云計算安全治理與風險管理

一.云計算安全治理與風險管理

1.1 治理

管理云計算時要記住 的首要問題是，一個組織永遠不能外包治理的責任，即使是使用外部供應商的情況下。 無論采用云計算或不采用云計算服務，這都是正確的

云計算影響治理關系：

在公有云及托管私有云的情況下，要引入對第三方過程管理

在私有云的情況下可能改變內部的治理結構

1.2 云治理工具

與任何其他領域一樣，也有用于治理的特定管理工具。下列幾項側重于外部云服務提供者的管理工具，但這些工具通常也可以運用在在內部私有化部署的環境下

1.2.1 合同

管理的主要工具是云提供商和云客戶之間的合同(對公有云和私有云都一樣)

合同是把一切都變成法律條款，從而保障任何服務水平或承諾不會違約的唯一方式。

合同是將治理擴展到業務合作伙伴和服務提供者的主要工具。

1.2.2 供應商（云提供商）評估

這些評估是云客戶利用可用的信息和允許的流程/技術， 來對潛在的云提供商進行考核的方法。

1.2.3 合規報告

合規報告包括供應商內部(即自身)和外部合規評估的所有文件

“云安全聯盟 STAR 注冊”可以用來看做是一種保證程序，它提供了一系列文件 注冊表信息，供云提供商基于 CSA

的云控制矩陣(CCM)和(CAIQ)開展通用評估 的報告。一些云服務提供商還披露額外的認證信息和評估文件(包括自我評估)。

二. 企業風險管理

2.1 企業風險管理

企業風險管理(ERM)是組織對所有類型風險的全面管理。與治理一樣，合同定義了云服務提供商和云客戶之間的風險管理的角色和職責。

與治理一樣，你永遠不能外包你的整體責任，你必須承擔對外部供應商的風險管理的職責

云環境下，風險管理是基于責任共享模型的，對某些風險來說，云提供商承擔一定的責任，而云客戶要承擔比這個范圍更 大的風險責任。云客戶對風險的所有權負責，他們只是向云服務提供商的傳遞了一些風險管理的要求。

遷移到云端不會改變你的風險承受能力，它只 是改變了管理風險的方式。

2.2 服務模式和部署方式的影響

不僅需要考慮選擇不同的云服務提供商，而且在云服務的交付模式上，也必須注 意不同的服務模式和部署模式是如何影響風險的管理、治理和能力的。

2.2.1 服務模式

軟件及服務Saas

合同談判的重要性都是SaaS服務最明顯的例子

平臺即服務Pass

客戶必須在確定云服務商的合同約定方面，有效地提出了控制或支持所需的水平能力，以滿足治理或風險管理的要求，同時PAAS提供商需收集一些必要的數據來證明符合SLA要求的達成情況

IAAS基礎設施服務

基礎設施即服務的云模式最接近傳統的數據中心服務(甚至就是一個傳統的外包 管理數據中心服務

2.2.2 部署方式

公有云環境

運維治理能力減少，流量，日志等運行商不會公布，在用戶看來，相對應的資金投入會進行減少。

合同談判能力減少（標準化的產品只能按照云提供商的定義而定義，沒有可談判的空間，以同樣的合同模板應對多租戶的需求是公有云的自然屬性云供應商不能調整為每一個 云客戶運行使用一套流程，定制一組資源的合同和操作。適應不同的客戶需求，是會增加成本的;云供應商需要權衡，而且這往往是使用公有云和私有云之間的分界線。

舉一個例子：類似航運服務。當你使用一個普通的運營商/供應商，你無法定義他 們的業務模式。而你需要把你的敏感文件包委托給他們交付，希望他們履行安全義務， 并滿足預期的服務水平協議要求共享責任模型

私有云環境

組織內部的私有云的治理模式一般是通過內部服務水平協議(企業或其他組織單 位)并提供訪問云服務和計費的模式。

公共云并不是影響風險治理的唯一模式，私有云也會產生影響。如果一個組織允許第三方擁有和/或管理私有云(這是很常見的)，這種情況下的風險治理情況與任何 其他的外包供應商都是類似的。通過合同中規定雙方的義務和責任是非常重要的。

社區/混合云環境

在考慮混合云環境時，治理策略必須考慮由云提供商的合同和該組織的內部治理 策略共同組成的最小的公共控制措施集。云消費者同時采用兩個云環境或數據中心的 服務。在這兩種情況下，整體治理是這兩種模式的交集

由于社區云是多個組織共享的不對外開放的平臺，它的治理延伸到各個社區成員 之間的關系，而不僅僅是云供應商和云客戶。混合了公有云和托管私有云的治理要求，可以利用合同和其他治理工具，參考一定規模的公有云提供商的模式，但是基于社區 的方式進行調整，如托管私有云模式。這也包括社區成員關系，財務關系，以及如何 響應成員離開社區時的控制方式。

2.2.3 云風險管理的權衡

少：

需要管理提供接受的風險

管理控制資產

多：

依賴SLA和合同

管理好供應商的關系并保持最新

用評估代替測試

2.3 云風險管理的工具

風險管理的核心方法依然是管理、轉移、接受或規避風險，但一切都應從正確的評估開始。

2.3.1 對供應商的評估為云風險管理計劃奠定了基礎:

請求或獲取的文件。

審查其安全程序和文件。

審查供應商和相關的任何法律、法規、合同和管轄要求。

在你的信息資產范圍內評估合同中的服務要求。

評估云提供商的整體情況，如財政穩定，信譽，和外包商管理等。

不要假定來自某一特定提供商的所有服務都符合相同的審核/評估標準，它們是會 變化的。

如果可能的話，應定期安排評估或采取自動評估的方式。

2.3.2 相關建議

根據選定的云部署和服務模型確定安全和風險管理的責任共擔模型

參考相關行 業最佳實踐、國際標準和法規，開發一個云治理框架/模型，例如 CSA CCM、COBIT 5、NIST RMF、ISO /

IEC 27017、HIPAA、PCI DSS、歐盟 GDPR 等。

了解合同是如何影響您的治理框架/模型的

在簽訂協議之前獲得和審查合同

不要假設您可以有效地與云提供商協商合同，但這也不一定阻止您使用該提供商。

如果合同不能有效協商，并且你認為具有無法接受的風險，那么考慮采用其他機制來管理這種風險(例如監控或加密)。

云提供商應提供云客戶所需的文檔和報告。例如，CSA STAR 注冊表。

風險要求應與所涉及的具體資產和這些資產的風險承受能力相一致。

建立一種具體的風險管理和風險接受/緩解方法，以評估每個解決方案的風險。

控制剩余風險。如果仍然存在剩余風險，選擇接受或規避風險。

基于資產類型(例如與數據分類相關聯)、云的使用情況和管理情況，使用工具跟蹤已批準的供應商。

三.法律問題，合同和電子舉證

法律問題

適各大洲的國家都建立了有時相互沖突的數據保護制度。 這樣的結果就是，在多個地區運營的云提供商和云用戶難以滿足合規性要求。在許多 情況下用的法律要求應針對不同司法管轄區域，最廣泛的吸收多種法律主體和框

云服務協議(合同)

云合同的目的是準確地描述各方的理解。眾多的注意事項和措施可以減少當事人 使用云服務中暴露在法律，商業接觸，和聲譽風險的不利影響。

電子舉證

云計算將成為訴訟或調查中所需要的電子化存儲信息的倉庫，云服務提供商 和他們的客戶必須仔細規劃如何識別案件涉及的所有文檔，為了能夠滿足聯邦民事訴 訟規則中電子證據發現條款的嚴格要求，各州也要與這些法律條款相吻合。

四.合規和審計

4.1 云計算上的合規和審計挑戰

當組織將其業務從傳統數據中心遷移至云計算數據中心之時就將面臨新的安全挑戰。其中最大的挑戰之一即遵從眾多監管條例對交付、度量和通信的合規約束。

云計算所擁有的分布式和虛擬化的特性，使得原本基于確定目標和物理實 體的信息和過程的監管方法需要進行 重大的框架調整。云服務供應商和用戶以及監管和審計機構在面對組織合規性的外部審計時面臨很大挑戰

理解云計算與監管環境的相互關系將是任何“云”戰略的關鍵因素。云計算用戶、審核機構和供應商務必考慮并且理解以下幾點:

針對特定的云服務或者服務提供商的監管的影響，對適用跨境或者多管轄權的事例給予特別關注。

云服務提供商和客戶的合規責任分配，包括間接提供商(如:你所采用云服務提供商的云服務提供商)。這包括合規繼承的概念，其中提供商可能有他們服務的 一部分被認證為合格，這部分可以從客戶的審核范圍中剔除，但客戶仍然對建立 在頂層的供應商的合規性負責。

云服務提供商證明其合規的能力，包括及時的文檔生成、證據產生以及過程合規性。

一些附加的云服務特定的問題需要特別關注，包括以下幾點:

1.供應商審核和認證的作用以及如何影響客戶審核(或評估)范圍。

2.了解云提供商的哪些功能和服務屬于審核和評估的范圍。

3.隨著時間的推移管理合規性和審計。

4.與可能缺乏云計算技術經驗的監管和審核機構合作。

5.與可能缺乏審核或合規性經驗的供應商合作。

4.2 云對合規的改變

合規性在云服務中是一個共享責任模式。云服務供應商和客戶都 有責任，但客戶始終對自己的合規性負責。這些責任是通過合同、審核/評估和具體的 合規性要求的細節來確定的

4.2.1 準入型審計

許多云供應商被各種法規和行業要求認證，準入型審計是合規性繼承的一種形式。在這個模型中，云供應商的所有或者某些基礎設施和服務依照合規標準進行審核。供應商承擔這些認證的成本和并維護認證。對供應商進行審計，包括準入型審計，都需要了解其局限性:

這些審計證明供應商是合規的。

在云服務上建立合規的應用程序和服務仍然是客戶的責任。

這意味著供應商的基礎設施/服務不在客戶審核/評估范圍之內。但客戶建立自己的一切仍在審計范圍內。

客戶為他們自己所建立和維護的，承擔最終的合規責任。

云計算的元結構可能跨越司法管轄區，數據/資產則不能，這必須納入合規活動

4.2.2 相關建議

合規、審核和保證應該是持續性的。

云供應商應該：

清楚地傳達他們的審計結果、認證和證明

云供應商必須隨時間變化維護其認證/證明并主動溝通任何狀態變化。云供應商應參與持續遵守措施，避免為客戶造成任何差距，從而暴露風險。

為客戶提供通常需要的合規所需的證據及文件，如客戶不能自行收取的管理活動日志

云客戶應該：

在部署、遷移或開發云技術之前，明確全部合規義務。

評估提供商的第三方認證和認證，并將其與合規性要求保持一致。

了解評估和認證的范圍，包括涵蓋的控制和系統特性/服務。

嘗試選擇具有云計算經驗的審核人員，尤其是當準入型審計和認證會被用于客戶審計范圍的情況下。

確保他們了解供應商提供的合規性證據，并有效地收集和管理這些證據。當供應商的證據不充足時，創建和收集自己的證據。

云安全聯盟云控制矩陣可以支持提供云供應商的注冊表、相關的遵從性要求以及當前的狀態。

五.CSA 工具

5.1 CCM、CAIQ簡介

CCM

CMM(云安全控制列表)分為 16 個域，133 個控制項。CCM 將云安全控制映 射到通用的合規框架、法規和標準，為這些控制構建通用語言。(包括標準 HIPAA/HITECH, PCI, …)，它有助于構建云安全需求列表，并幫助您評估和部署程序， 同時指導云服務提供者和云消費者。總的來說:CCM 告訴你做什么，而指南告訴你怎 么做。

云計算 等保合規

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。