BlueDog's Home

和我的好友 Steve 共作此篇

本文原文地址：https://mp.weixin.qq.com/s/8CQkGt-lnffQdfKgNAjbFw

筆者 20 年暑假剛高考完，參與了 CCSK v4 的學習和考取了證書。命運的齒輪也許在那時就開始撥動旋轉。在 24 年的最後一個周五，本報告發出之際，落筆至此感觸良多。從雲安全的初學者成長為這份重磅教材的翻譯者與參與者，感謝執掌好運的黃黑之王，感謝一路以來的各位良師益友的指導陪伴。也希望本篇能夠啟迪與幫助到正在學習與探索雲安全領域的朋友們。讓我們共同努力，邁向雲安全 3.0 時代的下一個輝煌的五年！

如對本文及其《指南》本身有疑問和見解，亦或是您發現報告中的瑕疵與錯誤，煩請聯繫B1ueD0g@duck.com與我溝通。

---

《雲計算關鍵領域安全指南》（簡稱：雲安全指南）由雲安全聯盟（CSA）於 2009 年首次發布，成為了全球實施雲安全的必備手冊，為雲計算用戶、服務提供商及安全專家提供實用的安全策略，幫助他們在快速變化的雲環境中有效地實施安全控制和防護措施。作為 CSA 雲安全知識認證（CCSK）國際網絡安全認證的官方學習材料，雲安全指南已被翻譯成六種語言，成為全球網絡安全從業者的經典教材。

目前已更新至《雲計算關鍵領域安全指南 v5》。在前幾版的基礎上，雲安全指南 v5 對技術進展和新興安全威脅進行了全面更新。特別是在雲原生技術快速發展的背景下，指南強化了雲原生安全措施，並融入 AI、零信任等新興安全技術 / 理念，為雲安全 3.0（智能雲安全）的快速發展提供理論指導和實踐指引。

以下是對指南各領域的簡要導讀，具體內容請閱讀指南原文（18 萬字）。

領域 1：雲計算概念和架構#

領域 1 為指南的其它領域內容提供了概念性的框架。本部分主要介紹雲計算的基本概念、服務模型（如 IaaS、PaaS、SaaS）和部署模型（如公有雲、私有雲、混合雲）。它強調了雲計算的多租戶特性、虛擬化技術以及資源池化的安全挑戰，並提出了如何應對這些挑戰的最佳實踐。

領域 1 提出了 “一切即服務”（XaaS）的觀點。XaaS 作為雲計算的基礎模型，涵蓋了通過互聯網提供的各種服務，區別於傳統的本地或專有 IDC 數據中心。XaaS 模型下，“X” 代表幾乎任何以服務形式交付的資源，如安全即服務、容器即服務、AI 即服務等。這些服務通常與 IaaS、PaaS、SaaS 模型兼容，但它們更加具體且具有描述性，幫助企業在不同場景下選擇合適的雲服務形式。通過對 XaaS 的理解，企業能夠更精準地選擇和設計適合的雲服務架構，同時應對安全、合規等多方面的挑戰。

領域 2：雲治理#

領域 2 關注雲治理，重點強調安全的作用。治理是基於由策略、程序和控制構成的框架，旨在促進透明度和對既定標準的問責制。有效的治理實踐涉及戰略指導、風險管理和緩解措施、合規性監控和補救、預算分配和成本控制。IT 治理確保信息和相關技術能夠支持企業戰略和目標的實現。

有效的雲治理需要建立一個強大的框架和一組策略，以確保有效、安全和合規地使用雲資源。它需要實施強大的控制框架和策略來安全、合規和高效地管理雲資源。其中包括：

• 定義角色和職責
• 建立雲卓越中心或類似機構
• 進行需求收集
• 基於風險的規劃
• 風險與補救措施管理
• 數據和數字資產分類
• 遵守法律和監管要求
• 維護雲註冊表
• 建立治理層級結構
• 利用雲特定的安全框架
• 定義雲安全策略
• 設定控制目標並指定控制規範

通過實施這些組件，組織可以最大限度地發揮雲計算的優勢，同時降低潛在風險。

領域 3：風險、審計與合規#

領域 3 探討了評估雲服務提供商 (CSP) 的方法。它涵蓋了雲風險註冊中心的建立和批准流程的實施。此外，它還參考了 CSA 的 “頂級威脅” 提供常見風險的背景信息。

此領域概述了合規性和審計、不同類型的合規性以及合規性繼承的概念。為了協助治理、風險和合規性 (GRC) 流程，該領域引入了各種工具和技術。這包括策略、程序、控制、自動化的作用、軟件物料清單 (SBOM) 和相關技術。總的來說，這些組件支持治理框架並幫助管理複雜的雲計算風險和合規性要求。

管理雲風險的第一步是建立系統流程來評估 CSP 及其服務產品，此評估應與業務需求和風險承受能力保持一致。以下流程旨在解決這些差異：業務請求、查看 CSP 文檔、審查外部來源、映射到合規性要求、映射到數據分類、定義所需控制和補償控制、批准流程。

保護雲環境需要全面的風險管理、合規性和持續監控方法。通過利用非技術和技術工具，組織可以有效地管理雲風險、確保合規性並維護其雲基礎設施的安全性和彈性。

領域 4：組織管理#

組織管理是指雲環境的全面管理，它涉及組織和驗證雲服務提供商 (CSP) 的安全措施，以及保障各個雲服務部署的安全。這些關鍵的安全議題跨越了部署策略，旨在實現結構化的最優 “影響範圍” 控制和安全管理。儘管每個 CSP 的底層技術存在差異，但它們通常提供足夠的功能對等性，以實現策略一致的管理實踐。

租戶管理是多租戶環境中資源分配的關鍵機制，在雲環境管理中發揮著至關重要的作用。建立關鍵控制措施來管理層級結構並解決首要的安全性和合規性問題，對於維護可見性和結構至關重要。領域 4 還探討了管理和保護多個雲部署的各種組織層級結構模型及其功能和最佳實踐。通過研究結構差異和標準化方法，雲服務客戶 (CSC) 可以實施一致的安全控制和策略，增強其雲管理策略並最小化安全風險。

此領域還涉及組織安全管理的細節，包括身份提供商映射、CSP 策略、共享服務，以及混合和多雲環境的注意事項。實現雲安全的第一步包括限制不必要的擴展、確定組織佔用空間，在跨 CSP 及其內部實施安全控制，以確保單個部署的安全。首要任務是掌握如何將雲服務劃分成更小的控制單元，並在部署之上建立企業級和租戶級的控制措施。

領域 5：身份與訪問管理（IAM）#

身份和訪問管理確保只有經過授權身份才能訪問相應的資源。隨著雲平台將眾多數據中心的管理功能和服務整合到統一的可通過互聯網訪問的 Web 控制台和應用程序編程接口 (API) 中，IAM 成為雲原生安全的新防線，保護敏感資源免遭未經授權的訪問和濫用。

在公有雲和私有雲中，雲服務提供商 (CSP) 和雲服務客戶 (CSC) 都有責任在可接受的風險容忍度內管理 IAM。與本地系統相比，雲計算為 IAM 管理引入了新維度。雖然核心安全問題可能並不新鮮，但它們的影響卻被放大，並可能在雲環境中產生連鎖反應。

在雲中管理 IAM 與在本地系統管理 IAM 之間的主要區別是：

• 雲服務提供商（CSP）與雲服務客戶（CSC）之間的關係，以及各自的責任。
• 多個管理接口的整合。
• 這些接口對互聯網的暴露，特別是對於公共雲環境。

IAM 不能僅由 CSP 或 CSC 管理。它需要雙方之間的信任關係、明確的責任劃分以及促進 IAM 管理的技術機制。此外，與多個 CSP 打交道的 CSC 還增加了管理多個 IAM 解決方案與每個供應商的獨特策略保持一致的複雜性。

領域 6：雲安全監控#

領域 6 為雲環境提出了獨特的安全監控挑戰和解決方案。它強調了雲遙測、管理平面日誌、服務和資源日誌以及高級監控工具集成的不同方面。它探討了混合和多雲設置的複雜性，包括互操作性和安全性考慮。進一步強調了日誌、事件和配置檢測在全面安全監控中的關鍵作用。最後介紹了生成式人工智能 (GenAI)，作為增強雲安全性和提供多方面保護雲基礎設施的創新工具。

雲遙測源可讓組織了解雲環境，跟蹤從管理操作到單個服務交互和資源性能的所有內容。它們通過不斷收集和共享詳細信息，提供 “看到” 和 “聽到” 雲環境中正在發生的事情的能力。然後，安全工具、管理員或自動化流程會處理這些信息，以分析和了解 CSC 雲環境的運行狀況、性能和安全性。

領域 7：雲基礎設施與網絡安全#

領域 7 涵蓋管理整體基礎設施佔用空間和網絡安全。保護雲基礎設施是一項雙重任務，既要保護 CSP 的設置，又要保護 CSC 部署的配置。基礎設施安全的核心支柱包括創建安全架構、確保配置從一開始就是安全的、在開發生命週期的早期階段集成安全性（左移實踐）以及通過監控和應用護欄保持警惕。

基於 SDN 原則構建的雲網絡提供高級安全功能，例如實施默認拒絕策略、根據策略管理訪問和規則以及允許進行細粒度的網絡分段。這些功能顯著增強了雲環境中的安全框架。

融入零信任原則（例如 SDP 和 SASE）對於確保多雲連接和實現安全遠程訪問至關重要。這些模型確保嚴格控制訪問並根據經過驗證的身份和上下文提供訪問，從而增強分佈式環境中的安全性。

容器網絡在傳統虛擬化雲網絡之上添加了一個抽象層，從而帶來了新的複雜性。這需要在容器和雲網絡層都應用安全措施，以防止漏洞被利用。最後，雲網絡安全不僅限於安全組。它還包括部署防火牆、IDS/IPS 和 WAF 等預防性措施，以及流日誌和流量鏡像等檢測控制。這些元素共同構成了對網絡威脅的強大防禦措施，確保利用雲技術的企業的雲基礎設施的完整性和彈性。

領域 8：雲工作負載安全#

領域 8 涵蓋保護雲工作負載。雲工作負載指在雲計算環境中運行的各種任務、應用程序、服務和流程。雲工作負載具有可擴展性、靈活性和效率，使企業和個人無需在物理硬件上投入大量資金即可訪問和運行應用程序或數據處理任務。雲工作負載包含一系列資源，包括虛擬機 (VM)、容器、無伺服器功能、AI 和平台即服務 (PaaS)。雲環境的動態性及其不斷變化和擴展的資源需要與傳統方法不同的安全方法。

在使用 Kubernetes 進行容器編排時，自定義配置以增強安全性至關重要。掃描容器鏡像中的漏洞並控制誰有權訪問和管理這些鏡像是至關重要的做法。此外，實施運行時保護機制可確保持續監控容器並防禦持續威脅。

無伺服器應用程序需要採取有針對性的安全性方法，首先是嚴格的 IAM 策略。保護 API 端點免受未經授權的訪問並嚴格管理機密是防止漏洞利用的關鍵。

AI 工作負載安全領域發展速度特別快，需要不斷學習。為了保護 AI 工作負載免受攻擊，必須採用對抗性訓練，保護 AI 模型免受未經授權的訪問或盜竊，並採用差分隱私等數據隱私技術。

領域 9：雲數據安全#

在雲服務快速發展和網絡威脅日益增加的背景下，領域 9 滿足了雲環境中對強大數據安全的需求。它強調了數據安全對於維護組織完整性、機密性、客戶信任和法規遵從性的重要性。

該領域探討了數據安全的各個方面，包括數據分類、雲存儲類型以及針對不同數據狀態（靜態數據、移動數據和使用數據）的特定安全措施。它涵蓋了 IAM、加密和訪問控制策略等基本安全工具和技術，為保護雲數據提供了全面的指南。總體而言，該領域是加強雲數據安全實踐的組織的基礎指南。

領域 10：雲應用安全#

領域 10 涵蓋應用程序安全性，即使用安全控制保護計算機應用程序免受外部威脅的實踐。雲計算是應用程序安全性進步的主要驅動力，它要求進步是穩定的、可擴展的和安全的。安全開發生命週期提供了必要的技術和方法指南，以幫助製作和維護安全的雲應用程序。

指南提出左移（Shift-Left）的概念，左移（Shift-Left）是指將安全工作轉移到 SSDLC 的早期階段，以確保產品的設計安全和默認安全。

左移（Shift-Left）確保在 SSDLC 的每個階段，都通過安全視角來審視風險，從而實現主動安全，前置安全。與 SSDLC 後期階段被動修補漏洞相比，安全左移也更具成本效益。

領域 11：事件響應與韌性（恢復力）#

領域 11 旨在確定和解釋雲事件響應和韌性（恢復力）的最佳實踐，安全專業人員在制定自己的事件計劃和流程時可以將其用作參考。本領域探討了雲事件響應框架以及為有效響應事件所需的準備工作。它為 CSP 和 CSC 提供了一種透明、共同的框架，幫助他們共享雲事件響應實踐，指導 CSC 如何準備並管理雲事件，貫穿整個破壞性事件的生命週期。

事件響應生命週期是雲客戶有效準備和管理雲事件的指導。NIST 所描述的事件響應生命週期包括以下階段和主要活動：準備階段、檢測與分析、控制、消除與恢復，以及事後分析。

領域 12：相關技術與策略#

領域 12 指出，為了應對日益複雜的雲安全挑戰，組織需要從多個維度進行全面分析。通過結合 “視角” 和 “流程” 兩者，我們能夠從不同的角度審視問題，並在決策過程中採取明智的措施，確保雲應用、系統和數據的安全性與合規性。

當前，零信任（ZT）策略作為雲安全的核心之一，強調持續驗證所有用戶和設備，最小化信任，應用最小特權原則，並結合多因素身份驗證、微分段和加密技術，縮小攻擊面，提高安全彈性。與此同時，人工智能（AI）在雲安全中的應用正逐步增強。通過 AI，組織可以改善威脅檢測、訪問控制和策略實施，利用機器學習改進異常檢測和風險管理，提升安全防護能力。

CCSK 課程介紹#

為了適應雲安全 3.0（智能雲安全）時代對人才的需求，CSA 在升級了 CCSK 課程與認證體系的同時，同步更新《雲安全關鍵領域安全指南 v5》。CCSK 課程內容與指南緊密結合，確保學員能夠學習到最新的雲安全理念與最佳實踐。

CCSK V5 在傳統雲安全知識體系的基礎上，引入了包括 AI/GenAI、零信任、DevSecOps、數據湖等新興技術或理念，為雲安全 3.0 時代的人才培養提供了與時俱進的完善的知識體系，同時為學員提供了明確的培養路徑和目標。

CCSK（Certificate of Cloud Security Knowledge）雲安全知識認證是國際權威組織雲安全聯盟 CSA 於 2011 年發布的認證項目，是首個面向個人用戶全球安全認證。被譯成六國語言，在全球範圍內進行教學。被譽為 “雲計算安全認證之母”，CCSK 持證者已超過 80000 人。