概述 

來自英國NCSC 的云安全方法

關(guān)于云技術(shù)有一些模棱兩可的術(shù)語，因此值得花一些時間來定義一些常見術(shù)語。當我們談論“云”、“云服務”或“云計算”時，我們的意思是：

“一種按需、大規(guī)模可擴展的服務，托管在共享基礎(chǔ)設(shè)施上，可通過互聯(lián)網(wǎng)訪問。典型的服務提供數(shù)據(jù)存儲、數(shù)據(jù)處理和預構(gòu)建功能，例如日志記錄。

這遵循NIST 對云計算的定義，以確定云服務的共同特征。

云服務可以分為兩大類：

• 預構(gòu)建的云服務，解決業(yè)務問題；這些通常稱為軟件即服務或 SaaS
• 提供用于構(gòu)建服務以解決業(yè)務問題的組件的云平臺；此旗幟下的服務包括平臺即服務 (PaaS)、基礎(chǔ)設(shè)施即服務 (IaaS) 和無服務器組件

了解云服務部分更詳細地介紹了各種類型的云，以及有關(guān)其部署、安全和管理模型的信息。

云中的安全性

公共云服務的規(guī)模可以帶來許多安全優(yōu)勢以及眾多的功能優(yōu)勢。然而，大多數(shù)云服務的共享性質(zhì)可能會讓您很難清楚地了解采用服務時將面臨的風險。

本指南將幫助您：

• 評估公共云服務的安全性
• 確定它們是否適合您的預期用途

為此，您必須首先了解服務提供的分離措施。您還需要清楚地了解服務安全運行的責任平衡（和提供商之間）。

如果您要使用云平臺構(gòu)建服務，則需要很好地了解在此設(shè)置中通常如何處理加密技術(shù)。我們的云加密指南涵蓋了所涉及的所有術(shù)語和技術(shù)。

大多數(shù)概念同樣適用于混合云、多云和一些較大的私有云部署。有關(guān)服務部署模型的部分涵蓋了這些不太常見的云部署類型的一些額外注意事項。

我們關(guān)于安全使用云服務的指南包括您在構(gòu)建云平臺之前需要采取的一些操作，以及保護軟件即服務 (SaaS) 應用程序的安全。

致力于云安全

從項目一開始就考慮網(wǎng)絡(luò)安全，效果最佳。嘗試在最后一刻添加安全性可能會產(chǎn)生不可預測（且昂貴）的結(jié)果。

當完全集成到合適的開發(fā)流程中時，本指南中的建議將產(chǎn)生最佳結(jié)果。我們建議的方法包括以下四個步驟。按順序完成這些操作將幫助您確定適合您的預期用途的安全云服務。

1.了解業(yè)務需求

您應該首先了解云服務的預期用途，以及將在其中存儲和處理的數(shù)據(jù)。我們建議在識別和管理網(wǎng)絡(luò)安全風險時參考 NCSC 的風險管理指南。

2.選擇滿足需求的云提供商

我們的云提供商選擇指南介紹了如何使用以下任一方法選擇合適的云提供商：

如果要對云服務進行商業(yè)招標，我們建議要求投標中包含對云安全原則的響應。 

“物有所值”永遠是選擇服務時考慮的因素。某些云服務具有不同價格的許可證，這些許可證具有不同的安全功能（例如單點登錄或強制多重身份驗證）。應該確保獲得的許可證報價包含滿足您安全需求的服務。

·云安全原則，或

·云安全的輕量級方法

3.安全使用云服務

選擇云提供商后，您應該了解使用該服務或平臺時的安全責任。所有云服務都需要您應用某種配置來確保其符合您的需求；云服務完全“默認安全”是不尋常的。我們在安全使用云服務指南中概述了您應該采取的最重要的操作。 

選擇云提供商后設(shè)計您的服務架構(gòu)將使您能夠充分利用服務中內(nèi)置的本機安全技術(shù)。 

許多公共云服務都會發(fā)布安全良好實踐指南、示例架構(gòu)和配置基線來幫助您入門。

4.持續(xù)監(jiān)控和管理風險

使用后，請定期檢查該服務以及您使用該服務的方式是否仍然滿足您的業(yè)務和安全需求，您也應該不時進行檢查。