云采集(云安全到底是什么？是传统厂商的盒子的iso化？)

　　云采集(云安全到底是什么？是传统厂商的盒子的iso化？)

　　云安全究竟是什么？是传统厂商的盒子的孤立化吗？是云厂商的安全能力吗？或者SaaS是否提供安全服务？这些观点比较片面，作为聊天话题还可以，但还是需要认真讨论。

　　一、云安全标准

　　要理解云安全的真正含义，首先要了解云计算本身。根据NIST的定义，云计算按照服务模式分为IaaS、PaaS和SaaS，按照部署模式分为私有云、公有云、社区云和混合云，又分为消费者、供应商、代理和运营商根据用户角色。还有审计员。

　　云安全的定义基于CSA TCI-RA、NIST SP500-292、NIST SP 500-29、国内GB/T 31167-2014、GB/T 31168-等国际标准2014 看，简单来说就是基于云计算服务模型、部署方式、角色，提供有针对性的安全解决方案。

　　然而，实际的云安全建设往往是复杂的。把握几个关键点，可以帮助大家更好地理解云安全。

　　共同负责云安全

　　不同的用户和云服务提供商对安全负有不同的责任。如果用户只使用IaaS层服务，IaaS层安全由云服务商提供，以上所有中间件和业务安全责任均由用户承担；如果使用SaaS层服务，云服务商必须提供云相关的全栈服务；PaaS 层介于两者之间。

　　这与IDC环境中的安全性不同。从用户的角度来看，安全责任变轻了：过去，从搭建机房到部署应用的安全都由用户自己承担，现在云服务商要承担相关的安全责任

　　组织需要评估并满足合规性和审计要求

　　将业务从传统 IDC 迁移到云的主要挑战是遵守众多合规性和审计约束。尤其是国内环境，出现了监管部门“九龙水控”的情况。《网络安全法》开始正式实施；公共安全级别的保护也对云方面引入了同等保护；覆盖云计算领域缺乏平等保护1.0；大数据中心联盟也出台了可信云的相关标准；网信部门对各行业提出了新的监管要求；TC260提出了政府上云的GB/T 31167和31168。这些规定都意味着组织要承担更大的监管责任。

　　合规可以定义为对企业义务（企业社会责任、适用法律、道德准则）的感知和遵守，包括对适当和必要的纠正措施的评估和排名。在某些高度监管的环境中，透明度可以补充特定的内部战略，成为一种优势，而不是对组织效率的限制。

　　一般来说，为确保合规和完成审计，组织需要评估自身的合规状态，以感知和履行企业义务（社会责任、道德标准、法律责任等）；评估风险、不合规成本和合规成本，以评估是否采取了适当或必要的纠正措施。

　　对于客户和服务提供商而言，内部和外部审计以及各种控制措施是合理的，可以对云计算有效。目前对云计算厂商的审计还不够充分。大多数情况下，使用一次性评估来证明云计算的安全性和可靠性。对于客户来说，更安全的方法是通过认证不断对云计算厂商进行认证。

　　事件响应

　　信息安全领域没有无懈可击的防御，既没有周密的规划，也没有全面的防范措施，也不能完全防止信息资产受到攻击。正因为如此，减少对组织的损害程度的事件响应已成为信息安全管理的重要基石。

　　云计算不需要新的事件响应框架，只需要原有的响应程序、处理机制和工具与云计算相关的环境相关联。同时，组织也必须意识到云计算的某些特性会影响事件响应的有效性。

　　第一，云计算是按需自助服务，客户在处理安全事件时很难或不可能获得云服务商的帮助；其次，云服务的资源池化可能会使事件响应过程复杂化；@三、在多租户场景下，如果没有云服务来处理隐私信息和资源池化，采集和分析事故的间接数据和原创数据可能会引起隐私问题。

　　另一方面，云计算也为事件响应带来了新的机遇。云的持续监控机制可以减少事件处理时间或事件响应频率。与传统数据中心技术相比，虚拟化技术和云计算平台固有的弹性减少了服务中断时间，使遏制和恢复措施更加高效和有效。此外，由于虚拟机可以方便地迁移到测试环境、管理运行环境、获取认证镜像和进行检查，这些都使事件调查变得更加容易。

　　目前的情况并不十分乐观。国内云计算厂商应对事故的手段极其有限。大多数都是通过人工服务解决的。责任无法定位，造成的损失无法衡量。这导致用户和云服务提供商之间存在差距。不信任。

　　二、云安全的挑战

　　为了安全使用公有云、私有云、混合云等丰富多样的数字服务，越来越多的企业需要满足日益多样化的安全需求。为了满足这些需求，企业首先要意识到云安全的三大挑战：多租户环境中的信息保护、虚拟化和私有云安全、SaaS可视化和控制。这三大挑战将为企业的云安全建设提供切实可行的分类方法。

　　评估和控制多租户环境中的安全和合规风险

　　安全经理关注与公共云相关的安全问题。由于缺乏持续的合规性和风险评估以及安全流程，因此无法将一些敏感场景迁移到公有云。

　　使用多租户云服务不会直接造成安全问题。这与云厂商采取的安全措施有关，对云厂商提出了强有力的挑战。对云供应商的持续风险监控仍需走一段路。

　　安全管理人员甚至所有 IT 人员都关心公共云供应商的安全。事实上，没有直接证据表明公有云厂商的安全性不足会对用户产生重大影响。但是，如何评价公有云厂商的安全性以及监管机构对公有云的接受程度，仍然值得探讨。公有云厂商缺乏透明度，合规状态不明确，风险评估和安全流程不成熟，导致一些敏感场景无法迁移到公有云。

　　对于企业来说，使用多租户云服务不会直接造成安全问题，取决于云厂商采取的安全措施。对云厂商提供的服务和安全进行综合评估，对云厂商进行持续的风险监控，使企业在享受优质云服务的同时，实现安全合规。但是，市场对云厂商的评估和持续监控尚未形成最佳实践。

　　使用 CWPP 和微隔离等新技术来保护虚拟环境中的工作负载

　　硬件资源的虚拟化催生了新的安全技术，例如工作负载安全。工作负载是指服务器、虚拟机、容器等系统核心业务的载体。从某种意义上说，云服务商的安全措施比自建IDC机房的安全措施要好，但这并不意味着你可以通过将工作负载从本地迁移到公有云来自动获得安全。其实，云服务用户应该好好利用云厂商的安全特性和优势，效果会更好。例如，利用好云厂商的安全自动化，可以大大减少配置错误、管理错误、补丁缺失、人工操作错误等导致的安全漏洞数量，从而大大提高云的安全特性。云工作负载保护平台（CWPP，云工作负载保护平台）、微隔离等新技术，可以保证各种云环境的安全，越来越受到*敏*感*词*组织的关注。

　　阐明SaaS**环境中的数据保护和行为监控

　　从目前的企业支出来看，SaaS是比IaaS更重要的计算领域。目前尚不清楚企业由哪个角色负责SaaS治理，对SaaS“所有权”的监管缺失影响了SaaS应用的推广。

　　对此，部分企业专门制定了SaaS评估、使用、部门职责等相关规定，部分专家、架构师组建了专门的部门对SaaS应用进行管理。这些良好的实践可以帮助公司做出更好、更快的 SaaS 使用决策。

　　另一方面，安全团队在保护数据和监控行为时，必须使用比SaaS厂商提供的控制机制更先进的技术手段。统计显示，在使用的10,000个SaaS应用程序中，身份治理和管理（IGA）和CASB等单点控制技术变得越来越重要。使用第三方产品集中有效地管理安全策略、权限和行为越来越受到各种规模企业的重视。

<p>