需要考虑的云安全标准和框架

云计算是非常复杂的。无论企业是保护财务数据，还是管理DevOps团队，每个云环境都是独一无二的。拥有多种应用程序和不同云服务提供商的多云环境，会带来巨大的安全挑战。不过，……企业可以通过采用合适的云安全标准来应对这一网络安全挑战。

行业专家和监管机构已经制定了云安全的标准和框架。提供符合监管要求的、针对云资源保护的现成建议和指南。因此，没有必要自行设计云安全架构。遵循现有的专业框架来构建安全体系才是更好的策略。

本文将探讨云安全标准与框架的工作原理。此外，文章还将介绍主要的云安全组织，并介绍一些最受欢迎的云安全框架。

主要要点/关键信息

• 云安全标准至关重要：遵循确保基于云的资源安全的最佳实践非常重要，同时还需要根据这些指导原则来满足各种监管要求。
• 选择正确的标准：将标准与您的业务需求以及合规要求相结合是非常重要的。
• 主要的标准组织和框架像NIST、ISO和CIS这样的机构，提供了具体的框架来提升云安全水平，这些框架能够满足各种需求以及各种法规要求（例如GDPR、HIPAA等）。
• 遵守规定是必须的。忽视云安全标准会带来严重的后果，包括数据泄露、声誉受损，以及巨大的财务和监管方面的处罚。
• 实施云安全的最佳实践：明确自己的责任与云服务提供商的责任；管理访问权限；确保数据被加密处理；同时，及时了解相关的合规性和安全政策，这些都是非常重要的步骤。
• 找到最适合您企业的解决方案/产品请仔细审查您的云服务提供商的相关标准，与内部IT专家进行协商，借鉴技术机构的指导建议。同时，根据您的业务需求和监管要求来制定您的云安全目标。

什么是云安全标准呢？

云安全标准是指包含云安全最佳实践的文件。这些标准由专业的机构制定，它们提供了来自学术界、企业界以及监管机构的实用指导。这些指导有助于读者实施有效的云安全控制措施。

云安全标准有很多种。其中一些标准涉及到安全性方面的问题。与重要法规相关的框架/体系例如，它们可以提供符合GDPR或HIPAA法规的最佳实践。像ISO这样的国际组织也提供了相关标准。这些标准旨在提高全球的安全水平，并应对网络安全领域的变化。

由于存在如此多的竞争标准，选择合适的云安全标准并不总是容易的事情。因此，了解各种选项是很重要的。而选择适用于你所使用的基于云的服务的安全标准则需要一些时间。

云安全标准的重要性

云安全标准非常重要，因为……保护云中的资产是一件非常复杂的事情。许多企业在应对这些挑战时都面临着困难。理解这种共同负责的模式。他们需要了解云服务提供商所负责的安全领域，以及那些由用户自己负责的安全领域。

企业必须知道如何安全地将数据和应用程序迁移到云端。数字化转型可能会带来安全方面的隐患。在将数据迁移到云端或使用云平台的过程中，数据可能会面临被泄露的风险。采用正确的标准可以最大限度地降低安全漏洞的风险，从而让企业能够顺利地拥抱云计算技术。

安全漏洞是企业的重大风险。黑客通常会选择那些安全措施不完善的云存储资源作为攻击目标。随着企业不断添加新的云容器、激活虚拟机，以及将新的SaaS应用程序纳入其工作负载中，威胁的层面也在不断增加。安全标准有助于管理这些威胁，从而保持对系统的控制。

云安全标准为风险评估提供基准依据企业可以利用这些工具来计算新服务的潜在风险。同时，这些工具还能确保云架构符合国际公认的标准。

云安全框架与标准最重要的作用在于……将混乱转化为清晰明了的状态确保云环境的安全性是一项持续进行的任务，其中存在许多挑战。任何能够简化这一任务的工具都极为宝贵。

不遵守云安全标准所带来的后果

在扩展您的IaaS或SaaS服务时，您是否愿意忽视云安全标准呢？大多数专家都建议至少实施一套安全标准来应对云安全风险。

在没有专家指导的情况下创建的安保框架可能会忽略一些关键的安全问题。此外，这样的框架还会让人对云资源的安全性产生怀疑，不确定它们是否真的达到了最高级别的安全性。

这种结果可能导致无法遵守云安全法规。当数据泄露发生时，那些未能遵循云安全框架的组织可能会遭受声誉损害以及财务上的损失。此外，由于违反法规，这些组织还将面临巨大的罚款。

云安全标准与框架

许多非营利组织和政府机构应运而生，旨在满足云用户的安全需求。这些机构会制定符合法规要求的框架，同时也会考虑到云中各种业务运营的多样性。

安全框架包括一系列标准。这些标准就是……关于安全最佳实践的建议如果正确实施的话，它们能够提供强大的云安全保障。主要的挑战在于……使云安全标准与具体的业务目标相匹配。那么，让我们来了解一下主要的标准机构，并介绍一些关于云安全的核心文件吧。

以下是主要的标准制定机构介绍：

以下这些机构都是权威且被广泛认可的、在安全领域具有专业知识的来源。您的核心业务运营方式应该决定您所选择的框架。在某些情况下，可能需要使用多个安全框架来保障关键业务资产的安全。请选择合适的组合方式，以确保关键业务资产得到有效的保护。

美国国家标准与技术研究院

NIST是美国商务部的一个下属机构，负责在多个技术领域推广相关标准。国家标准化研究所发布的文件是供政府机构使用的。不过，这些文件的编写也是考虑到私营企业的需求而进行的。

在云安全领域，NIST的特别出版物属于最重要的分类之一。其中，一些重要的框架性文件包括：

NIST SP 500-291 (2011)，即NIST云计算标准路线图

NIST SP 500-291整合了主要的云计算标准，其中还包含了来自NIST之外的相关标准。该标准还指出了专家们对某些安全最佳实践存在不确定性的领域，同时也指出了仍然存在的安全漏洞所在。这可以作为研究云安全架构的良好起点。

NIST SP 500-293 (2014)：美国政府云计算技术路线图

NIST SP 500-293是对NIST SP 500-291的补充。它介绍了构建云网络时的最佳实践。对于在复杂的云环境中提升安全性来说，这是一本非常有用的指南。

NIST SP 800-53修订版5（2020年）：信息系统与组织的安全与隐私控制指南

NIST SP 800-53第5版是一项涵盖广泛领域的信息安全标准，其中包含了关于云数据保护的具体建议。

NIST SP 800-144 (2011)，关于公共云计算中的安全与隐私保护的指南

NIST SP 800-144专注于为公共云环境提供安全控制措施。这对于面向客户的云部署来说，是一个很好的起点。

NIST SP 800-145 (2011)，NIST关于云计算的定义

NIST SP 800-145是一份非常重要的规范性文件，它定义了云计算的基本概念。该文件可以用来评估不同的云服务提供商的性能。企业还可以利用它来测试各种安全策略的效果。对于大多数云安全项目来说，这份文件都是一个非常有用的参考依据。

NIST SP-800-210 (2020)：云系统的一般访问控制指南

NIST SP-800-210是NIST关于云系统访问控制的主要规范文件。该文件为SaaS、IaaS和PaaS等云计算环境的访问管理提供了帮助。

NIST的标准将加速云计算的普及与应用。

这份NIST框架文件重点关注三个领域。它为那些刚开始实施云部署的企业提供了基本的信息指导。涵盖的内容包括推荐的标准、第三方专家的建议，以及现有的安全漏洞问题。

NIST云计算项目

NCCP是一份内容广泛的文档，其中提出了一种云安全框架。该框架适用于IaaS、Paas和SaaS等多种服务类型，涵盖了以下方面：

• 广泛的网络接入能力
• 资源共享
• 灵活的部署方式
• 按需自助服务应用程序
• 可测量的服务

NIST网络安全框架

这一安全框架是大型基础设施机构的重要参考文档。它专为官方机构设计，但同样对私营公司也具有重要的参考价值。该框架涵盖的领域不仅限于云计算领域，不过其中某些部分与云端的数字基础设施密切相关。

国际标准化组织

IOS成立于1947年，那时云计算还远未出现。不过，这个国际组织一直致力于应对云计算技术的不断发展。国际标准化组织提供了相关的安全框架。其发布的规范包含了来自所有主要国家的意见。由于其广泛的专业知识，IOS成为云计算安全标准的重要来源。

需要考虑的主要 iOS 框架包括：

ISO/IEC 17789:2014，信息技术，云计算，参考架构

ISO/IEC 17789:2014旨在对云计算中的各种组件、角色以及相关活动进行标准化定义。该标准为云安全政策提供了良好的基础，同时也为大多数云计算环境中的各项要素提供了明确的定义。

ISO/IEC 17826:2016，信息技术——CDMI

ISO/IEC 17826:2016中使用了云数据管理接口这一概念。该标准提供了关于如何安全地创建数据接口的信息，同时还包含了关于云资源上的数据隐私保护的建议。

ISO/IEC 18384:2016，信息技术，面向服务的架构的参考架构

ISO/IEC 18384:2016主要关注的是基于云的服务架构。该标准包含了相关定义、讨论内容以及用于确保服务安全性的有效原则。

ISO/IEC 19086:2016，信息技术，云计算，服务级别协议框架

ISO/IEC 19086:2016规定了如何创建和评估服务级别协议。这有助于企业管理与云服务提供商之间的关系，并在构建云基础设施时进行有效的风险管理。

ISO/IEC 19941:2017，信息技术，云计算，互操作性与可移植性

ISO/IEC 19941:2017为各公司提供了将不同的云资源整合在一起的解决方案。该标准还提供了关于可移植性和互操作性的安全指导，这些在多云环境中的应用非常有价值。

ISO/IEC 19944:2020，云计算与分布式平台，数据流、数据类别以及数据的使用方式

ISO/IEC 19944:2020提供了关于数据在云服务提供商与客户之间如何传输的详细信息。该标准补充了ISO关于CDMI的指导原则，有助于在所有云服务中建立有效的数据保护机制。

ISO/IEC 22123:2021，信息技术，云计算——第1部分：术语，第2部分：概念

ISO/IEC 22123:2021是一个包含两部分的框架，它为在云环境中创建安全环境提供了全面的指导。该框架可以作为了解云安全问题的入门指南。

ISO/IEC技术报告22678:2019，信息技术，云计算，政策制定的指导方针

ISO/IEC技术报告22678:2019是起草和实施云安全政策时非常有用的工具。该框架提供了示例模板以及关于需要包含哪些内容的详细信息。

ISO/IEC技术规范23167:2020，信息技术，云计算，通用技术与方法

ISO/IEC技术规范23167:2020是一份包含许多有用定义的技術文件。该规范涵盖的内容包括虚拟机器、数据容器以及基于云的微型服务等领域。

ISO/IEC 27001:2013，信息技术，安全技术，信息安全管理体系，要求

ISO/IEC 27001:2013旨在指导信息安全管理系统的建立。该文档并非仅仅专注于云计算领域。不过，它确实包含了一些关于如何为云计算环境构建有效信息安全架构的宝贵建议。此外，该文档还提供了关于如何进行有效的云计算信息安全审计的实用指导。

IEC 27001:2013是属于ISO 27001系列标准的一部分该团队负责构建一套安全的信息安全管理体系。我们的ISO 27001检查清单详细说明了该体系的运作方式，以及企业为实现合规性需要采取的措施。

ISO/IEC 27002:2013，信息技术，安全技术

ISO/IEC 27002:2013属于ISO 27002系列标准。这意味着它是对27001标准的补充。该文档提供了关于在云计算环境中使用的安全控制的详细信息。这有助于企业确保对数据和访问权限的有效管理，同时也有助于应对网络安全威胁。

ISO/IEC 27017:2015，信息技术，安全技术

ISO/IEC 27017:2015提供了一套适用于云环境的实践指南。其中包含了关于云安全控制的最佳实践。这为在云环境中构建身份管理或零信任架构提供了坚实的基础。