2025云深不知处,合规是归途——云安全合规建设最佳实践白皮书
AI智能总结
云安全合规建设最佳实践自皮书 亚马逊云科技ISACA 由亚马逊云科技与ISACA中国联合撰写 声明: 或其关联方(“亚马逊云科技”)分别撰写,双方就各自撰写的内容分别、独立享有相关知识产权。其中ISACA中国负责第一章1.1、第四章,单独享有该部分的知识产权;亚马逊云科技负责第一章1.2、1.3部分,第二章、第三章,单独享有该部分的知识产权。 关于ISACA中国部分的声明:ISACA中国设计并编制了本白皮书中“云安全治理建设部分”(下称“作品”),主要用作专业人员的学习资料。ISACA中国无法保证使用本作品就一定能够实现成功的结果。本作品不应被视为包含所有适用的信息、程序和测试,不排除在其它信息、程序和测试的合理指导下获得同样结果的可能。在确定任何具体信息、程序或测试的适宜性时,专业人员应就具体的情况(特定的系统或信息技术环境)做出自己专业性的判断。 关于亚马逊云科技部分的声明:本部分内容陈述了亚马逊云科技在封面页所示日期的有关服务产品及实践,该等信息可能变化且我们不会另行通知。客户对于本部分的信息以及亚马逊云科技的产品或服务应自己做出独立的判断,该等内容都是“依现状”提供,不包含任何明示或者暗示的保证。本部分内容并没有创设来自亚马逊云科技或其关联方、提供方或许可方的任何保证、陈述、合同性承诺、条件或者担保。亚马逊云科技对其客户的义务和责任均由适用的客户协议管辖。本部分内容不是亚马逊云科技和其客户之间任何协议的组成部分,也不构成对任何协议的修改。在中国大陆区域,亚马逊云科技中国(宁夏)区域和亚马逊云科技中国(北京)区域严格按照中国法律法规的监管要求依法合规经营。亚马逊云科技向西云数据和光环新网提供行业领先的技术、指导和专业知识,西云数据和光环新网运营并向本地企业提供亚马逊云科技云服务。 编写指导蔡俊磊ISACA中国技术委员会主席江学森首席安全布道师 开发小组成员陈家慧亚马逊云科技朱自强亚马逊云科技王亿骐万豪国际集团 首席开发人员季莹亚马逊云科技 目录 Tavle of Contents 云深不知处合规是归途云安全合规建设最佳实践白皮书01 第二章云原生安全技术服务11 前言03 第一章云安全治理建设03 第三章云安全服务最佳实践17 1.1云安全治理体系1.2安全责任共担模型1.3云安全管理和成熟度模型 3.1 多账号管理18 3.2数据边界防护23ISACA 3.3安全合规检测29 3.4威胁检测和自动修复32 第四章云安全合规审计能力建设CCAK35 尤其是在云环境快速变化、新技术和服务不断涌现以及越来越多企业使用多云环境的大背景下。 前言 云上安全合规建设的挑战 虽然越来越多的企业开始关注并部署不同厂商的安全工具来解决云环境下的安全和合规问题,但一方面这些工具缺乏互联互通难以实现统一的安全管理,对安全策略的集中管理和自动化执行带来了很大挑战;另一方面,云服务具有高度的灵活性,用户可以根据需求随时创建和删除资源,这也使得安全策略难以实施和管理,而云环境中存在大量的API接口和自动化工具,攻击者也可以轻松利用这些接口开展攻击并快速在云环境中横向移动以扩大攻击范围。这使得企业在云安全建设中需要投入大量的资金来应对这些安全痛点,同时还需要对安全人员进行相应的培训和认证,所有这些都极大增加了企业内部的安全成本,但很多时候仍无法有效控制云安全风险。 随着数字经济的蓬勃发展,在商业世界中越来越多企业拥抱云计算,这一趋势在全球范围内尤其明显。而在中国,政府也高度重视云计算技术在数字中国建设过程中的作用,在云计算建设、技术、安全和管理等方面颁布了一系列支持政策。商业机构可以通过使用云计算技术,优化资源使用效率,提升技术投入产出,更好支持数字化转型进程。 与此同时,在云计算技术提供巨大优势的同时,也带来了重大挑战,包括复杂的安全性管理、不断变化的合规性要求以及日益严峻的云安全威胁形势。在监管合规方面,中国监管对于云计算安全合规制定了一系列法律、法规、行业标准和技术规范,在法律层面,《网络安全法》、《数据安全法》以及《个人信息保护法》分别对于云平台基础设施安全、云环境中的数据安全和隐私保护等提出了明确要求,而在政策法规和标准指南方面,包括《信息安全技术一一云计算服务安全指南》、《信息安全技术一云计算服务安全能力要求》和《云计算服务安全评估办法》等也明确对提供和使用云计算技术的各方提出了具体安全合规要求和指引,包括适当的技术和组织管理措施来确保云安全合规。 为了更好应对以上云上安全合规建设的诸多挑战,ISACA中国联合亚马逊云科技,共同开发了本白皮书,以亚马逊云科技的原生安全服务为例,以提供云安全建设最佳实践思路为切入点,聚焦云治理、管理和技术手段相结合的建设思路,帮助云安全领域的从业人员在企业内部开展云安全合规建设过程中,明确安全责任并制定清晰的云安全责任共担模型,建立完善的云安全管理体系包括云安全策略、流程和标准等,优先采用云原生安全方法和工具,将安全融入到云应用的整个生命周期。重点解决云环境中的数据泄露风险、权限管理痛点、事件响应难点以及合规基线配置有效落地等具体问题。 而另一方面,云计算相关的网络攻击数量近几年明显增加,2023年云相关的网络攻击增加48%,平均每家企业每周遭受超过1000次的云端攻击,79%的企业至少经历一次云安全事件,而识别和控制云环境中的数据泄露平均需要277天。而在应对和响应云环境下的安全事件,也远比在传统自建数据中心的模式下,对企业的挑战更大, 参考《2024云安全洞察报告:趋势与策略》 云安全治理体系1.1 云安全治理体系是为确保云环境安全而制定的一套策略、流程、组织架构和技术措施的框架。它旨在帮助企业在云环境中有效管理安全风险,保障业务数据的机密性、完整性和可用性。以下是一些重要的云安全治理模型要素: 1)明确安全责任: 。云安全治理模型首先要明确云服务提供商和企业在安全方面的责任边界。。责任共担模型是云安全治理的基础,它清晰地界定了哪些安全责任由云服务提供商承担哪些安全责任由企业承担。·企业需要负责配置和管理其云服务,包括数据加密、访问控制、身份和访问管理等,而云服务提供商则负责基础设施的安全,例如物理安全、网络安全等。 第一章云安全治理建设 2)制定安全策略和标准: :云安全治理模型需要制定一套全面的安全策略和标准,以指导企业在云环境中的安全实践、安全策略应涵盖数据安全、访问控制、身份管理、安全监控、事件响应等方面。·安全标准应参考行业最佳实践和相关法规要求,例如ISO27001、NISTCybersecurityFramework等。 3)建立安全组织架构: ,云安全治理模型需要建立一个明确的安全组织架构,以确保安全责任的落实和安全策略的执行。 安全团队需要具备专业的云安全知识和技能,并与开发、运维等团队紧密合作。,企业可以设立专门的云安全团队,或者将云安全职责分配到现有的安全团队中。 4)实施安全技术措施: ·云安全治理模型需要实施一系列安全技术措施,以保障云环境的安全。 这些措施包括但不限于: 身份和访问管理:控制用户对云资源的访问权限,防止未经授权的访问。数据加密:对敏感数据进行加密,即使数据泄露也无法被读取。安全监控:实时监控云环境中的安全事件,及时发现和响应安全威胁。漏洞管理:定期对云环境进行漏洞扫描和修复,降低安全风险。安全审计:定期对云安全措施的有效性进行评估,并进行必要的改进。 5)建立安全意识和文化: .云安全治理模型需要培养员工的安全意识和安全文化。·企业应定期对员工进行安全教育培训,提高员工的安全意识,并建立良好的安全文化,共同维护云环境的安全。 而ISACA推出的 Control Objectives for Information and Related Technologies(“COBIT”)框架虽然是一个通用的IT治理和管理框架,但也可以用于指导企业评估云计算的商业价值与风险。COBIT所定义的治理和管理流程,涵盖了整个云计算的生命周期,包括原则、政策和框架;流程;组织结构;文化、道德和行为;信息;服务、基础设施和应用程序;人员、技能和能力。这些因素共同影响云计算治理和管理的成效。COBIT5框架可以通过一系列的评估步骤,帮助企业进行云计算的评估和控制,包括确定云计算的目标和价值、识别适用的合规性法规、与利益相关者核实目标和价值、将云计算与传统IT进行比较、制定详细的商业案例等。COBIT框架中还包含一些与云安全相关的流程实践,例如: ·APO10管理供应商:确保云服务提供商符合企业安全要求。·MEA02监控、评估和评估内部控制系统:评估云安全控制措施的有效性。·MEA03监控、评估和评估对外部要求的遵守情况:确保云服务符合相关的法律法规和合规性要求。·BAI01.03管理利益相关者参与:与利益相关者沟通云安全目标和责任。 1.3云安全管理和成熟度模型 1.2安全责任共担模型 除了建立良好的云安全治理体系,以及理解云安全责任共担模型以外,完善的云安全管理流程也是确保云安全控制得以有效落地的重要组成部分。ISACA的COBIT框架在风险评估和管理、合规性管理、身份和访问管理、安全监控和事件响应、数据安全、应用安全、供应链安全、架构和设计、资源管理、预算和成本、变更管理、配置管理和业务连续性等方面均开发了云安全管理的最佳实践用于指导企业在云安全的日常运营过程落地安全控制措施。 明确安全责任是云安全治理工作的第一步,同时也是企业的一大挑战。企业和云服务提供商需要明确各自的责任,并采取相应的措施来履行这些责任。 亚马逊云科技采用“安全责任共担模型”,亚马逊云科技负责云自身的安全,企业负责云中自身业务的安全,亚马逊云科技通过提供多层次的安全防护服务帮助企业提升云中的安全防护。亚马逊云科技“安全责任共担模型”不仅使企业能够继承亚马逊云科技基础设施和云服务的安全性,也能助力企业降低客户管理、运营底层基础设施的复杂性并节省成本。具体而言: 1.3.1云安全建设路径 当然有效的云安全管理实践并不是一而就的,而亚马逊云科技发布了安全成熟度模型,为企业提供了一个全面、系统的框架,帮助评估和改进云安全实践。企业可以使用它全面评估当前的安全状况,制定明确的改进路径,提升安全管理的成熟度,系统构建可靠的云安全体系,以降低安全风险,满足合规要求。 ·亚马逊云科技负责云自身安全,包括其底层基础设施和云服务,企业可继承亚马逊云科技的安全性,在安全的云环境中开展业务。亚马逊云科技负责运行、管理和控制从主机操作系统和虚拟层到服务运营所在设施的物理设备以及提供的云服务的安全。 。企业负责云中自身业务的安全,包括选用哪个区域、使用哪种服务、访问控制的授权、安全防护的手段等。企业的安全责任在使用亚马逊云科技不同服务时会有所不同。例如,使用AmazonElasticComputeCloud(AmazonEc2)服务,需负责操作系统(包括更新和安全补丁)的管理、在实例上安装的任何应用程序软件或实用工具,以及每个实例上配置亚马逊云科技提供的防火墙(称为安全组)的配置。若使用如AmazonS3和AmazonDynamoDB等托管服务,则由亚马逊云科技运营基础设施层、操作系统和平台,企业仅需负责管理其数据(包括加密选项),对其资产进行分类,以及使用IAM工具分配适当的权限。 第一阶段-快速制胜:通过利用原生安全服务,可以在一周内完成账号及服务的基本防护,助力账号安全; ·第二阶段-基线配置:这一阶段的安全服务配置的时间和程度比第一阶段稍长,但是是助力业务安全的重要手段; 。第三阶段-持续高效:安全从来不是一而就的,通过多种全托管服务实现高效的安全管理能力; :第四阶段-日臻完善:将安全嵌入到整个系统和业务中,实现端到端的安全交付。 用户为云中的安全负责,包括:选用哪个区域,使用哪种服务,访问控制授权,安全防护手段 云中的安全 亚马逊云科技负责保护云基础架构的安全,以及所提供的各
