）

在云环境中，IDS/IPS也支持软件部署，即基于主机的入侵检测/入侵防御系统（HIDS/HIPS）

蜜罐（honeypot）具有伪漏洞的服务器，能够监控并分析攻击者的行为；蜜网（honeynet）具有多个蜜罐组成的网络

需要注意诱捕（entrapment）问题，如果蜜罐或蜜网呗专门设计用来吸引攻击者并实施抓捕，则在法庭上会呗认为是非共计行为而判无罪

脆弱性评估的目标是在攻击者发现脆弱性之前检测并修复它，包括但不限于漏洞扫描、安全审计、合规检查、渗透测试等

请求变更：说明变更的目的、所有者、资源需求、识别的影响等

审查变更：由变更控制或变更咨询委员会（CCB or CAB）审查变更内容，还可能涉及测试变更、决策分析等过程

实施变更：变更批准后按计划实施变更，如果实施变更失败则需要执行回滚计划，降低变更失败的影响

记录变更：所有变更流程的内容都需要记录以进行审计

低风险：不太可能产生负面影响的变更，可预先授权以减少运营成本

正常变更：需要完整的变更管理请求以审查实施流程

紧急变更：突发事件需要紧急变更，可根据情况加快变更流程

识别关键业务功能和资源：通过业务影响评估（BIA）完成

确定恢复优先级：根据BIA结果对系统恢复顺序进行排序

规划连续性：确定使用哪些连续性功能

记录计划和程序：编写应急响应指南以应对紧急情况

培训：培训具有关键责任的人员以应对紧急情况

NIST风险管理框架（RMF）和ISO 27002

健康保险可携带和责任法案（HIPAA）

ISO 22301:2019安全和恢复力-业务连续性管理系统

27001 提供ISMS管理要求

27002 提供ISMS技术要求

27017提供基于27002的云服务的信息安全控制要求

27018提供作为个人身份信息（PII）处理者的公有云中PII保护要求

27701提供扩展27001和27002关于隐私信息管理的要求

SP 800-37 提供储藏间组织风险管理框架的指南

SP 800-53提供联邦信息系统和组织的安全和隐私控制

网络安全框架（CSF）提供如何设计和实施信息安全计划

服务组织控制（SOC）框架提供相对轻量级的信息安全管理和控制方法，以及使用第三方执行审计，这为业务合作伙伴和客户提供了良好的保障

定义事故的类型

事故响应团队（IRT）人员

不同事故类型中IRT人员的角色和责任

资源要求

事故管理流程

事故响应优先级主要基于关键性（对组织的影响）和紧迫性（解决周期）决定

Part 1：概述和概念

Part 2：电子发现治理和管理指南

Part 3：电子发现实践规范

Part 4：技术准备

改标准覆盖了云安全相关的法律问题、合同要求以及电子发现提出的特殊问题

当采取法律活动时，为了收集证据可能干涉组织的数据处置活动，即在法律诉讼完成之前保留数据，这被称为法律保留

在处理证据时，监管链记录数据的完整性，包括时间、方式和负责各种行动的人员的详细信息，如收集、制作副本、执行分析和提交证据

由于云环境的多租户特性，数据收集可能会无意中暴露不属于请求方的数据

证据的五个属性：真实、准确、完整、可信、可接受

日志记录和监控：所有资产都需记录日志并集中管理，限制日志的访问并定期审查

备份和存储：证据需要与基线对比以发现恶意活动

基线和文件完整性监控：基线的完整性检查可用于发现恶意活动

数据和记录保留：保留的记录可能有助于调查活动

在收集证据时最好尽可能使用原始物理介质

在分析证据时始终使用副本来保障原始证据的完整性

证据处理过程中频繁使用哈希验证证据完整性

记录证据处理过程的所有内容

建立并保持与相关方的沟通以获取指导和要求

充足的物理安全

物理和环境维护

阻拦干扰

使用副本

记录一切

威胁预防：降低事故发生可能性的预防性控制和风险缓解措施

威胁检测：检测威胁的工具、流程和程序

事故管理：IRT依靠SOC开展事故管理工作

持续监控和报告

数据安全

告警优先级

事故响应

合规管理

通常SOC由组织建设，但考虑成本问题也可以外包

网络安全控制

性能和能力

漏洞评估

集中化：组织内的每个实体都将日志转发到SIEM进行集中存储

规范化：不同实体产生的日志格式千差万别，SIEM能够规范化日志格式

关联和检测：SIEM可以实现关联分析，即尝试发现多个事件之间的关系来生成攻击链，提高威胁检测能力以及告警的准确度

告警：SIEM检测的威胁后告警并生成工单进行事件闭环处理

由于云服务模式的不同，部分日志或信息客户是无法查看的，使用CASB能够记录和监控用户对云服务的访问，可作为补偿方案来使用

使用高完整性存储介质，如一次写入、多次读取（WORM），保障日志不会被篡改

仅限SOC人员访问日志数据

能力监控和轮换确保充足的存储空间

当日志不再需要时，保留或安全删除

在所有系统上正确地配置日志功能

测试和验证日志数据以确保完整性

事故响应计划（IRP）：定义应对不同事故或场景的响应流程，能够帮助IRT有条不紊的开展事故响应活动

事故响应团队（IRT）：负责执行IRP的团队，人员职责在IRP中定义

根本原因分析：事故解决后执行根本原因分析，制定补救策略以防再次发生

事故响应优先级主要基于关键性（对组织的影响）和紧迫性（解决周期）决定

主要涉及与CSP的沟通管理

卡内基梅隆大学软件工程研究所（SEI）：事故管理能力评估

NIST SP 800-61 ：计算机安全事故处理指南

ISO 27035：信息安全事故管理

版权和知识产权法律

隐私合规所要求的安全控制

数据泄露极其后果

国际进出口法律

根据自身情况与监管沟通并确定需要遵循的法律要求

考虑不同国家的法律体系差异

考虑调整组织架构来适应冲突的法律要求

OECD的隐私基本原则包括：收集限制、数据质量、目的说明、使用限制、安全保障、公开、个人参与、可问责，并在国家隐私战略、数据安全泄露通知、隐私管理计划方面提供了指导方针

APEC隐私框架的基本原则包括：防止伤害、收集限制、通知、个人信息的使用、个人信息的完整性、选择和同意、安全保障、访问和更正、可问责

GDPR中的数据角色

GDPR原则

数据主体的权利

数据泄露通知

健康保险可携性与责任法案（HIPAA）

支付卡行业数据安全标准（PCI DSS）

隐私盾（Privacy shield）

塞班斯法案（SOX）

法律（law）规定了法定的要求

法规（regulatory）要求也可能是法律规定的，但指的是由政府实体指定的监管机构发布的规则，如美国的FISMA要求政府机构实施计划，但具体要求是NIST SP 800-53的内容

合同（contractual）要求是私人当事方之间的法律合同所要求的，通常不会导致监禁，但会导致经济处罚、诉讼和终止合同

在选择CSP时，应将电子发现作为安全要求纳入合同条款

数据位置的选择应该规避由强制要求移交数据的国家

与法务部门或法律顾问合作审查合规风险

ISO 27050：电子发现

云安全联盟（CS）有关云环境ISO标准交叉映射

NISTIR 8006：计算机取证科学挑战

是否是法律法规要求

违规报告的不同

处罚力度的不同

影响受众的不同

安全控制力度的不同

数据的处理范围

分包商

数据的删除

数据的安全控制

数据的物理位置

数据的处置

审计

确定DPIA的范围

记录收集的数据类型和数据流

梳理数据以及其安全控制

评估数据泄露风险以及缺失的安全控制

输出最终报告

鉴证业务准则（SSAE）是由美国注册会计师协会（AICPA）定义的一套标准，在进行审计和生成服务组织（SOC）报告时使用

国际鉴证准则（ISAE）是由国际审计和鉴证标准委员会定义的一套标准，与SSAE类似

SOC 1

SOC 2

SOC 3

云安全联盟（CSA）的安全可信保障和风险（STAR）认证计划可用于评估组织的保障水平

Level 1

Level 2

确定分析的必要性并获得管理层的支持

定义范围、目标和相关框架

识别部门或区域的当前状态

审查证据和支持文件

识别框架与现实间的差距

编写报告并获得领导批准

记录和定义审计计划的目标

差距分析或就绪状态评估

定义审计目标和交付物

识别审计师和资格

识别范围和限制

审计师执行收集、测试和评估组织的实际工作

着手现场工作时就开始编写报告，并与被审计组织确认报告内容，最终出具正式报告

针对发现的问题在修补后再次验证

识别适应于组织的控制措施

将适应的控制措施与纸质的具体环境相匹配的过程

用来概述公司规则和准则，如考勤制度

为员工提供的标准化定义，描述他们如何使用系统或数据，如数据分类策略

定义用户在使用云服务时必须遵守的要求，如远程访问要求

风险概况（risk profile）

风险偏好（risk appetite）

风险能力（risk capacity）

已识别或可识别的自然人

决定个人数据处理目的与方式的任何实体

代表控制者处理个人数据的实体

大多数隐私法包括强制性的泄露通知，即组织如果遭受数据泄露，则必须向公众或监管部门在规定时间内进行通知，相关要求纳入事故响应计划和程序中

SOX要求作为数据所有者需要遵循以下透明度要求

第802条

第804条

第十二条

减少可能性的处理方法是主动的，被称为保障措施（safeguard）

风险发生后减少影响的方法是被动的，被称为应对措施（countermeasures）

不从事某项活动来完全避免风险，如拔网线

将风险转移给另一个组织，如保险公司

实施控制措施来减少风险的可能性和影响

经成本效益分析后，某些风险决定接受不做处置

ISO 31000：风险管理-指南

ISO 31010：风险管理-风险评估技术

ISO Guide 73：风险管理-词汇

ENSIA云计算风险评估指南，提供了组织在设计云计算系统时应注意和计划的云特定风险的详细信息

NIST SP 800-146：云计算概要和建议

NIST SP 800-37：风险管理框架（RMP）

完全打补丁且更新到最新的设备所占比

设备收到所需补丁的时间

入侵尝试的次数，基于安全报警或日志

识别安全事故的平均时间

遏制安全事故的平均时间

解决安全事故的平均时间

通用准则（CC）用来评估产品的保障级别来为客户提供选购参考

CSA是一个非营利性组织，其STAR认证提供对CSP安全和隐私控制的验证

Level 1

Level 2

用于评估云服务提供商的云服务和部署模式的安全状况

正常运行时间保证

违反SLA的处罚

违反SLA的处罚排除和限制

暂停服务条款

提供者责任

数据保护和管理

灾难恢复和恢复点目标

安全和隐私的通知和时限

确定CSP后定期进行持续评估，主要是审查如SOC 2报告

主要涉及评估使用CSP独有服务的锁定风险

主要涉及评估CSP的财务报表、业绩历史、声誉等

主要涉及评估将敏感信息托管给可信第三方的可行性，如软件托管

合同条款规定了合同各方之间的协议，任何CSP或其他数据服务提供商应考虑以下内容

审计的权利

衡量标准

定义

终止

诉讼

保障

合规

云/数据访问

网路风险保险旨在帮助组织将风险转移给保险公司来减少风险的财务影响，通常覆盖调查、直接业务损失、恢复成本、法律通知、诉讼、勒索、视频和相关费用等