CSA 云安全指南V4

h t i g b u m o c . 5 CSA 云计算关键领域安全指南 v4.0 云计算关键领域安全指南 v4.0 的官方网址是：英文版： https://cloudsecurityalliance.org/document/security-guidance-for-critical-areas-of-focus-in-cloud-computi ng-v4-0/ 中文版：https://www.c-csa.cn 官方学习指南： m o c . 5 b u © 2017 Cloud Security Alliance – All Rights Reserved All rights reserved. 你可以下载、存储、显示在你的电脑上,查看,打印，以及链接到云计算关键领域安全指南 v4.0 h t i g https://cloudsecurityalliance.org/document/V4.0security-guidance-for-critical-areas-of-focus-in-cloud-co mputing-v4-0 /, 以下主题:(a)报告可用于个人，信息,非商业用途;(b)报告不得修改或以任何方式改变;(c)报告不得重新分布;(d)商标,版权或其他条款不可被删除。根据美国版权法的合理使用条款，如果你将引用部分归为云计算关键领域安全指南 v4.0，那么你可以引用报告的部分内容。 Security Guidance v.4 © Copyright 2017, Cloud Security Alliance. All rights reserved Confidential for CSA members only — NOT FOR DISTRIBUTION 2 CSA 云计算关键领域安全指南 v4.0 中文版翻译说明 CSA 云计算关键领域安全指南 v4.0 由 CSA 大中华区研究院组织志愿者进行翻译。参与翻译工作专家名单： D1 及前面部分由高轶峰、张全伟、洪毅翻译，D2 由王永霞翻译，D3 由刘剑、白阳翻译，D4 由陈皓翻译，D5 由牛志军翻译，D6 由李建民翻译，D7 由孙军、刘永钢、陈光杰翻译，D8 由王红波翻译，D9 由黄远辉翻译，D10 由耿万德翻译，D11 由任兰芳翻译，D12 由姚伟翻译，D13 由黄远辉、马超翻译，D14 由邹荣新翻译。 m o c . 5 参与审校工作工作专家名单： D1 及前面部分由顾伟、王朝辉审校，D2 由李建民审校，D3 由刘剑、白阳审校，D4 由耿万德审校，D5 由陈皓审校，D6 由王永霞审校，D7 由孙军、刘永钢审校，D8 由姚伟审校，D9 由王红波审校，D10 由牛志军审校，D11 由张全伟审校，D12 由任兰芳审校，D13 由黄远辉审校，D14 由高轶峰审校。合稿审核：郭剑锋、叶思海、刘文宇、李雨航、杨炳年。 b u 全文由郭剑锋、叶思海负责组织和统稿。 h t i g 在此感谢参与翻译工作的志愿者。由于翻译时间仓促，存在很多不足的地方，请大家批评指正。欢迎大家提供修改意见，可发送邮件到下面邮箱：info@china-csa.org。 Security Guidance v.4 © Copyright 2017, Cloud Security Alliance. All rights reserved Confidential for CSA members only — NOT FOR DISTRIBUTION 3 CSA 云计算关键领域安全指南 v4.0 前言欢迎来到云安全联盟关于云计算关键领域安全指南的第四个版本。云计算的兴起是一项不断发展的技术，它带来了许多机遇和挑战。通过这个文档，我们的目标是提供指导和灵感来支持业务目标，同时管理和减轻采用云计算技术相关的风险。云安全联盟促进了在云计算领域内提供安全保证的最佳实践，并为寻求采用云计算模式的组织提供了一个实用的、可执行的路线图。云计算关键领域安全指南的第四个版本是建立在之 m o c . 5 前的安全指南、专门地研究、云安全联盟成员、工作组以及我们社区的行业专家的公开参与之上的。该版本集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。 b u 安全云计算的发展需要来自广泛的全球分布式利益相关方的积极参与。CSA 汇集了不同的行业合作伙伴、国际机构组织、工作组和个人。我们非常感谢所有为这次发布做出贡献的人。 h t i g 请访问 cloudsecurityalliance.com，了解您如何与我们合作，确定并促进最佳实践，以确保有一个安全的云计算环境。 Best Regards, Luciano (J.R.) Santos Executive Vice President of Research Cloud Security Alliance Security Guidance v.4 © Copyright 2017, Cloud Security Alliance. All rights reserved Confidential for CSA members only — NOT FOR DISTRIBUTION 4 CSA 云计算关键领域安全指南 v4.0 致谢 Lead Authors Rich Mogull James Arlen Adrian Lane Gunnar Peterson Mike Rothman David Mortman m o c . 5 Editors Dan Moren John Moltz b u CSA Staff Jim Reavis Luciano (J.R.) Santos Daniele Catteddu Frank Guanco Hillary Baron Victor Chin Ryan Bergsma Stephen Lumpe (Design) h t i g 编著者我们谨代表 CSA 董事会和 CSA 执行团队，感谢所有为 CSA 云计算关键领域安全指南提供时间和反馈的个人。我们珍视您的志愿者贡献，相信像您这样的志愿者将继续引领云安全联盟走向未来。 Security Guidance v.4 © Copyright 2017, Cloud Security Alliance. All rights reserved Confidential for CSA members only — NOT FOR DISTRIBUTION 5 CSA 云计算关键领域安全指南 v4.0 CEO 的来信我对这个社区的云安全最佳实践的最新贡献感到非常激动，这一实践始于 2009 年 4 月发布的云安全联盟最初的指导文件。我们希望您能仔细研究这里列出的问题和建议，与您自己的经验相比较，并向我们提供您的反馈。非常感谢所有参与这项研究的人。最近，我有机会与帮助建立云安全联盟的一位行业专家共度一天。他表示，CSA 已经完成了最初的任务，即为了证明云计算可以安全，并提供必要的工具来实现这一目标。CSA 不仅帮助云计算成为信息技术的可靠安全选择，而且今天的云计算已经成为 IT 的默认选择，并且正在 m o c . 5 以非常深远的方式重塑现代商业世界。云计算的巨大成功和 CSA 在引领受信任的云生态系统方面的作用，给我们的新使命带来了更大的挑战和紧迫感。云现在已经成为各种计算形式的后端，包括无处不在的物联网。云计算 b u 是信息安全行业的基础。集装箱(容器)化和 DevOps 等等在组织内的 IT 新常态，已经与云计算密不可分，加速了我们的变革。在云安全联盟中，我们致力于为您提供在高速发展的 IT 环境中您 h t i g 所需的必要的安全知识，让您保持在新时代质量保证和信任趋势的前沿。总之，我们欢迎你们加入我们的社区。 Best Regards, Jim Reavis Co-Founder & CEO Cloud Security Alliance Security Guidance v.4 © Copyright 2017, Cloud Security Alliance. All rights reserved Confidential for CSA members only — NOT FOR DISTRIBUTION 6 CSA 云计算关键领域安全指南 v4.0 目录 D1: 云计算概念和体系架构..................................................................... 8 D2: 治理与企业风险管理........................................................................30 D3: 法律问题，合同和电子举证........................................................ 40 D4: 合规和审计管理..................................................................................55 D5: 信息治理................................................................................................. 62 m o c . 5 D6: 管理平面和业务连续性............................................................................. 69 D7: 基础设施安全............................................................................................. 80 D8: 虚拟化和容器............................................................................................. 95 b u D9: 事件响应............................................................................