您的云团队需要了解的 7 个合规框架

70% 的组织报告称，其一半以上的基础设施都存在于云中。但几乎同样多的组织没有明确的云战略。这使他们更容易受到安全和合规风险的影响。

如果您的组织缺乏明确的云策略或安全策略，则常见的合规框架可以提供保护云环境的起点。

• 云安全领域需要了解的 7 个合规框架
  • ISO 27001
  • NIST 网络安全框架
  • CIS 控制
  • 联邦风险与授权管理计划 (FedRAMP)
  • 国际标准化组织（ISO）
  • CSA 云控制矩阵 (CCM)
  • CSA 安全、信任、保障和风险 (STAR)
• 云安全合规性的最佳实践
• 运用云安全策略

ISO 27001是信息安全管理系统的国际标准。它提供了一种清晰、系统的方法来管理各种云解决方案和服务中的敏感信息，无论是 AWS、Azure、Google Cloud，还是总账软件。

因此，ISO 27001为在云中创建和维护强大的安全程序奠定了基础。它包括以下方面的要求和最佳实践：

• 风险评估

• 资产管理

• 访问控制

• 事件响应

• 持续监控和审查

它还支持持续监控、评估和改进云安全程序。通过应用该标准的指导，组织可以保持高安全标准、降低风险并保护重要数据免遭未经授权的访问或泄露。

ISO 27001 认证表明组织致力于信息安全，并向客户保证其数据是安全的。要获得认证，组织必须通过经认可的认证机构进行的正式审核。

NIST 网络安全框架由美国国家标准与技术研究所 (NIST) 创建，提供易于遵循的指南、标准和实践，以发现和解决您组织的最高优先级风险。

尽管 NIST 网络安全框架并非专门针对云而定制，但它为您提供了一个多功能结构，可以增强您的整体安全性（包括云安全性）。它通过五个基本功能实现这一点。

1. 识别：了解并管理与云相关的网络安全风险，以保证合规性
2. 保护：设置安全措施，保证云资源和数据的机密性和可用性
3. 检测：制定措施来发现网络安全事件和违规行为
4. 响应：针对云基础设施中的问题起草并实施安全事件响应计划
5. 恢复：发生安全事故后，将系统和数据恢复到正常状态。了解事故原因并制定预防措施。

互联网安全中心 (CIS) 控制措施是一系列最佳实践，可帮助组织改善其网络安全状况。虽然它们并不专注于云安全，但它们通常用于增强云环境中的安全性和合规性。

CIS 控制框架包括 18 个主要安全控制。为了确定其中哪些与您的云环境最相关（以及如何解释和应用它们），CIS 提供了云伴侣指南。使用它来规划您的控制，确定每个控制的指标，并确定您想要的结果。  

联邦风险与授权管理计划( FedRAMP) 是美国联邦政府创建的云安全框架。它旨在简化评估、批准和监控管理联邦政府数据的云服务提供商 (CSP) 的流程。

FedRAMP 提供了标准化的基准来评估云服务提供商的安全性。虽然它主要针对政府机构，但私人组织也可以使用 FedRAMP 框架根据自己的需求评估云服务。

1. 准备： CSP 接受准备情况评估以确定他们是否已准备好获得 FedRAMP 授权。
2. 授权： CSP 会接受全面的安全审查，包括检查其云系统、控制和政策。他们会根据云服务的风险级别获得临时运营授权 (P-ATO) 或运营授权 (ATO)。
3. 持续监控： CSP 必须通过漏洞扫描、快速事件解决方案和安全事件记录等安全措施来维护其系统。CSP 将接受定期评估。

除了广受欢迎的 ISO 27001 之外，国际标准化组织还制定了多项涵盖云安全的标准。您不必选择其中一项。可以将多项标准结合起来，打造强大的云安全计划。

ISO 27017：该标准为实施云服务安全控制提供了指导。它强调了与云服务相关的不同安全方面和风险。

ISO 27018：该标准提供了保护云中个人信息的指导。重点关注与信息云服务提供商流程相关的隐私问题。

ISO 17788：该标准概述了云计算术语和定义。它可以帮助企业掌握相关语言，并就云采用和安全方法做出明智的选择。

ISO 17789：该标准提供了有关云服务级别协议 (SLA) 的指导。它为在云服务提供商和客户之间创建 SLA 提供了建议，这些 SLA 明确了服务安全期望、角色和职责。

云安全联盟(CSA) 云控制矩阵 (CCM) v4.0 包含 197 个控制目标和相关控制要求，分为 17 个云安全领域。它与其他标准（例如 ISO 27001 和 NIST 网络安全框架）保持一致。

与 CIS 控制类似，您可以使用 CSA CCM 作为模型并列出指定的要求。从那里，您可以确定您的组织将如何满足这些要求。CSA 还有一个实施指南，可以帮助您了解如何驾驭这些控制。

云安全联盟 STAR计划可帮助组织评估 CSP，以便做出明智的选择。

作为该计划的一部分，认证机构将评估和审查 CSP 的安全方法。符合流行安全方法的 CSP 将获得 STAR 认证。寻找具有此认证的供应商可以确保您的网络安全方法达到标准。

无论您使用哪种框架，了解将其纳入的最佳方式都可以指导您的云安全之旅。以下是一些最佳实践，可确保您的组织符合云安全要求。

迁移到云端是一项巨大的投资，但如果团队没有接受过适当的培训，那么就不会获得回报。

云工程师需要具备云技能以及网络安全、DevOps 和数据分析方面的相关技术技能。但每个部门都需要入职培训，而不仅仅是技术团队。非技术角色需要知道如何使用云技术并遵守云安全最佳实践。 

提升团队的技能：

• 将入职流程划分为可管理的步骤，并设定合理的截止期限

• 分配明确的角色、职责和学习期望

• 确保每个人都能获得成功所需的资源和培训

不要犹豫，与您的云提供商交谈——他们已经帮助其他客户完成了这一转变，并可以在您的整个过程中提供指导。

您的团队需要知道如何在云中工作。但更重要的是，他们需要知道如何安全地在云中工作。 

为了遵守组织选择的云安全框架，与云密切合作的每个人都应该了解如何：

• 设置访问控制

• 加密数据

• 对数据请求进行身份验证

• 安全地将数据移入和移出云端

• 处理受保护的用户数据

• 与授权的第三方安全地共享数据

• 响应安全事件

您的组织可能会选择一个云安全框架或使用重叠的框架来满足特定需求和义务。选择框架后，请使用明确的政策实施和维护该框架。您的云安全策略应涵盖以下信息：

• 安全运行云涉及哪些角色和职责

• 谁可以在什么情况下访问系统的哪些部分 

• 您的组织需要进行哪些审计和风险评估来确保系统与当今的威胁形势相符

• 如何将第三方供应商纳入云系统并进行管理 

例如，如果您的企业使用在线云计费软件，您需要确保它符合 ISO 27001 和其他标准。当您的数据在不同系统之间移动时，您需要确保数据的每个部分都是安全的。

一旦了解了组织的需求、义务和威胁，您就可以使用现有框架建立云安全策略，在您在云中成长和成熟时保护您的公司和客户。 

想要巩固您的云安全知识？Pluralsight Skills 为每个人提供各种云安全课程和学习路径，从制定政策的领导者到将其付诸实践的团队成员：

• 云安全基础知识

• AWS 云安全</