内容概述：
云安全运行。本模块涵盖评估、选择和管理云计算提供商时的关键注意事项。我们还会讨论服务提供商的安全角色以及对云应急响应的影响。

知识架构图：

**云安全运行域包括（源自于：CSA云安全指南-M6）：
**

一、云提供者需要提供的内容

IaaS (和多数PaaS) 提供者的关键安全能力：API/管理活动日志、弹性和*伸缩、所有安全特性的API、授权颗粒度、良好的SAML支持、每个客户有多个账户、软件定义网络、区域/位置控制、基础设施模板/自动化配置

二、安全即服务

SecaaS 包括通过云服务方式提供的安全产品或服务，要被视为SecaaS，其服务必须满足域1 中提及的云计算基本特性。

SecaaS潜在的好处包括：云计算优势、人员配置和专业知识、智能共享、部署灵活性、客户无感知、伸缩和成本。

SecaaS潜在的问题包括：能见度不足、监管差异、处理监管的数据、数据泄漏、更换供应商、迁移到SecaaS的困难。

云访问安全代理（CASB，又称云安全网关）拦截直接连接或通过API连接到云服务的通信，以便监视活动、执行策略以及检测和/或防止安全问题。

Web安全包括实时保护，通过软件和/或设备安装提供本地化部署或者通过将Web流量代理或重定向（或两者混合）到云提供商来提供服务。

电子邮件安全应该提供对入站和出站电子邮件的控制，保护组织免受网络钓鱼和恶意附件等风险的影响，并实施可接受的使用和垃圾邮件防范等公司政策，并提供业务连续性选项。

安全评估是通过云方式提供对云服务的第三方或客户驱动的审核或对本地部署系统的评估的解决方案。

基于云的Web 应用程序防火墙（WAF）中，在将流量传递到目标Web 应用程序之前，客户先将流量（使用DNS）重定向到分析和过滤流量的服务。许多云WAF 还包括反DDoS 功能。

云IDS / IPS 可以使用本地化安全的现有硬件、云中的虚拟设备（有关限制请参阅域7）或基于主机的代理。

安全信息和事件管理（SIEM）系统聚合（通过推或拉机制）来自虚拟和物理网络、应用程序和系统的日志和事件数据。然后将该信息去噪并分析，以提供可能需要人工干预或其他类型的响应的信息或事件的实时报告和警报。云SIEM 通过云服务收集这些数据，而不是由客户管理的本地系统。

加密和密钥管理服务提供加密数据和/或加密密钥管理服务。它们可能由云服务提供以支持客户管理的加密和数据安全。

云业务连续性和灾难恢复服务提供商将数据从单个系统、数据中心或云服务备份到云平台，而不是依赖本地存储或运送磁带。

安全服务将传统的安全管理功能（如终端保护、代理管理、网络安全、移动设备管理等）集成到单个云服务中。这减少或消除了对本地管理服务器的需求，并且可能特别适合于分布式组织。

大多数DDoS 保护本质上都是基于云的。它们通过将流量重定向路由到DDoS 服务来实现，以便在影响客户自己的基础架构之前吸收攻击。

**三、事件响应
**

在云部署中，事件响应生命周期的每个阶段都会受到不同程度的影响。有些阶段与需要和第三方协调的外包环境中的事件响应类似。其他差异则与云的抽象和自动化特性有关。

SLA 和围绕客户和提供者职责确定期望是基于云资源的事件响应的关键。明确角色/责任的沟通以及实践响应和交接是至关重要的。

云客户必须建立与提供者沟通的适当路径，以便在事件发生时使用。现有的开放标准可以促进事件沟通。

云客户必须了解云提供商所提供的用于分析目的数据的内容和格式，并评估现有的取证数据是否满足司法证据保管链要求。

云客户应该采用持续和无服务器的方式监控云资源，才能比传统的数据中心更早地发现潜在的问题。

基于云的应用程序应利用自动化和业务流程来简化和加速响应，包括遏制和恢复。

对于使用的每个云服务提供商，必须在企业事件响应计划中规划和描述用于检测和处理涉及该供应商托管资源的事件的方法。

每个云服务提供商的SLA 必须保证对事件处理提供支持，以有效地执行企业事件响应计划。这必须涵盖事件处理过程的每个阶段：检测、分析、遏制、根除和恢复。

事件响应计划至少每年或每当应用架构有重大变化时进行测试。客户应尽可能地将其测试程序与供应商（和其他合作伙伴）的测试程序进行最大程度的整合。

测一测，看看您掌握了多少？
M6：云安全运行域的相关测试：https://jinshuju.net/f/y8HvTa