云計算關(guān)鍵領(lǐng)域安全指南（V4.0）VIP

SecurityGuidancev.4?Copyright2017,CloudSecurityAlliance.AllrightsConfidentialforCSAmembersonly—NOTFORv4.0的官方網(wǎng)址是：?2017CloudSecurityAlliance–AllRightsReservedAllrights你可以下載、存儲、顯示在你的電腦上,查看,v4.0v4.0，那么你可以引用報告的部分內(nèi)容。CSA云計算關(guān)鍵領(lǐng)域安全指南v4.0由CSA大中華區(qū)研究院組織志愿者進行翻譯。D1及前面部分由高軼峰、張全偉、洪毅翻譯，D2由王永霞翻譯，D3由劉劍、白陽翻譯，D4由陳皓翻譯，D5由牛志軍翻譯，D6由李建民翻譯，D7由孫軍、劉永鋼、陳光杰翻譯，D8由王紅波翻譯，D9由黃遠輝翻譯，D10由耿萬德翻譯，D11由任蘭芳翻譯，D12由姚偉翻譯，D13由黃遠輝、馬超翻譯，D14由鄒榮新翻譯。D1及前面部分由顧偉、王朝輝審校，D2由李建民審校，D3由劉劍、白陽審校，D4由耿萬德審校，D5由陳皓審校，D6由王永霞審校，D7由孫軍、劉永鋼審校，D8由姚偉審校，D9由王紅波審校，D10由牛志軍審校，D11由張全偉審校，D12由任蘭芳審校，D13由黃遠輝審校，D14安全云計算的發(fā)展需要來自廣泛的全球分布式利益相關(guān)方的積極參與。CSA匯集了不同的請訪問，了解您如何與我們合作，確定并促進最佳實踐，以確保BestExecutiveVicePresidentofResearchCloudSecurity致LeadRichMogullJamesArlenAdrianLaneMikeRothmanDavidMortmanDanMorenJohnCSAJimLuciano(J.R.)SantosDanieleCattedduFrankGuancoHillaryBaronVictorChinStephenLumpe我們謹代表CSACSACSACEO最近，我有機會與幫助建立云安全聯(lián)盟的一位行業(yè)專家共度一天。他表示，CSA已經(jīng)完成了最初的任務，即為了證明云計算可以安全，并提供必要的工具來實現(xiàn)這一目標。CSA不僅幫CSA在引領(lǐng)受信任的云生態(tài)系統(tǒng)方面的作用，給我們的新使命帶來了不可分，加速了我們的變革。在云安全聯(lián)盟中，我們致力于為您提供在高速發(fā)展的IT環(huán)境中您BestJimCo-Founder&CEOCloudSecurityAllianceD1:云計算概念和體系架 D2:治理與企業(yè)風險管 D3:法律問題，合同和電子舉 D4:合規(guī)和審計管 D5:信息治 D6:管理平面和業(yè)務連續(xù) D7:基礎(chǔ)設施安 D8:虛擬化和容 D9:事件響 D10:應用安 D11:數(shù)據(jù)安全和加 D12:身份、授權(quán)和訪問管 D13:安全即服 D14:相關(guān)技 D1:簡型進行提取和協(xié)調(diào)——最值得注意的是NIST800-145,ISO/IEC17788andISO/IEC17789——關(guān)注與信息安全專家最相關(guān)的是什么。概NIST將云計算定義為云計算是一個模式，它是一種無處不在的、便捷的、按需的，基于網(wǎng)絡訪問的，共享使用的，可配置的計算資源(如:網(wǎng)絡、服務器、存儲、應用和服務)可以通過最少的管理工作或ISOIEC的定義非常相似個大的池中(在這種情況下，使用虛擬化)8CPUs源（如數(shù)據(jù)庫和應用程序。500同的組織;它還用于在單個業(yè)務或組織中分配不同單元之間的資源。云安全聯(lián)盟(CSA)使用NISTmodelforcloudcomputingCSA還支持更深入的ISO/IECmodel，并作為參考模型。在這個領(lǐng)域中，我們將引用兩者。NISTNISTWorkingDefinitionofCloud在NIST對云計算的定義中，包括了五個基本特征、三個云服務模型、以及四個云部署模地匹配資源消耗需求(例如,需求增加時添加虛擬服務器,然后當需求終止時釋放它們)。ISO/IEC17788NIST(SaaS)web瀏覽器、平臺即服務(PaaS)抽象并提供開發(fā)或應用平臺,(PythonPHPIaaS/PaaS/SaaS。以它是CSA11234// ISO/IEC17789和NIST500-292，這是NIST定義模型的補充?？创朴嬎愕囊环N方式是將其視為一個堆棧，SaaS是位于PaaS之上，PaaS位于IaaS之上。物理設施和硬件基礎(chǔ)設施構(gòu)成S)所有這些都是通過應用程序編程接口(APIs)實現(xiàn)的。APIs通常是云中組件的底層通信方法，其中一些(或完全不同的集合)APIs都使用REST(RepresentationalStateTransfer)，它在HTTP協(xié)議上運行，非常適合于Internet服務。APIsweb的用戶界面中。因此IaaS由設備、硬件、抽象層、編排(核心連接和交付)層組成，將抽象資源綁定在一起，通過APIs遠程管理資源并將它們交付給用戶。下面是一個IaaS平臺的簡單架構(gòu)示例在所有的服務模型中，PaaSPaaSPaaS服務的方法很多。PaaS增加了與應用程序開發(fā)框架、中間件功能以及數(shù)據(jù)庫、消息傳遞和隊列IaaS的基礎(chǔ)上構(gòu)建一個平臺。在IaaS上構(gòu)建了集成層和中間件，然后將其匯集在一起，進行編排，并使用APIs絡協(xié)議訪問它，或者通過API訪問它。在PaaS中，云用戶只看到平臺，而不是底層的基礎(chǔ)設施。在我們的示例中，數(shù)據(jù)庫可根據(jù)PaaSIaaS之上；沒有理由不能自定義設計獨立架構(gòu)。定義的特點是消費者為了提高敏捷性、彈性和(潛在的)經(jīng)濟利益，許多SaaS提供商構(gòu)建在IaaS和PaaS大多數(shù)現(xiàn)代云應用程序(SaaS或其它)都使用IaaS和PaaS的組合，有時跨不同的云提供商。特別是web瀏覽器和移動應用程序。SaaS都有一個API位于應用程序/邏輯層和數(shù)據(jù)存儲之上。然后有一個或多個表示層，通常包括WebAPI訪問。應用結(jié)構(gòu):部署在云端的應用程序和用于構(gòu)建它們的底層應用程序服務。例如，PaaS的次往往也映射到常見的ITPaaSIaaS使用的應用程序，并且無法更改應用程序。例如，SaaS提供商負責周邊安全，日志/立在該基礎(chǔ)設施上的其它安全，不同于PaaS，IaaSIaaS擇IaaSSaaS（CAIQ（CCM的CSA邏輯模型。是指實現(xiàn)云安全的模板，這個架構(gòu)通常是具有普遍性的（例如IaaS安全參考架構(gòu)。它們可以是非常抽象的，與概念相關(guān)，或者相當詳細，與特定的控制和功能是針對特定問題的可重復使用的解決方案。在安全方面，IaaS日志管理即其“模型”也可能不夠準確，但是由于我們看到這些術(shù)語在不同來源之間可互換使用，NIST云計算安全參考架構(gòu)草案（NIST500-299），其中包括概念模型，參考架ISOIECFDIS27017ISOIEC27002適用的安全控制，與這家供應商部署在PaaS的類似項目所適用的安全控制相比，可能看起來區(qū)1.3組成CSA13略和戰(zhàn)術(shù)安全的“痛點”（painpoints，從而可應用于各種云服務和部署模式的組合。（operations領(lǐng)名描領(lǐng)名描Web控制臺和API。確保云部署的業(yè)務連續(xù)性。臺是最合適的（SaaS,PaaS,orIaaS。1.4熟悉NISTCSA（CAIQ（CCM1.5RichD2:2.0ISO/IEC38500:2015信息技術(shù)組織ITISACACOBIT-企業(yè)ITISO/IEC27014:2013（4合規(guī)報告：合規(guī)報告包括供應商內(nèi)部（即自身）合規(guī)報告往往提供給云服務的潛在客戶和已有的客戶，但是往往需要簽署NDA或云安全聯(lián)盟明STAR供云提供商基于CSA的云控制矩陣（CCM）和（CAIQ）開展通用評估的報告。一些云服務提供ISO31000:2009風險管理-ISO/IEC31010:2009風險管理-【NISTSpecialPublication800- 版本1】（2014年6月5日發(fā)布(/nistpubs/SpecialPublications/NIST.SP.800-務提供商，而不是外部服務提供商，內(nèi)部的SLA和程序取代了和外部的合同。ERM依賴于良好的合同和文件，明確的責任劃分，以及應對潛在的、未經(jīng)處理的風險的方SaaS服務最明顯的例子。好的服務合同將保護風情況。SaaS供應商的規(guī)模大小和能力水平，往往分布在兩個極端；對一個小型SaaS提供商時，談判合同的可能性要高得多。但不幸的是，許多小型SaaS提供商無法在復雜的環(huán)境下滿足或超升了PaaS的1/CSACCMCOBIT5NISTRMFISOIEC27017、HIPAA、PCIDSS、歐盟GDPR等。D3:簡和D5因為自己部署的私有云的運營與目前大多數(shù)現(xiàn)存IT的運營相當，本域主要關(guān)注公有云或第3.2（OrganizationforEconomicCooperationandDevelopmentOECD）的隱私及安全指導意見，以及亞太經(jīng)合組織（AsiaPacificEconomicCooperation，簡稱APEC）的隱私框架。（thePrivacyActLaw(E)Dct，包括195（DaPconDcte）以及202年的《電子隱私指（EPcyDcte，209年修訂版。這些指令包括包含安全的組成部分，并必須將提供（GDPR，不同于指令，法案對各成員國有直接的約束，不需要各成員國內(nèi)額外的法律授權(quán)程序。GDPR將在2018525（201856日前生效19952002GDPR的發(fā)布的醫(yī)療保險及責任法案（HealthInsurancePortabilityandAccountabilityActHIPAA）（PaymentCardIndustryPCIDataSecurityStandards，簡稱PCIDSS，也包括對分包商類似的安全要求。21例如聯(lián)邦貿(mào)易委員會（eleon，簡稱）或是各州總檢察長，無論是否存CmC.m,79d26(3..21)CC。521.053(b).述，有的則參照特定標準（例如PCI-DSS，如上文述）并在合規(guī)基礎(chǔ)上分配責任（例如華盛頓州法律：RCW19.255.020(2)(b).。美國是沒有全國性數(shù)據(jù)保護且適用于所有類型個人資料的法律的少數(shù)國家之邦法律以及相關(guān)的規(guī)定，例如LA、A、198年的兒童在線隱私保護法案（en’sOePyPconct，簡稱PA，它們與由聯(lián)邦貿(mào)5如，在C的司法判決中要求m美國眾多的州法也要求公司有義務為個人數(shù)據(jù)提供充分的隱私保護或安全保21MR10

例如像PCIDSSISO27001這樣的標準也引發(fā)類似聯(lián)邦法以及州法那樣的Web站點上發(fā)布的、或是公司已與第3.1.2（據(jù)HIPAA-，BAA都能夠符合HIPAA參見聯(lián)邦民事訴訟規(guī)則（FederalRulesofCivilProcedure，F(xiàn)RCP）26。在這些情況下，聯(lián)邦民事訴訟規(guī)則（FederalRulesofCivilProcedure）認可，資金被認為是無責訴訟，F(xiàn)RCP已改為明確各方當事人的責任，特別是在電子化存儲信息的情況下（electronicallystoredinformation，ESI。服務和云部署模式，客戶在云中保存與在其他IT基礎(chǔ)設施中保存可以非常類似，也可以更復20063152006/24/EC管轄，Bill2004月6號的25.873號法令。在美國，盡管適用于潛在當事人的管轄權(quán)裁決多種多樣，這些關(guān)成本和存儲：保存可以要求延長大規(guī)模數(shù)據(jù)的保留期。根據(jù)服務等級協(xié)議（serviceemtL議下的存儲容量？客戶是否能在取證的方式下有效地下載數(shù)據(jù)，從而可以離線或近端保持數(shù)ev）26（B（2（B證也非常困難，客戶可能需要將這些限制通知對方律師或法院。(此外，F(xiàn)RCP26(b)(2)(b)可以解TT情況下，ESI預計將制定的標準格式（如PDF的電子文件（ConferenceD4:介云服務提供商的云服務提供商）4.1治理和風險管理的重要工具。以致于該領(lǐng)域的工具和團隊有自己的縮寫：GRC，即治理（Governance），風險（Risk）和合規(guī)性（Compliance）GRC合PCIDSS，SOC1，SCO2，HIPAA，最佳實踐/框架如CSACCM和全球/區(qū)域法規(guī)如EUGDPR（pass-throughauditIaaS供PCIDSSPCI合規(guī)的服務，而供應并不是一個給定的云服務供應商的所有功能和服務必須符合和認證/審核的所有法規(guī)和標關(guān)信息安全的審計管理的范圍。法律允許的程度）將大大幫助客戶評估云供應商。云安全聯(lián)盟星級登記處（CloudSecurityAllianceSTARregistry）為供應商提供了一個中央庫，以便供應商公開發(fā)布這些文件。由于在S推D5:介（概SPI因管理、顧及安全受眾的不同需求。這里只是生命周期的一個概要，完整的版本在&5.3D6:介置了，而是通過API業(yè)務連續(xù)性/容災的重要性在云上和非云環(huán)境一樣重要。既應考慮與第三方提供方的潛在關(guān)聯(lián)導致的差異（我們在BCDR），還應考慮其他的由于使用共享資源導致的某些固有差異。可以為運行在IaaSIaaSSaaSSaaS，您依IaaS，您可以設計您的應用程序的架構(gòu)以應PaaSPaaS努力設計與傳統(tǒng)基礎(chǔ)設施相當?shù)腞TO管理平臺通常是通過APIWebWebWeb調(diào)用的API。bbSS域名，且可以更容易地集成聯(lián)盟身份（例如登錄到m。WebAPI運行且可以在各種環(huán)境中良好運行，RESTAPI已經(jīng)成為Web由于在RESTHTTP名和OAuth遇到這種情況，如果可能的話您需要使用專門賬號來訪問API，以減少認證證書外泄的機會。甚至可能不采用相同的定義，例如“組”和“角色”。戶帳戶）都應使用MFA。它是防范廣泛攻擊的單一最有效的安全控制之一。無論服務模式如何，MFA對于SaaS和IaaS（可參閱IAM域獲取IAM建立/（如OAuthHTTP）MFAAPIAPI像安全和合規(guī)一樣，業(yè)務連續(xù)性和災難恢復（BCDR）是雙方共擔的責任。云提供方應管投支持SaaS樣，云中斷和問題很常見。BCDR行，在SaaSIaaS（包括第三方）中經(jīng)常利用工具的軟件定義APIIAM當云消費者構(gòu)建自己的云應用程序時，通常建立在IaaS和/或PaaS了解PaaSPaaS使用冷備設備和DNS“混沌工程”通常用于幫助構(gòu)建彈性云部署。因為所有的云都是基于API應該可以啟用某些冷備的資源。如果您采用APIAPI是您在接受宕機之外的唯一業(yè)務連續(xù)選項。將數(shù)據(jù)提取和歸檔到另一個云服務，特別是IaaS這完全在由提供方來承擔，業(yè)務連續(xù)/容災包括所有物理設施的宕機。因為如果云宕了，一切就都宕了，RTO和RPO建確保APIWeb和PaaS）。IaaSPaaS連續(xù)性。D7:7.07.17.2P用于管理和API它們被設計用于單租戶網(wǎng)絡（企業(yè)數(shù)據(jù)中心），（如來賓網(wǎng)絡）。VLANVLANVLAN軟件定義網(wǎng)絡（SDN）：在頂部的一個更完整的網(wǎng)絡硬件抽象層，SDN從數(shù)據(jù)平面解耦（SDN）。這使得我常還提供軟件定義的任意IP/16范圍的IP，SDNIPSDNIP通過唯一IDIP資產(chǎn)不太可能使用靜態(tài)IPIPIPSDN如橋接虛擬網(wǎng)絡或連接到內(nèi)部的PaaS微分段（有時也被稱為hypersegregation）利用虛擬網(wǎng)絡拓撲來運行更多、更小，更）云安全聯(lián)盟軟件定義邊界（SDP，SoftwareDefinedPerimeter）工作組開發(fā)了一種模SDP連接資產(chǎn)的SDP（例如膝上型電腦SDPSDPSDPSDPSDPSDP因此，網(wǎng)絡安全決策可以在更廣泛的標準范圍內(nèi)進行，而不僅僅是IP結(jié)合了SDN更多關(guān)于SPD的信息請到CSA/group/software-definedperimeter/#_overviewSDN全控件，必然將帶來額外的成本開銷。雖然看起來SDN影響。例如，在影響云用戶之前，DDOSIPS1IP云計算與負載安全基于GPUFPGAIaaS（目前底層操作系統(tǒng)和容器技術(shù)而快速發(fā)展。D8VM依賴于靜態(tài)PPIP日志中的IPSIEMD10?云存儲雖然是基礎(chǔ)設施的一部分，但在D11建優(yōu)先選用D8:（D7計網(wǎng)（SDNSDN從底層物理設施中抽象出網(wǎng)絡管理器，消除了許多典型的網(wǎng)絡約束。例如，即使是地離。SDN也可以用軟件設置和API調(diào)用定義，支持編排性和敏捷性。過少量API調(diào)用或者Web控制臺的幾次點擊創(chuàng)建和銷毀整個復雜的網(wǎng)絡。主機可能被用于跨越SDN本身。WAN?存儲虛擬化已經(jīng)在大多數(shù)組織中很常見。SANNAS1111?容8.3D9:9.0事件響應（IR-IncidentResponse，下同）在任何信息安全計劃中都是十分關(guān)鍵的一方中所描述的事件響應生命周期進行組織。其他國際事件響應的標準框架包括《ISO/IEC27035在描述了NIST800-61rev29.1?事件響應周期在NIST800-61rev2攻擊？事件響應流程需要改進嗎？如果需要，如何改進？準（SLA心定制私有云與通過網(wǎng)站注冊并點擊許可協(xié)議獲取SaaS（正如基于云的資源構(gòu)建能夠使檢測、調(diào)查和響應（遏制和可恢復性）API包括對IaaSPaaSSaaSSaaS專門用于安全的：許多云平臺（IaaS，可能也有PaaS）都會出于性能和操作原因而公開各種實API在這一階段的響應中，云環(huán)境通常會提供更多的靈活方案，特別是對于IaaS。軟件定義的自動擴展組，用于更改虛擬網(wǎng)絡或機器配置的API）可以加速隔離、根除和恢復總變更SLA試重新協(xié)商SLA。9.2SLAD10:介PaaSIaaS開發(fā)和ITSaaS識，DevOps云服務提供商，尤其是主要的IaaS和PaaS提供商，比大多數(shù)組織有與傳統(tǒng)的基礎(chǔ)設施相比，API和自動化提供了廣泛的可使用性，以更低的成務器，就可以通過一些API通過使用微服務架構(gòu)進一步增強安全性。由于云不需要使用者來優(yōu)化物例如e）7DevOps是一種新的應用程序開發(fā)方法和哲學，主要關(guān)注應用程序開發(fā)和部署與那些由不同組管理的傳統(tǒng)異構(gòu)系統(tǒng)和設備(負載平衡器、服務器、網(wǎng)絡設備、防火墻、ACLPaaS)的統(tǒng)一接口(管理接口和API)，提供了更全面的視圖和更好的管理。這就創(chuàng)造了減少由于缺乏通信或全棧安全相關(guān)的數(shù)據(jù)。在使用PaaS（如系統(tǒng)或者網(wǎng)絡日志）增加應用范圍管理平臺/元結(jié)構(gòu)安全性，直接影響與該云帳戶相關(guān)聯(lián)的任何應用程序PaaS概DevOps（CICD）DevOps和CICDNIST800-ISO/IECOWASPWeb共享的責任模式意味著，即使在基于IaaS性的某些方面。您采用PaaS在本指南的幾乎每個領(lǐng)域都有所討論，可見性和控制權(quán)的變化很大。當主要在IaaS運行時，可能只是缺少網(wǎng)絡日志，但是當您進入PaaS有新的和不同的架構(gòu)選項，特別是在您使用PaaS全基礎(chǔ)S使用必須保護的I/D管道，特別是代碼存儲庫。如果使用S，。要更新以考慮在云中運行，包括任何API在正常測試范圍之外，這些應該理想的包括對云服務的API調(diào)用的API（DASTDASTCICD管道中，并且相當容易地在云中實現(xiàn)，但它幾乎總是需要遵環(huán)境是由一個模板自動構(gòu)建的，很可能來自于一個CI/CDAPI（或工具）自動化，以定期評估配置狀態(tài)。在某些云平臺上，可能會使用內(nèi)置的評估和配置管理功能。根據(jù)平臺和變更的性質(zhì)，也可:如上所述，由于操作的原因，不可變的基礎(chǔ)設施在云中變得越來越普遍。安全性可以通過禁用遠程登錄到不可變的服務器/容器，添加文件完整性監(jiān)：：通過SAPI調(diào)用或HTTPS需要對APIWEB這包括使用專門為API應監(jiān)測APIDevOpsDevOps標準化：使用DevOps，CICDCICDCI/CDSecDevOps/DevSecOps和RuggedDevOps:這兩個術(shù)語正在形成，用來描述將安全活動整合到DevOpsSecDevOpsDevSecOpsDevOps建威脅建模、SASTDAST(帶有模糊的)都應該被集成起來。應將測試配置為在云環(huán)境中工作，但也要測試特定于云平臺的問題，比如存儲的APID11:引SaaSSaaS概：對象存儲類似于文件系統(tǒng)?！皩ο蟆蓖ǔＪ俏募?，使用云平臺特定機制進行存儲。大多數(shù)訪問通過API，而不是標準的文件共享協(xié)議，即便云提供商可能也提供支持這APINoSQL存儲系統(tǒng)，或者基于文件系統(tǒng)的數(shù)據(jù)庫（例如HDFS。：如，內(nèi)容分發(fā)網(wǎng)絡（CDNSaaS數(shù)據(jù)碎片。此過程需要大量數(shù)據(jù)，將其分解，然后將多個副本存儲在不同的物理存儲上，以yxPII絡監(jiān)控，集成現(xiàn)有網(wǎng)絡網(wǎng)關(guān)或監(jiān)控工具，甚至通過監(jiān)控DNS后，大部分產(chǎn)品通過可用的API（中間人監(jiān)控）提供對核準服務的活動的監(jiān)控。支持DLP（SaaS/PaaS/IaaS）中URL過濾器/網(wǎng)關(guān)不如CASB（或嘗試使用）Web（并查看SSLDLPSDKAPIDLP通過APISFTP用TLS;如果不是，選擇不同的提供商，因為這是一個基本的安全功能?；诖淼募用芸赡艿絀aaS服務的Web一個權(quán)限矩陣。授權(quán)矩陣記錄用戶、組和角色應該訪問哪些資源和功能。存儲（At-Rest）IaaS根據(jù)您的數(shù)據(jù)，可以使用不同的方法對IaaS例。代理處理所有加密操作，并且可以將密鑰保存在內(nèi)部或外部。PaaS由于有不同的PaaS，PaaS（TDE）SaaSSaaS消費者：密鑰管理（包括客戶管理的密鑰HSM：使用傳統(tǒng)的硬件安全模塊（HSM）或基于設備的密鑰管理器，這通常需要：這是云提供商提供的關(guān)鍵管理服務。在選擇此選項之前，請確保您了解安全模型和SLAHSM自己的密鑰來加密SaaSSaaS制的密鑰。有些可能允許您替換自己的密鑰與他們的加密系統(tǒng)集成。確保您的供應商的做法API和存儲訪問，因為數(shù)據(jù)可能會通過任一種方式公開-API個選項。確保將您的日志存儲在安全的位置，如專用日志記錄帳戶。云平臺/DLP的PaaS或IaaS它更適用于SaaS。CASB（CASB包括其保護的受制裁服務的基本DLP功能。CASBCASB工具還可以將流量路由到專用DLPCASB的DLP功能更強大的分析。：云提供商本身可以提供DLP功能，例如云文件存儲和協(xié)作平臺，可以與DLP一樣，這通常是一種員工安全控制，并不總是適用于云。由于所有DRMERM都基于加密，現(xiàn)有的工具可能會破壞云的功能，特別是在SaaS中。中之前對文件應用權(quán)限。如上所述，除非有某種集成（在撰寫本文時很少見，否則基于提供者的控制：通過使用本地功能，云平臺可能能夠強制執(zhí)行與完全DRM相似的是“合規(guī)的工件”;這包括您將擁有的任何審計工件。備份和業(yè)務連續(xù)性（見D6章建考慮CASB來監(jiān)控流入SaaSPaaSIaaS確保APINISTSP-800-57和ANSIX9.69和X9.73D12:云計算的出現(xiàn)，對于內(nèi)部系統(tǒng)的傳統(tǒng)IAM題，但在處理云的IAMM因此迫切需要擴展他們的。IAMIAM驗證的方式管理IAM仍然是一個挑戰(zhàn)，特別是在大規(guī)模應用的場景下。聯(lián)邦制以及其他的IAM技術(shù)在計算機出現(xiàn)之前就已經(jīng)存在了，隨著時間的推移，組織也隨著ITIAM系統(tǒng)進行修修補補。云計算是一個強制因素，自從使用了云以后，快速的推動了企業(yè)去面對其IAM實踐，針對與云的差異之處進行升級。這既帶來了機遇也帶來了IAM已經(jīng)取得了巨大的進步，但由于預算和遺留基礎(chǔ)設施的限制，許多組織只能在有限的案例IAM實踐的新基礎(chǔ)架構(gòu)上構(gòu)建新系統(tǒng)。IAM跨越本文檔中的每個域。本節(jié)首先對并非所有讀者都熟悉的一些核心術(shù)語進行快速回概IAM是一個廣泛的實踐領(lǐng)域，有其自身的專用術(shù)語，對于那些不是該領(lǐng)域的專業(yè)人士來說可能會令人困惑，特別是因為某些術(shù)語在不同的語境中有不同的含義（在IAM以外的領(lǐng)域中使用時。術(shù)語“IAM”不是通用的，并且通常被稱為身份管理（IdM。Gartner將IAM屬性：身份的各個方面。屬性可以相對靜態(tài)（如組織單位）或高度動態(tài)（IP地址，正在使用的設備，用戶使用MFA進行身份驗證，位置等。角色：在不同的語義中，身份可以有多個角色?！敖巧笔且粋€以許多不同的方式被稱為身份驗證因子的屬性Authn。（MFA是在云計算中管理IAM的核心。IAM標準。此外，雖然這部分看起來可能過分關(guān)注公有云，但相同的原則同樣適用于私有云;然而，因為組織可能對整個情況有更多的控IAM它使用XMLSAML，但是初始配OAuth是一種非常廣泛用于Web服務的IETF授權(quán)標準（包括消費者服務。OAuth旨在通過HTTP2.01.0OAuth2.0OAuth1.0是一些剛性要求，這意味著實施上可能存OpenID是聯(lián)邦認證非常廣泛支持的WebURLs的HTTP對身份提供商和用戶/1.0，它是消費服務場景中很常見。SAMLOAuth一起使用，因為它解決了問題的不同部分——即決定一個實體瀏覽器重定向到身份提供者獲取aaS（）的用戶名或密碼;它依賴于身份提供者來證實身份驗證成功。假如用戶通過內(nèi)部目錄成功進行身份驗aaSIaaS提供商，都有自己內(nèi)部IAM系統(tǒng)，但可能不使用任何這些標準，或連接到使身份協(xié)議必須在用例的上下文中進行分析。例如，基于瀏覽器的單點登錄，API密鑰在系統(tǒng)中管理和配置身份是信息安全數(shù)十年來致力于解決的問題。不久之前，IT管理員仍需要在每個不同的內(nèi)部系統(tǒng)中單獨配置用戶。即使在今天，通過集中式目錄服務器和一系列標準，真正的單點登錄仍然比較少見;用戶仍然管理一組憑據(jù)，盡管比過去的規(guī)模小得多。份管理問題的有限討論。并不是說這些領(lǐng)域不那么重要，在許多情況下，它們更重要，但它支持聯(lián)邦，以便組織不必手動配置和管理供應商系統(tǒng)Free-formvs.hubandHubandSpoke：內(nèi)部身份提供者/來源與集中代理進行通信，然后作為云提供商的聯(lián)邦在訪問云服務之前，可能需要用戶將VPN網(wǎng)絡邊緣甚至云端，以便啟用web-SSO。IAM基礎(chǔ)設施的正式流程。這包括建立任何所需聯(lián)邦連接的流程，以及：提供商則支持多個IAM標準和自己的內(nèi)部用戶/SAML協(xié)議。并且應該將MFA用一個API。權(quán)利將身份映射到授權(quán)和任何必需的屬性（zx訪問資源y我們使用IAM中的“A支持XACML（少見云平臺傾向于對基于屬性的訪問控制模型提供更大的支持，對于IAM，它比基于角色的訪問控制模型提供更大的靈活性和安全性。RBAC是傳統(tǒng)的模型，用于執(zhí)行授權(quán)，通常依賴于一個單一的屬性（定義的角色。ABAC允許更細的顆粒度以及結(jié)合語境的多12.1.4建MFA對于云計算，相對RBAC，應優(yōu)先考慮ABACD13:介供的安全服務。這些服務（SaaS或PaaS服務）不一定只用于保護云部署他們同樣有可SecaaS全的區(qū)別是非常重要的。通過這樣思考分析SecaaS潛在的好處和問題。性和彈性）SecaaS。與任何其他云提供商一樣，這些優(yōu)勢的大小取決于安全攻擊者的創(chuàng)新。因此，SecaaS提供商帶來了廣泛的領(lǐng)域知識和研究的好處，對于不僅。SecaaS提供商同時保護多個客戶，將有機會在客戶相互間共享信息情報和。SecaaS可能會更好地支持不斷發(fā)展的工作場所和云遷移，因為它本身就。在某些情況下，SecaaS可以在組織受到攻擊之前直接攔截攻擊，例如，垃圾郵件過濾和基于云的Web應用程序防火墻部署在攻擊者和組織之間。他們可以在SecaaS提供商可能不會公開如何實現(xiàn)自身。鑒于全球監(jiān)管要求，SecaaS供應商可