云安保框架的完整指南

由于有如此多的运行程序和数据驻留在云中,因此经常使用安保框架来协助包全云基础设备是组织的必要动作。

云安保框架是一组指点方针和控制,用于协助包全组织的云基础设备。它为云计算服务提供商及其客户提供安保基准、验证和认证。

云计算曾经不再是一种踊跃的架构选用,而更多地成为新运行程序的实践驳回战略。越来越少的组织有目的地为新部署选用外部部署或托管部署;雷同,大少数企业选用云部署。

无论驳回何种部署模型,确保组织的技术环境都是必无法少的。然而,包全云环境不同于其余环境,因此业界须要有关包全云平台的指标资源。关于如何最好地包全云的经常使用并常年坚持其安保,曾经颁布了相当多有价值的指点。

在包全云计算经常使用方面,从业者可以选用一系列可用的指点。一方面,有详细的技术指点,通常来自云提供商自己。这在寻求回答一个特定的、通常是技术性的疑问时很有用,例如,如何在XYZ环境中设置blob存储的加密?在钻研如何从全体和体系结构上包全云环境时,这种类型的指点不太有用。相比之下,更初级别的指点往往与供应商有关——也就是说,适用于不同的云环境——但与详细的、详细的疑问相关不大。

一种指点是云安保框架。这些框架可认为从业者提供关键的适用程序。首先,就像通用安保框架普通可以协助您定义整个技术畛域的全体安保形态一样,云安保框架专门为云部署做这方面的上班。它们也有附加价值。例如,云安保框架可以协助验证现有的安保措施,并启动介入前审查。

什么是云安保框架?

经过更普遍的安保框架来了解云框架或许是最容易的——也就是说,不是特定于云的指点。有许多宽泛的安保框架,包括控制框架(例如COBIT和ITIL),架构框架(例如,SABSA,TOGAF),控制规范(例如,ISO/IEC27001)和NIST的网络安保框架。正如这些框架可以宽泛运行于任何技术畛域或安保程序一样,它们也适用于云。

存在各种通用的网络安保框架。

除了这些通用框架之外,还存在多个或许与用例和场景相关的公用框架;这方面的一个例子是医疗保健场景中的HITRUST通用安保框架或支付场景中的PCIDSS。

这些框架对从业者很有用,但并不专门针对云计算。当然,它们可以用来协助告知组织的云态势,然而特定于云的框架或许更有用。有一些关键的须要了解,包括云安保联盟(CSA)、云控制矩阵(CCM)、云安保联盟的安保、信赖、保证大风险(STAR)注册表、联邦风险和授权控制方案(FedRAMP)和ISO/IEC27017。雷同关键的是互联网安保核心(CIS)关键安保控制,特意是与云伴侣指南一同经常使用时。还有许多其余的,具备宽泛的云适用性,但这里提到的那些是经常经常使用的,在整个行业中备受尊重,特定于云计算,对csp及其客户雷同有用。

云安保框架向更宽泛的行业提供有关适用于云环境的安保措施的消息。与任何安保框架一样,这些框架包括一组带有关于控制(包括用意和严厉性)、控制控制、验证和其余与包全云用例相关的消息的特定指点的控制。

云安保框架的类型

每个框架都有自己的重点和指标;它们都是唯一无二的。然而,从分类学的角度来思考它们是有用的。这样做可以协助明白哪些或许对什么目的最有用。在上档次上,各种框架可以分为以下几类:

•通用框架。这些框架是通用的,试图为云环境提供关于控制选用、范围、形态等方面的宽泛指点。

•绑定到现有的更宽泛的框架。其中包括特定于云的指点,这些指点作为更宽泛的生态系统的一局部而存在,而不是以云为核心。CISCloudCompanionGuide就是一个例子,它将特定的云控制与非特定于云的CIS关键控制咨询在一同。

•控制特定的指点。还有比普通框架更详细的指点,包括一些针对特定控件或控件家族的指点。一个例子是NIST特意出版物(SP)800-210“云系统的通用访问控制指南”,它特定于云,但也专一于一个控制族和主题——在这种状况下,访问控制而不是更通用的云。

•认证框架。一些可用的指点直接或直接地支持认证上班。例如,CSA的CCM对其STAR方案注册是有用的。雷同,FedRAMP是一个认证工具,准许美国联邦机构经常使用云服务。

这些类别之间有一些堆叠。例如,ISO/IEC27017:2(消息技术——安保技术——基于ISO/IEC27002的云服务消息安保控制通常规范)审核了与上述类别相关的几个方框。一方面,它是适用于大少数云部署的通用框架。它也存在于更宽泛的生态系统中(ISO/IEC27001和27002)。此外,它也是认证的潜在指标。

云安保框架如何有用?

由于以下几个要素,经常使用框架作为一组控制和通常对云计算服务提供商和云计算客户都是有益的。首先,控制和对策的规范列表有助于指点从业者找到他们可以在自己的环境中评价和经常使用的详细措施。其次,清单提供了一个参考框架,在其中讨论安保通常和详细的安保对策;这为与安保相关的协商提供了基础,例如云生产者和提供商之间就共享责任模型中各自的责任等疑问启动的协商。

此外,组织可以驳回简直有限种或许的对策来包全其环境。领有一个普遍接受的控制列表可以协助云计算服务商选择如何投入期间和估算,并为客户提供在评价云计算服务商时应该寻觅哪些规范安保机制的指点。

详细来说,框架可以作为评价的基线:它们为云客户提供了一个结构,以评价提供商或比拟提供商之间的安保通常。他们还可以协助服务提供商展现他们的安保通常,要么协助他们的客户启动合同前审查,要么作为他们开售叙说的一局部。框架中规则的控制措施越详细、越规范,就越无利于施展这种评价才干。

假设有战略地经常使用,框架可以缩小上班量并为客户和云计算服务商提供价值。作为评价清单的基础,它们缩小了潜在客户的上班。框架还经过缩小客户或许提交给提供商的不同的、一次性性的评价问卷的数量,缩小了云计算服务商的上班。即使客户坚持经常使用他们自己的考查询卷,框架依然可以简化客户审查所触及的上班,使供应商能够依据一组已知的规范组织照应、预备叙说和搜集证据,而不是独自针对他们或许遇到的每个客户。

如何选用云安保框架

驳回云安保框架是一个相对便捷的环节,但依据是客户还是云服务提供商,它确实会有所不同。关于客户来说,选用哪家公司在很大水平上取决于公司更宽泛的名目和业务背景。例如,美国联邦政府机构或承包商简直必需会首先考查FedRAMP。FedRAMP提供了一套基于规范安保措施的验证规范,并简化了政府经常使用的csp的注册。一个大型跨国组织,其安保程序曾经树立在ISO/IEC27001之上,并联合了ISO/IEC27002的控制,或许会发现ISO/IEC27017更适宜,由于控制将是相熟的,它将直接与现有的安保程序坚持分歧。

云计算服务提供商(csp)应该驳回一组框架,包括云和安保框架,这些框架在他们所服务的市场中是已知和接受的。如上所述,思考这些特定框架的要素之一是它们支持的保证程序。关于FedRAMP,云计算服务商可以成为FedRAMP授权的服务提供商。云计算服务商可以经过ISO/IEC规范或任何ISO控制体系规范的认证。CSA有它的共识评价建议问卷,树立在CCM和它的STAR注册表上,它证实了遵守的有效性。云计算服务商应该支持的框架是或许在其客户中获取最多认可的框架。

无论选用哪一种,云安保框架都可以协助云安保上班。框架提供了讨论详细控制的通用言语,以及评价和认证的基准;他们为组织外部安保上班发明了一个支柱。学习可用的框架选项是值得花期间的。

最佳通常

当评价和选择哪个框架(或框架组合)适宜您时,记住以下最佳通常:

1.依据业务定制框架。要特意留意与更宽泛的业务场景咨询在一同的框架。如上所述,假设您是美国联邦机构,那么像FedRAMP这样的结构或许更可取。

2.依据安保程序定制框架。另外,在评价框架时要思考更宽泛的安保程序。假设您的安保程序是围绕ISO/IEC27001/27002构建的,那么ISO/IEC27017或许比CIS控制等更适宜您。

3.但要一直如一。记住这是一场马拉松,不是短跑;坚持可控的速度。依据场景和您的组织,经常使用框架或许会触及少量上班,特意是假设您是云计算新手或安保程序日趋成熟。不要试图一次性做完一切的事件。就像锻炼养生法一样,假设你缓缓开局并树立一个框架,那么经常使用框架会更容易。不要做那种第一天去健身房练了三个小时,第二天就酸痛得再也回不来的人。雷同,随着期间的推移,寻求继续的提高。

云安保框架的未来

思考框架或许如何变动是很有用的。只管没有人确切知道它们将如何或何时产生,但它们或许会以一些模式退化。

随着期间的推移,或许希冀看到正轨化和成熟。在云的早期,像这些框架这样的指点存在着渺小的压力,由于云模型是新的,从业者很难保证它们的安保。随着云变得越来越普遍——如今是规范的部署模型——无时机指点在笼罩深度上成熟,并更片面地处置边缘状况。

咱们或许会看到的另一件事是,在这些框架最后设想时,蕴含了踊跃和频繁经常使用的新技术,但这些技术不太规范。例如,将服务网格和基础设备等技术视为代码。两者简直都可以与云环境无缝配合,但现有指南或许无法直接处置这一疑问。希冀指南的新迭代和更新来处置这些技术。这可以经过印发补充资料(例如,特定技术的增编)或未来对框架自身启动改出去成功。

您可能还会对下面的文章感兴趣: