云安全检查表 云安全评估表 cloud security checklist 中文.pdfVIP

1. 综述 云计算租户考虑第一的就是安全性，各个提供商不惜重资打造安全，就在不久前阿里云 通过了ISO27001 认证，向外展示了其安全方面的努力。那作为用户我们除了凭认证来审视 一个服务商外，还是不够的，我们需要详细的审视。租户们要确保所选的云提供商满足自己 的安全需求，同时云提供商除了达到一些标准测评的同时，也也要不断根据云计算的特性进 行有针对性的保护。 由于云计算的不同的部署模式和服务方式决定了责任和范围的不同，根据服务模式的不 同用户需要承担的安全责任也不同，如在SaaS 中用户只需要对自己的数据安全负责，而软 件安全，平台安全，基础架构的安全都应该是服务商提供。而在 IaaS 中用户则要对平台， 数据，操作系统负责，提供商至负责hypervisor 的安全和基础结构的安全。所以明确责任 是云安全中重中之重。 2. 评估云安全的清单 云开发安全评估清单的目的是：提供为检验云安全以及获得云服务提供商对其安全 的保障的统一方法。然而，正如本章介绍中所描述的，潜在客户或用户也可以讲这样的快清 单用于比较不同提供的云安全。 本部分剩余的内容提供了构成评估云安全框架要点的清单。这些清单中的问题来自 几个来源，包括云安全联盟云控制矩阵、欧洲网络与信息安全局（ENISA）信息安全保障框 架，以及美国国家标准技术研究所（NIST）800-53R3。 清单的一个应用是：云所有者可以使用清单指导对云的安全评估。如果云提供商将 这样的清单作为框架而报告他们的云的安全性，那么潜在租户以及用户便能够比较多个云的 相关安全性。公共云客户也可以使用这个清单提供与其业务需求相关的一系列问题。这些问 题不一定都与所有的使用或者业务关系相关联。 下面的每个部分都是围绕着一套密切相关的控制要求进行组织编排的。图1-1 描绘 了 评估清单部分的综述，并列出了每个部分的控制或要求组合。 基础安全 纵深防御 策略、标准以及指导方 运营安全 针 软件保证 透明度 网络安全 数据中心：物理安全 人员安全 主机和虚拟机安全 数据中心：电力和网络 第三方提供商 PaaS 和SaaS 数据中心：资产管理 业务考虑 身份及访问管理 运营实践 认证 事件管理 法律 密钥管理 业务连续性 加密系统 资源开通 图1-1 评估清单综述 2.1. 基础安全 安全策略定义了机构对于安全的要求或规则。安全策略描述了限制和要求，个体以及团 体的运营必须在此限制和要求之下，安全策略是安全管理目标的声明。关于安全而采取的行 为应当可以明确的追溯到安全策略。可能存在几个类别的策略，包括整体安全策略以及处理 更为限定的领域的附加策略（例如一个可接受使用的策略）。策略侧重于实现所需要的结果， 而不是具体的实施。 增强这些策略是具体领域的其他要求声明。通常定义标准作为技术控制或具体强化要求 覆盖这些具体