由于有如此多的應(yīng)用程序和數(shù)據(jù)駐留在云中，因此使用安全框架來幫助保護云基礎(chǔ)設(shè)施是組織的必要舉措。

云安全框架是一組指導(dǎo)方針和控制，用于幫助保護組織的云基礎(chǔ)設(shè)施。它為云計算服務(wù)提供商及其客戶提供安全基準(zhǔn)、驗證和認(rèn)證。

云計算已經(jīng)不再是一種積極的架構(gòu)選擇，而更多地成為新應(yīng)用程序的實際采用策略。越來越少的組織有目的地為新部署選擇內(nèi)部部署或托管部署;相反，大多數(shù)企業(yè)選擇云部署。

無論采用何種部署模型，確保組織的技術(shù)環(huán)境都是必不可少的。但是，保護云環(huán)境不同于其他環(huán)境，因此業(yè)界需要有關(guān)保護云平臺的目標(biāo)資源。關(guān)于如何最好地保護云的使用并長期保持其安全，已經(jīng)發(fā)布了相當(dāng)多有價值的指導(dǎo)。

在保護云計算使用方面，從業(yè)者可以選擇一系列可用的指導(dǎo)。一方面，有詳細(xì)的技術(shù)指導(dǎo)，通常來自云提供商自己。這在尋求回答一個特定的、通常是技術(shù)性的問題時很有用，例如，如何在XYZ環(huán)境中設(shè)置blob存儲的加密?在研究如何從整體和體系結(jié)構(gòu)上保護云環(huán)境時，這種類型的指導(dǎo)不太有用。相比之下，更高級別的指導(dǎo)往往與供應(yīng)商無關(guān)——也就是說，適用于不同的云環(huán)境——但與具體的、詳細(xì)的問題關(guān)系不大。

一種指導(dǎo)是云安全框架。這些框架可以為從業(yè)者提供重要的實用程序。首先，就像通用安全框架一般可以幫助您定義整個技術(shù)領(lǐng)域的整體安全狀態(tài)一樣，云安全框架專門為云部署做這方面的工作。它們也有附加價值。例如，云安全框架可以幫助驗證現(xiàn)有的安全措施，并進行參與前審查。

什么是云安全框架?

通過更普遍的安全框架來理解云框架可能是最容易的——也就是說，不是特定于云的指導(dǎo)。有許多廣泛的安全框架，包括治理框架(例如COBIT和ITIL)，架構(gòu)框架(例如，SABSA,TOGAF)，管理標(biāo)準(zhǔn)(例如，ISO/IEC27001)和NIST的網(wǎng)絡(luò)安全框架。正如這些框架可以廣泛應(yīng)用于任何技術(shù)領(lǐng)域或安全程序一樣，它們也適用于云。

存在各種通用的網(wǎng)絡(luò)安全框架。

除了這些通用框架之外，還存在多個可能與用例和場景相關(guān)的專用框架;這方面的一個例子是醫(yī)療保健場景中的HITRUST通用安全框架或支付場景中的PCIDSS。

這些框架對從業(yè)者很有用，但并不專門針對云計算。當(dāng)然，它們可以用來幫助告知組織的云態(tài)勢，但是特定于云的框架可能更有用。有一些重要的需要了解，包括云安全聯(lián)盟(CSA)、云控制矩陣(CCM)、云安全聯(lián)盟的安全、信任、保證和風(fēng)險(STAR)注冊表、聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)和ISO/IEC27017。同樣重要的是互聯(lián)網(wǎng)安全中心(CIS)關(guān)鍵安全控制，特別是與云伴侶指南一起使用時。還有許多其他的，具有廣泛的云適用性，但這里提到的那些是經(jīng)常使用的，在整個行業(yè)中備受尊重，特定于云計算，對csp及其客戶同樣有用。

云安全框架向更廣泛的行業(yè)提供有關(guān)適用于云環(huán)境的安全措施的信息。與任何安全框架一樣，這些框架包括一組帶有關(guān)于控制(包括意圖和嚴(yán)格性)、控制管理、驗證和其他與保護云用例相關(guān)的信息的特定指導(dǎo)的控制。

云安全框架的類型

每個框架都有自己的重點和目標(biāo);它們都是獨一無二的。但是，從分類學(xué)的角度來考慮它們是有用的。這樣做可以幫助明確哪些可能對什么目的最有用。在高層次上，各種框架可以分為以下幾類:

?通用框架。這些框架是通用的，試圖為云環(huán)境提供關(guān)于控制選擇、范圍、狀態(tài)等方面的廣泛指導(dǎo)。

?綁定到現(xiàn)有的更廣泛的框架。其中包括特定于云的指導(dǎo)，這些指導(dǎo)作為更廣泛的生態(tài)系統(tǒng)的一部分而存在，而不是以云為中心。CISCloudCompanionGuide就是一個例子，它將特定的云控制與非特定于云的CIS關(guān)鍵控制聯(lián)系在一起。

?控制特定的指導(dǎo)。還有比一般框架更具體的指導(dǎo)，包括一些針對特定控件或控件家族的指導(dǎo)。一個例子是NIST特別出版物(SP)800-210“云系統(tǒng)的通用訪問控制指南”，它特定于云，但也專注于一個控制族和主題——在這種情況下，訪問控制而不是更通用的云。

?認(rèn)證框架。一些可用的指導(dǎo)直接或間接地支持認(rèn)證工作。例如，CSA的CCM對其STAR計劃注冊是有用的。同樣，F(xiàn)edRAMP是一個認(rèn)證工具，允許美國聯(lián)邦機構(gòu)使用云服務(wù)。

這些類別之間有一些重疊。例如，ISO/IEC27017:2015(信息技術(shù)——安全技術(shù)——基于ISO/IEC27002的云服務(wù)信息安全控制實踐規(guī)范)檢查了與上述類別相關(guān)的幾個方框。一方面，它是適用于大多數(shù)云部署的通用框架。它也存在于更廣泛的生態(tài)系統(tǒng)中(ISO/IEC27001和27002)。此外，它也是認(rèn)證的潛在目標(biāo)。

云安全框架如何有用?

由于以下幾個原因，使用框架作為一組控制和實踐對云計算服務(wù)提供商和云計算客戶都是有益的。首先，控制和對策的規(guī)范列表有助于指導(dǎo)從業(yè)者找到他們可以在自己的環(huán)境中評估和使用的具體措施。其次，清單提供了一個參考框架，在其中討論安全實踐和具體的安全對策;這為與安全相關(guān)的協(xié)商提供了基礎(chǔ)，例如云消費者和提供商之間就共享責(zé)任模型中各自的責(zé)任等問題進行的協(xié)商。

此外，組織可以采用幾乎無限種可能的對策來保護其環(huán)境。擁有一個普遍接受的控制列表可以幫助云計算服務(wù)商決定如何投入時間和預(yù)算，并為客戶提供在評估云計算服務(wù)商時應(yīng)該尋找哪些標(biāo)準(zhǔn)安全機制的指導(dǎo)。

具體來說，框架可以作為評估的基線:它們?yōu)樵瓶蛻籼峁┝艘粋€結(jié)構(gòu)，以評估提供商或比較提供商之間的安全實踐。他們還可以幫助服務(wù)提供商展示他們的安全實踐，要么幫助他們的客戶進行合同前審查，要么作為他們銷售敘述的一部分?？蚣苤幸?guī)定的控制措施越具體、越規(guī)范，就越有利于發(fā)揮這種評價能力。

如果有策略地使用，框架可以減少工作量并為客戶和云計算服務(wù)商提供價值。作為評估清單的基礎(chǔ)，它們減少了潛在客戶的工作?？蚣苓€通過減少客戶可能提交給提供商的不同的、一次性的評估問卷的數(shù)量，減少了云計算服務(wù)商的工作。即使客戶堅持使用他們自己的調(diào)查問卷，框架仍然可以簡化客戶審查所涉及的工作，使供應(yīng)商能夠根據(jù)一組已知的標(biāo)準(zhǔn)組織響應(yīng)、準(zhǔn)備敘述和收集證據(jù)，而不是單獨針對他們可能遇到的每個客戶。

如何選擇云安全框架

采用云安全框架是一個相對簡單的過程，但根據(jù)是客戶還是云服務(wù)提供商，它確實會有所不同。對于客戶來說，選擇哪家公司在很大程度上取決于公司更廣泛的項目和業(yè)務(wù)背景。例如，美國聯(lián)邦政府機構(gòu)或承包商幾乎肯定會首先調(diào)查FedRAMP。FedRAMP提供了一套基于標(biāo)準(zhǔn)安全措施的驗證標(biāo)準(zhǔn)，并簡化了政府使用的csp的注冊。一個大型跨國組織，其安全程序已經(jīng)建立在ISO/IEC27001之上，并結(jié)合了ISO/IEC27002的控制，可能會發(fā)現(xiàn)ISO/IEC27017更適合，因為控制將是熟悉的，它將直接與現(xiàn)有的安全程序保持一致。

云計算服務(wù)提供商(csp)應(yīng)該采用一組框架，包括云和安全框架，這些框架在他們所服務(wù)的市場中是已知和接受的。如上所述，考慮這些特定框架的原因之一是它們支持的保證程序。對于FedRAMP,云計算服務(wù)商可以成為FedRAMP授權(quán)的服務(wù)提供商。云計算服務(wù)商可以通過ISO/IEC標(biāo)準(zhǔn)或任何ISO管理體系標(biāo)準(zhǔn)的認(rèn)證。CSA有它的共識評估倡議問卷，建立在CCM和它的STAR注冊表上，它證明了遵守的有效性。云計算服務(wù)商應(yīng)該支持的框架是可能在其客戶中得到最多認(rèn)可的框架。

無論選擇哪一種，云安全框架都可以幫助云安全工作?？蚣芴峁┝擞懻摼唧w控制的通用語言，以及評估和認(rèn)證的基準(zhǔn);他們?yōu)榻M織內(nèi)部安全工作創(chuàng)造了一個支柱。學(xué)習(xí)可用的框架選項是值得花時間的。

最佳實踐

當(dāng)評估和決定哪個框架(或框架組合)適合您時，記住以下最佳實踐:

1.根據(jù)業(yè)務(wù)定制框架。要特別注意與更廣泛的業(yè)務(wù)場景聯(lián)系在一起的框架。如上所述，如果您是美國聯(lián)邦機構(gòu)，那么像FedRAMP這樣的結(jié)構(gòu)可能更可取。

2.根據(jù)安全程序定制框架。另外，在評估框架時要考慮更廣泛的安全程序。如果您的安全程序是圍繞ISO/IEC27001/27002構(gòu)建的，那么ISO/IEC27017可能比CIS控制等更適合您。

3.但要始終如一。記住這是一場馬拉松，不是短跑;保持可控的速度。根據(jù)場景和您的組織，使用框架可能會涉及大量工作，特別是如果您是云計算新手或安全程序日趨成熟。不要試圖一次做完所有的事情。就像鍛煉養(yǎng)生法一樣，如果你慢慢開始并建立一個框架，那么使用框架會更容易。不要做那種第一天去健身房練了三個小時，第二天就酸痛得再也回不來的人。相反，隨著時間的推移，尋求持續(xù)的進步。

云安全框架的未來

考慮框架可能如何變化是很有用的。雖然沒有人確切知道它們將如何或何時出現(xiàn)，但它們可能會以一些方式進化。

隨著時間的推移，可能期望看到正規(guī)化和成熟。在云的早期，像這些框架這樣的指導(dǎo)存在著巨大的壓力，因為云模型是新的，從業(yè)者很難保證它們的安全。隨著云變得越來越普遍——現(xiàn)在是規(guī)范的部署模型——有機會指導(dǎo)在覆蓋深度上成熟，并更全面地處理邊緣情況。

我們可能會看到的另一件事是，在這些框架最初構(gòu)想時，包含了積極和頻繁使用的新技術(shù)，但這些技術(shù)不太規(guī)范。例如，將服務(wù)網(wǎng)格和基礎(chǔ)設(shè)施等技術(shù)視為代碼。兩者幾乎都可以與云環(huán)境無縫配合，但現(xiàn)有指南可能無法直接解決這一問題。期望指南的新迭代和更新來處理這些技術(shù)。這可以通過印發(fā)補充材料(例如，特定技術(shù)的增編)或?qū)韺蚣鼙旧磉M行改進來實現(xiàn)。

最后，也許對從業(yè)者最直接有用的是，期望看到專業(yè)的社區(qū)建設(shè)專業(yè)知識和對現(xiàn)有指南的熟悉程度，可能以二級來源指南的方式-例如，專家編寫指南和像這樣的如何操作提示-旨在幫助從業(yè)者有效地利用這些資源。