本文(wén)討(tǎo)論如(rú)下(xià)問(wèn)題：

3. 如(rú)何衡量雲安全水(shuǐ)平

5. 公有(yǒu)雲與私有(yǒu)雲安全的(de)區(qū)别

6. 雲安全實踐

8. 雲安全發展趨勢

新冠疫情使轉向雲的(de)IT支出比例加快(kuài)，預計(jì)到(dào)2024年(nián)，雲将占全球企業(yè)IT支出市(shì)場(chǎng)總量的(de)14.2%，高(g↕āo)于2020年(nián)的(de)9.1%。

Gartner全球公有(yǒu)服務最終用(yòng)戶支出預測（單位：百萬美(měi)元）

IaaS=基礎設施即務;

注意事(shì)項：由于四舍五入，總計(jì)可(kě)能(néng)有(yǒu)出入。

一(yī)、雲安全和(hé)傳統安全的(de)區(qū)别

雲安全和(hé)傳統安全的(de)最大(dà)區(qū)别是(shì)責任範圍，傳統安全用(yòng)戶100%為(wèi)自(zì)己的(de)安全負責，雲安全則由用(yòng)戶和(hé)雲供應商共擔責任，共同責任模型是(shì)雲安全的(de)典型特征。

SaaS：如(rú)果組織隻使用(yòng)SaaS應用(yòng)，則擔心的(de)雲安全問(wèn)題最少(shǎo)。雲服務提供商負責包↔含應用(yòng)和(hé)基礎設施。組織必須保護和(hé)管理(lǐ)它們放(fàng)入雲中的(de)數(shù)據。此外(wàiβ)，組織還(hái)應管理(lǐ)哪些(xiē)員(yuán)工(gōng)正在使用(yòng)應用(yòng)以及如(rú)何使用(yòδng)。

PaaS：使用(yòng)PaaS服務的(de)組織必須确保與SaaS産品相(xiàng)同的(de)元素，以及應用(yòng)程序部署和$(hé)管理(lǐ)。雲服務提供商負責保護運行(xíng)這(zhè)些(xiē)服務的(de)基礎設施和(hé)操作(zuò)系統的>(de)安全。

雲使安全問(wèn)題進一(yī)步複雜(zá)化(huà)，傳統的(de)安全控制(zhì)通(tōng)常不(bù)能(néng)滿足雲安全需求。許多(duō)組織♣無法理(lǐ)清與雲服務提供商（CSP）責任邊界，從(cóng)而使其面臨許多(duō)漏洞。雲的(de)擴展性也(yě)增加了(le)潛♥在攻擊面。

2.配置錯(cuò)誤和(hé)變更控制(zhì)不(bù)足

6.內(nèi)部威脅

1.數(shù)據洩露

CSA建議(yì)如(rú)下(xià)：

定義數(shù)據價值及其損失的(de)影(yǐng)響；通(tōng)過加密保護數(shù)據；有(yǒu)一(yī)個(gè)完善的(de)，經過充分(fēn)測試的(de)事(shì)件(jiàn)響應計(jì)劃。CSA雲管控矩陣（CCM）規範包括以下(xià)內(nèi)容：

與此相(xiàng)關的(de)是(shì)，無效的(de)變更控制(zhì)可(kě)能(néng)導緻雲配置錯(cuò)誤。在按需實時(shí)雲環境中®，應自(zì)動進行(xíng)變更控制(zhì)，以支持快(kuài)速變更。

太多(duō)的(de)組織在沒有(yǒu)适當的(de)架構和(hé)策略的(de)情況下(xià)使用(yòng)雲。在使用(yòng)雲之前，用(yòng)戶必須了(le)解面臨的Ω(de)威脅、如(rú)何安全遷移到(dào)雲以共同責任模型。

使用(yòng)雙重身(shēn)份驗證；對(duì)雲用(yòng)戶和(hé)身(shēn)份實施嚴格的(de)IAM控制(zhì)；密鑰，删除未使用(yòng)的(de)憑據和(hé)訪問(wèn)權限，并采用(yòng)中心、程序化(βhuà)密鑰管理(lǐ)。CCM規範包括：

雲帳戶劫持是(shì)雲帳戶的(de)披露、意外(wài)洩漏、暴露或其他(tā)對(duì)雲環境的(de)操作(zuò)、管理(lǐ)。這(zhè)些(xiē)高(✘gāo)度特權和(hé)敏感的(de)帳戶如(rú)果被破壞，可(kě)能(néng)會(huì)造成巨大(dà)的(de)後果。

作(zuò)為(wèi)CSP和(hé)用(yòng)戶的(de)責任，CSA建議(yì)如(rú)下(x₹ià)：

制(zhì)定、記錄和(hé)采用(yòng)統一(yī)的(de)業(yè)務連續性計(jì)劃；将生(shēng)産和(hé)非生(shēng)産環境分(fēn)開(kāi)；維護并定期更新合規聯絡，為(wèi)需要(yào)快(kuài)速參與執法調查做(zuò)準備。6. 內(nèi)部威脅

CSA 建議(yì)如(rú)下(xià)：

按照(zhào)行(xíng)業(yè)領先标準設計(jì)、開(kāi)發、部署和(hé)測試API，并遵守适↓用(yòng)的(de)法律、法規和(hé)監管義務；隔離(lí)和(hé)限制(zhì)對(duì)與組織信息系統交互的(de)審計(jì)工(gōng)具的(de)訪問(wèn)，以防止數(shù)據披露和(hé)篡改；限制(zhì)能(néng)夠覆蓋系統、對(duì)象、網絡、VM 和(hé)應用(yòng)程序控制(zhì)的(de)實∑用(yòng)程序。8. 控制(zhì)平面弱

雲控制(zhì)平面是(shì)收集組織使用(yòng)的(de)雲管理(lǐ)控制(zhì)台和(hé)接口，是(shì)用(yòng)的(de)責任。根據CSA的(de)數(s★hù)據，它還(hái)包括數(shù)據複制(zhì)、遷移和(hé)存儲。，被破壞的(de)控制(zhì)平面可(kě)能(néng)導緻數(shù)據丢失、監管罰款和(hé)其他(Ωtā)後果，以及品牌聲譽受損，可(kě)能(néng)導緻收入損失。

建立和(hé)制(zhì)定信息安全政策和(hé)程序，供內(nèi)部人(rén)員(yuán)和(hé)外(wài)部業(yè)務•關系審查；實施和(hé)運用(yòng)防禦深入措施，及時(shí)發現(xiàn)和(hé)應對(duì)網絡攻擊；制(zhì)定策略來(lái)标記、處理(lǐ)和(hé)安全包含數(shù)據的(de)數(shù)據和(hé≤)對(duì)象。9. 元結構和(hé)應用(yòng)列表失敗

也(yě)被稱為(wèi)水(shuǐ)線，元結構是(shì)CSP和(hé)客戶之間(jiān)的(de)分(fēn)界線。這(zhè)裡(lǐ)←存在許多(duō)安全威脅，例如(rú)，CSA 列舉了(le) CSP 執行(xíng)不(bù)良的(de) API 或客戶使用(yòng)不(bù∑)當的(de)雲應用(yòng)。此類安全挑戰可(kě)能(néng)導緻服務中斷和(hé)配置錯(cuò)誤，并造成财務和(hé)數(shù)據損失後果。

應用(yòng)列表的(de)定義是(shì)"部署在雲中的(de)應用(yòng)程序和(hé)用(yòng)于構建它們的(de)基礎應用∏(yòng)程序服務（例如(rú)，PaaS 功能(néng)，如(rú)消息隊列、AI 分(fēn)析或通(tōng)≠知(zhī)服務）。

CSP 提供可(kě)見(jiàn)性和(hé)暴露緩解措施，以抵消租戶缺乏透明(míng)度；CSP 進行(xíng)滲透測試，向客戶提供調查結果；客戶在雲原生(shēng)設計(jì)中實現(xiàn)功能(néng)和(hé)控制(zhì)。CCM 規範包括：

制(zhì)定和(hé)維護審計(jì)計(jì)劃，以解決業(yè)務流程中斷問(wèn)題；實施加密，以保護存儲、使用(yòng)和(hé)傳輸中的(de)數(shù)據；制(zhì)定存儲和(hé)管理(lǐ)身(shēn)份信息的(de)政策和(hé)程序。10. 有(yǒu)限的(de)可(kě)視(shì)化(huà)

未經批準的(de)應用(yòng)使用(yòng)；批準的(de)應用(yòng)未按預期使用(yòng)，包括授權使用(yòng)該應用(yòng)程序的(de)↕用(yòng)戶，以及通(tōng)過SQL 注入或 DNS 攻擊獲得(de)的(de)被盜憑據訪問(wèn)的(de)未經授權的(de)個(gè)人(rén)。CSA說(shuō)，這(zhè)種有(yǒu)限的(de)可(kě)見(jiàn)性導緻缺乏治理(lǐ)、意識和(hé)安全性，所有(yǒu)這(zhè)些(xiē)都(dō®u)可(kě)能(néng)導緻網絡攻擊、數(shù)據丢失和(hé)洩露。

CSA 建議(yì) CSP 努力通(tōng)過事(shì)件(jiàn)響應框架檢測和(hé)減輕此類攻擊。CSP 還(↑hái)應提供其客戶可(kě)用(yòng)于監控雲工(gōng)作(zuò)負載和(hé)應用(yòng)程序的(de)工(gōng)具★和(hé)控制(zhì)。

監控員(yuán)工(gōng)雲的(de)使用(yòng)；使用(yòng)雲數(shù)據丢失預防技(jì)術(shù)。CCM 規範包括：

采取技(jì)術(shù)措施管理(lǐ)移動設備風(fēng)險：确定企業(yè)和(hé)用(yòng)戶擁有(yǒu)的(de)終端（包括工(gōng)作(zuò)站(zhΩàn)、筆(bǐ)記本電(diàn)腦(nǎo)和(hé)移動設備）的(de)限額和(hé)使用(yòng)權限創建并維護已批準的(de)應用(yòng)程序和(hé)應用(yòng)程序商店(diàn)列表。三、如(rú)何衡量雲安全水(shuǐ)平

雲安全的(de)衡量可(kě)以分(fēn)為(wèi)五個(gè)要(yào)素，分(fēn)别是(shì)安全架構、合規性、實施盡職調查、監控網絡以∏及包含可(kě)靠的(de)身(shēn)份驗證協議(yì)。

組織應了(le)解其雲服務的(de)安全局限性。這(zhè)包括提供商提供的(de)內(nèi)容以及組$織負責的(de)內(nèi)容。例如(rú)，如(rú)果企業(yè)選擇提供"基礎服務"（IaaS）雲的(de)服務提供商，則預→計(jì)該企業(yè)将處理(lǐ)設置的(de)大(dà)部分(fēn)安全性。

另一(yī)方面，如(rú)果雲服務提供商負責雲服務軟件(jiàn)（SaaS），則提供商将強制(zhì)執行(xíng)應用(yòng)程序和(hé)數(shù)據安全。對(duì)于組∞織來(lái)說(shuō)工(gōng)作(zuò)量少(shǎo)，對(duì)雲安全的(de)控制(zhì)也(yě)較少(shǎo)。

許多(duō)國(guó)家(jiā)正在實施數(shù)據隐私法規，并對(duì)未能(néng)充分(fēn)保護用(yòng)戶數(shù)據的(d♣e)公司處以罰款。例如(rú)，歐盟的(de)《通(tōng)用(yòng)數(shù)據保護條例》（GDPR）對(duì)違規行↔(xíng)為(wèi)處以巨額罰款。定期研究法規是(shì)組織的(de)優先事(shì)項。

以下(xià)是(shì)安全方面經常參考的(de)一(yī)些(xiē)國(guó)際、國(guó)內(nèi)♦和(hé)行(xíng)業(yè)标準：

ISO27001 信息安全管理(lǐ)體(tǐ)系ISO20000 IT服務管理(lǐ)體(tǐ)系ISO 22301 業(yè)務連續性管理(lǐ)ISO 27017 雲計(jì)算(suàn)信息安全ISO 27018 公有(yǒu)雲個(gè)人(rén)信息安全防護ITSS 工(gōng)信部雲計(jì)算(suàn)服務能(néng)力評估網絡安全等級保護可(kě)信雲服務認證PCI DSS認證（支付卡行(xíng)業(yè)數(shù)據安全）3.實踐盡職調查

4.監控和(hé)可(kě)視(shì)化(huà)

5.認證

四、如(rú)何構建有(yǒu)效的(de)雲安全團隊

缺乏雲技(jì)術(shù)技(jì)能(néng)：許多(duō)安全運營分(fēn)析師(shī)和(hé)事(shì)件(jiàn)響應者沒有(yǒu)γ時(shí)間(jiān)和(hé)能(néng)力了(le)解雲環境和(hé)技(jì)術(shù)★。供應商不(bù)兼容：某些(xiē)常用(yòng)的(de)安全操作(zuò)工(gōng)具和(hé)服務在雲服務提供商環境中可(kě)能(néng)功能(néng)較差或不(bù)兼容。缺乏雲可(kě)視(shì)化(huà)：許多(duō)組織對(duì)其雲部署中的(de)當前資産和(hé)運營缺乏深入的(de)洞察力和(γhé)反省，使安全操作(zuò)更具挑戰性。臨時(shí)工(gōng)作(zuò)量：雲中的(de)許多(duō)工(gōng)作(zuò)負載（如(rú)容器(qì)）隻存在很(hěn)短(duǎn)的(de)時(shí)間(jiān)，使響應和(hé)分(fēn♠)析變得(de)困難或不(bù)可(kě)能(néng)。安全運營中心（SOC）團隊必須适應雲環境。當雲在組織中開(kāi)始變得(de)更加普遍時(shí)，某✔些(xiē)治理(lǐ)會(huì)自(zì)然發生(shēng)。雲安全運營中心還(hái)需要(yào)與風(fēng)險團隊協調，£以了(le)解哪些(xiē)雲環境正在使用(yòng)中，哪些(xiē)環境計(jì)劃用(yòng)于未來(lái)。如(rú)果雲SOC團隊不(bù)知(zhī)道(dào)資産運∏行(xíng)在哪裡(lǐ)或使用(yòng)什(shén)麽應用(yòng)程序，則無法識别攻擊或事×(shì)件(jiàn)。

有(yǒu)效的(de)雲安全運營中心團隊操作(zuò)

建立單獨的(de)雲帳戶或完全在其控制(zhì)下(xià)的(de)訂閱。創建最少(shǎo)的(de)特權帳戶，以便在需要(yào)時(shí)在雲中執行(xíng)特定操作(zuò♦)，并定義帳戶角色（理(lǐ)想情況下(xià)用(yòng)于跨帳戶訪問(wèn)）。對(duì)所有(yǒu)帳戶實施多(duō)因素身(shēn)份驗證。啓用(yòng)一(yī)次寫入存儲日(rì)志(zhì)和(hé)證據，這(zhè)是(shì)最佳做(zuò)法，即使證據目前沒有(yǒu)存儲在雲中。例如(rú)，在AWS 中，€可(kě)以使用(yòng)S3 存儲桶版本進行(xíng)安全保留和(hé)恢複。雲安全操作(zuò)中心記錄最佳實踐

啓用(yòng)核心API記錄：其中包括AWS的(de)雲跟蹤、Azure的(de)活動日(rì)志(zhì)以及Google雲平台（GCP）的(de)操作(zuò)。集成日(rì)志(zhì)攝入和(hé)處理(lǐ)服務：某些(xiē)服務可(kě)以直接從(cóng)存儲中引導日(rì)志(zhì)。大(dà)多(duō)數(shù)雲記錄最好(hǎo)通(tōng)€過将日(rì)志(zhì)傳遞到(dào)連接和(hé)攝錄的(de)中間(jiān)服務中來(lái)完成，例如(rú)亞馬遜雲觀察、Azure 監視(shì)器(q✔ì)或 GCP雲記錄。導出用(yòng)于處理(lǐ)或與其他(tā)服務集成的(de)日(rì)志(zhì)：一(yī)旦日(rì)志(zhì)被處理(lǐ)并傳遞給其他(tā)服務，請(qǐng)選擇最合适的(de)連接模型。對(duì)于雲中日(rì)志(zhì)處理(lǐ)和(hé)響應™，這(zhè)通(tōng)常通(tōng)過事(shì)件(jiàn)處理(lǐ)和(hé)與無服務器(qì)和(hé)其₩他(tā)工(gōng)具的(de)集成來(lái)處理(lǐ)。當然，每個(gè)雲提供商都(dōu)有(yǒu)自(zì)己的(de)特定選項和(hé)差異。Azure用(yòng)戶可(kě)以直接從(cóΩng)Azure監視(shì)器(qì)集成到(dào)微(wēi)軟原生(shēng)的(de)SIEM工(gōng)具。AWS用(yòng)戶可(kě)以集成₩來(lái)自(zì)領先提供商（如(rú)Splunk和(hé)其他(tā)SIEM工(gōng)具）的(de)第三方連接器(qì)應用(yòng)，以便從®(cóng) CloudTrail S3 存儲桶中攝取，或流式傳輸到(dào) Kinesis 等服務中以進行(xíng)攝取。

無論企業(yè)的(de)基礎設施是(shì)私有(yǒu)雲、公有(yǒu)雲還(hái)是(shì)混合雲中，網絡£安全都(dōu)是(shì)一(yī)個(gè)關鍵組成部分(fēn)。雖然某些(xiē)雲架構大(dà)大(dà)簡化(huà)了(le)安全任務和(>hé)工(gōng)具集成，但(dàn)它往往以不(bù)靈活為(wèi)代價。

由于各種原因，企業(yè)被公有(yǒu)雲基礎設施所吸引，包括資本支出低(dī)、服務可(kě)擴展性和(hé)減輕內×(nèi)部IT 員(yuán)工(gōng)的(de)管理(lǐ)工(gōng)作(zuò)量。公有(yǒu)雲基礎設施安 全優勢包括：

減輕負載：大(dà)型CSP通(tōng)常大(dà)量投資于高(gāo)端網絡安全工(gōng)具，以及在其領域知(zhī)識淵博的(de)員(yuán)工(gōng☆)。這(zhè)使得(de)将網絡安全工(gōng)具和(hé)任務從(cóng)內(nèi)部卸載到(d₽ào)第三方具有(yǒu)高(gāo)度吸引力。解決網絡安全技(jì)能(néng)差距問(wèn)題：CSP的(de)能(néng)力減少(shǎo)了(le)雇傭昂貴且稀缺的(de)信息安全人(rén)才的(de)需求。公有(yǒu)雲安全缺點

顧名思義，私有(yǒu)雲允許企業(yè)訪問(wèn)雲中的(de)專用(yòng)基礎設施資源。與公有(yǒu)雲一(yī)樣，既有(yǒu)利也(yě)有(yǒu)弊。

私有(yǒu)雲安全優勢

私有(yǒu)雲安全缺點

财務成本：運營私有(yǒu)雲通(tōng)常比公有(yǒu)雲更昂貴。企業(yè)為(wèi)精細化(huà)雲控≥制(zhì)和(hé)可(kě)見(jiàn)性支付額外(wài)費(fèi)用(yòng)。管理(lǐ)成本：設計(jì)和(hé)維護私有(yǒu)雲中的(de)網絡安全工(gōng)具大(dà)大(dà)增加了(le)管理(lǐ)責任。出于這(zhè)兩個(gè)原因，至關重要(yào)的(de)是(shì)，IT決策者必須仔細權衡私有(yǒu)雲的(βde)網絡安全優勢與增加的(de)财務支出和(hé)間(jiān)接管理(lǐ)費(fèi)用(yòng)。

另外(wài)，有(yǒu)在混合雲環境中運營的(de)組織。這(zhè)是(shì)一(yī)些(xiē)業(yè)務應用(y òng)程序和(hé)數(shù)據位于公有(yǒu)雲中，而其他(tā)則在私有(yǒu)雲或私有(yǒu)數(shù)據中心內(nèi)。

混合雲安全優勢

兩全其美(měi)：混合雲企業(yè)架構結合了(le)公有(yǒu)雲和(hé)私有(yǒu)雲的(de)最佳功能(néng)，可(kě)以提供最大(dà)的(dσe)安全性。靈活性：混合模型使IT管理(lǐ)員(yuán)有(yǒu)權決定應用(yòng)程序和(hé)數(shù)據将位于何處，例如(rú♥)雲或企業(yè)數(shù)據中心。混合雲安全挑戰

與私有(yǒu)雲一(yī)樣，混合雲基礎架構的(de)靈活性也(yě)有(yǒu)其缺點。例如(rú)，關于應用(yòngπ)程序和(hé)數(shù)據所在位置的(de)決定是(shì)一(yī)項重大(dà)責任，需要(yào)進行(xíng)大(dà)量評審。組織應考慮混合雲模型λ的(de)以下(xià)潛在缺點：

雲安全最佳實踐全包括：理(lǐ)解和(hé)實施安全基本原理(lǐ)、遵守共同責任模型、數(shù)據加密和(‍hé)遵守适用(yòng)法規。

1. 了(le)解提供商的(de)安全模型

在使用(yòng)雲産品之前，SOC需要(yào)了(le)解雲提供商的(de)安全模型。首先，供應商對(duì)類似概念使用(yòng)不(bù)同的(de)術(shù)語。例如(rú)，¥用(yòng)戶可(kě)能(néng)會(huì)使用(yòng)AWS中的(de)标簽組織資産，但(dàn)不(bù)能(néng)©在谷歌(gē)雲平台項目中使用(yòng)，這(zhè)會(huì)影(yǐng)響雲安全策略的(de)實施方式，因此了(le)解術(shù)語有(yǒu )助于防止錯(cuò)誤。

其次，從(cóng)運營的(de)角度來(lái)看(kàn)，SOC需要(yào)了(le)解哪些(xiē)安全功能(néng)可(kě)用(yò'ng)，以及這(zhè)些(xiē)功能(néng)的(de)潛在值或局限性。

3. 始終給程序打補丁

4. 監控

5. 管理(lǐ)訪問(wèn)

6.雲中的(de)文(wén)檔資産

除了(le)顯而易見(jiàn)的(de)情況，例如(rú)工(gōng)作(zuò)負載的(de)運行(xíng)位置，還(hái)需要(yào)查找以下(xià)資源γ：

一(yī)旦組織設置雲環境，測試便是(shì)常态。大(dà)型且不(bù)斷增長(cháng)的(de)工(gōng)具庫可(kě)用(yòn$g)于使組織能(néng)夠對(duì)環境進行(xíng)滲透測試、錯(cuò)誤配置測試和(hé)各種形式的(de)漏洞測試，有(yǒ↓u)些(xiē)工(gōng)具可(kě)以搜索密鑰和(hé)密碼。總之，攻擊者将針對(duì)組織使用₹(yòng)的(de)所有(yǒu)工(gōng)具、技(jì)術(shù)和(hé)程序都(dōu)可(kě)用(yòng)于加強雲↔環境。

8.創造現(xiàn)場(chǎng)安全培訓機(jī)會(huì)

認證可(kě)以幫助安全專業(yè)人(rén)士證明(míng)他(tā)們對(duì)信息安全主題的↓(de)基線知(zhī)識。許多(duō)尋求雲安全職業(yè)的(de)專業(yè)人(rén)士将求助于認證，以推進他(tā)們的(de)→學習(xí)，向潛在的(de)雇主證明(míng)他(tā)們的(de)知(zhī)識。

信息安全行(xíng)業(yè)已經存在了(le)幾十年(nián)，并擁有(yǒu)一(yī)些(xiē)最知(zhī)名的(de)認證。CISSP于1994年(nián)發布，IγSACA 的(de)認證信息系統審核員(yuán)認證可(kě)追溯到(dào)1978年(nián)。

來(lái)了(le)解一(yī)些(xiē)已經引入了(le)專門(mén)的(de)、深入的(de)雲安全認證的(de)認證提供商，以及雲安全專業(yè)人(rén)士在實≠施這(zhè)些(xiē)認證時(shí)可(kě)以期待什(shén)麽。

1. ISC認證雲安全專業(yè)人(rén)員(yuán) CCSP

在獲得(de)認證前必須至少(shǎo)具有(yǒu)五年(nián)的(de)有(yǒu)償工(gōng)作(zuò)經驗。三年(nián)必須是(shì)信息安全，一←(yī)年(nián)必須在CCSP 知(zhī)識共同機(jī)構（CBK）包含的(de)六個(gè)™域中的(de)一(yī)個(gè)或多(duō)個(gè)領域：

2. CSA 雲安全知(zhī)識證書(shū)CCSK

3. GIAC 雲安全自(zì)動化(huà) （GCSA）

GIAC 認證沒有(yǒu)先決條件(jiàn)，但(dàn)它基于SANS研究所的(de)線下(xià)或在線 SEC540：雲安全和(hé)DevOps自(zì)動化(huà)課程。這(zhè)個(gè)為(wèi)期五天§的(de)課程包括五個(gè)部分(fēn)的(de)主題：

開(kāi)發人(rén)員(yuán)介紹雲基礎設施和(hé)編排雲安全操作(zuò)雲安全作(zuò)為(wèi)服務合規性作(zuò)為(wèi)代碼考試可(kě)以自(zì)行(xíng)購(gòu)買，也(yě)可(kě)以在與SANS培訓一(yī)α起購(gòu)買時(shí)以折扣價購(gòu)買。購(gòu)買認證嘗試附帶兩個(gè)練習(xí)測試，它們與考試格式相(xiàng)同。

Mile的(de)CCSO認證包括為(wèi)期五天的(de)課程，包括講師(shī)主導的(de)課程÷、自(zì)學時(shí)間(jiān)和(hé)實時(shí)虛拟培訓。

CCSO由15個(gè)模塊組成：

雲計(jì)算(suàn)和(hé)架構簡介雲安全風(fēng)險ERM（企業(yè)風(fēng)險管理(lǐ)）和(hé)治理(lǐ)法律問(wèn)題虛拟化(huà)數(shù)據安全數(shù)據中心運營互操作(zuò)性和(hé)可(kě)移植性傳統安全BCM（業(yè)務連續性管理(lǐ)）和(hé) DR事(shì)件(jiàn)響應應用(yòng)安全性加密和(hé)密鑰管理(lǐ)身(shēn)份、權利和(hé)訪問(wèn)管理(lǐ)審計(jì)和(hé)合規它還(hái)由23個(gè)實驗室組成，包括虛拟化(huà)、Azure中的(de)PaaS和(hé)SaaS§的(de)關鍵管理(lǐ)。

作(zuò)為(wèi)Mile雲安全和(hé)虛拟化(huà)職業(yè)道(dào)路(lù)的(de)一(yī)部分(fēn)，這(zhè✔)種高(gāo)級認證非常适合在虛拟化(huà)、雲管理(lǐ)、審計(jì)和(hé)合規方面尋求職業(yè)的(de)專業(yè)人(rén)士。

5. Arcitura認證雲安全專家(jiā)

C90.01 基礎雲計(jì)算(suàn)C90.02 雲技(jì)術(shù)概念C90.07 基本雲安全C90.08 先進雲安全C90.09 雲安全實驗室完成這(zhè)五個(gè)模塊及其各自(zì)的(de)考試将獲得(de)認證雲安全專家(jiā)認證。建議(yì)IT一(yī)般背景，按順序進行(γxíng)考試，例如(rú)，C90.01必須在C90.02之前完成。

Arcitura提供三種考試形式：涵蓋所有(yǒu)五個(gè)模塊的(de)單一(yī)考試：僅測試模塊7、8和(hé)9的(de)部分(fēn)考試（δ如(rú)果完成第1和(hé)第2模塊以進行(xíng)不(bù)同的(de)認證）：或五個(gè)單獨的≥(de)模塊特定的(de)考試。模塊特定的(de)考試可(kě)通(tōng)過VUE在線獲得(de)。

CompTIA提供兩項認證，雖然不(bù)針對(duì)安全性，但(dàn)涵蓋雲安全主題。Cloud &Essentials+面向雲業(yè)務決策，而Cloud+更關注技(jì)術(shù)雲實現(xiàn)。

EXIN提供許多(duō)安全和(hé)雲課程。其認證集成商安全雲服務認證在符合特定雲計(jì)算(suàn)和(hé)安全資格時(shí)頒發。其中包括獲得✘(de)三項EXIN或CCC認證：

EXIN IT服務管理(lǐ)（ITSM）基金(jīn)會(huì);VeriSM 基金(jīn)會(huì)或以下(xià)機(jī)構之一(yī)：基于ISO 20000（任何級别）、EXIN BCS 服務€集成和(hé)管理(lǐ)（任何級别）或ITIL（任何級别）的(de)VeriSM 專業(yè)、EXIN ITSM：EXIN BCS SIAM Foundation雲計(jì)算(suàn)認證：

EXIN 雲計(jì)算(suàn)基礎或 CCC 雲計(jì)算(suàn)證書(shū)安全管理(lǐ)認證：EXIN 網絡和(hé) IT 安全基金(jīn)會(huì)基于ISO/IEC 27001的(de)EXIN信息安全雖然此認證并非純粹緻力于雲安全，但(dàn)它确保認證專業(yè)人(rén)員(yuán)在IT安全和(hé)雲環境中都(dōu)非常熟¥練。

供應商特定的(de)雲安全認證

由于許多(duō)企業(yè)與一(yī)些(xiē)特定的(de)供應商和(hé)技(jì)術(shù)合作(zuò)，因此其安全團隊成員(yuán)÷在這(zhè)些(xiē)領域持有(yǒu)認證可(kě)能(néng)會(huì)取得(de)豐碩成果。

雲安全的(de)發展趨勢是(shì)軟件(jiàn)定義安全即安全虛拟化(huà)。另外(wài)，從(cóng)Gartner發布的(de)2020年(nián)雲安全 技(jì)術(shù)成熟度曲線，也(yě)看(kàn)一(yī)窺雲安全未來(lái)的(de)發展趨勢。

計(jì)算(suàn)和(hé)網絡環境的(de)虛拟化(huà)程度的(de)提高(gāo)，對(duì)靈活、基于雲的(de)安全性提出了(le)更多(duō)γ的(de)要(yào)求。網絡和(hé)安全數(shù)據中心動态創建基于軟件(jiàn)的(de)網絡和(hé)計(jì)算(suàn)功能(néng)，如(rú)虛拟機(jī)VM，因此安全 功能(néng)也(yě)必須以便攜式方式虛拟化(huà)，以便随應用(yòng)程序和(hé)計(jì)算¶(suàn)工(gōng)作(zuò)負載一(yī)起移動。

物(wù)理(lǐ)安全設備通(tōng)常插入到(dào)網絡外(wài)圍以提供保護，使經過驗證的(de)用(yòng)戶能(néng)夠訪問(wèn)網絡。在虛拟環境中，網絡、工(gōng)作×(zuò)負載和(hé)虛拟機(jī)器(qì)不(bù)斷被設置、銷毀，并在數(shù)據中心或網絡內(nèi)遷移。此外(wài)，由于多(duō)個(gè)虛拟網絡可(kě)以跨相(xiàng )同的(de)基礎物(wù)理(lǐ)基礎設施運行(xíng)，因此安全性必須解決每一(yī)層虛拟化(huà)問(wèn)題。例如(rú)，虛拟機(jī)具有(yǒu)額外(wàiφ)的(de)安全複雜(zá)性，因為(wèi)它們作(zuò)為(wèi)數(shù)字文(wén)件(jiàn)運行(xíng)，無論物(wù)理(lǐ)基礎設施如(rú)何，都(dōu)可₽(kě)以遷移，從(cóng)而帶來(lái)安全風(fēng)險。這(zhè)些(xiē)趨勢推動了(le)更多(duō)的(de)安全虛拟化(huà)。

虛拟化(huà)安全中的(de)兩個(gè)常見(jiàn)概念是(shì)分(fēn)割和(hé)隔離(lí)。通(tōng)過細分(€fēn)，特定的(de)網絡資源隻能(néng)訪問(wèn)指定的(de)應用(yòng)程序和(hé)用(yòng)戶。≤除了(le)物(wù)理(lǐ)安全設備之外(wài)，虛拟軟件(jiàn)還(hái)可(kě)以實現(xiàn)這(zhè)一(yīγ)點。另一(yī)個(gè)重要(yào)的(de)方法是(shì)隔離(lí)，它允許離(lí)散的(de)應用(y‌òng)程序和(hé)工(gōng)作(zuò)負載在同一(yī)網絡上(shàng)獨立運行(xíng)。這(zhè)方面的(de)一(yī)個(gè)例子(zǐ)是(shì₹)細分(fēn)處理(lǐ)敏感信息（如(rú)信用(yòng)卡數(shù)據）的(de)網絡部分(fēn)。

微(wēi)分(fēn)段将特定的(de)安全策略應用(yòng)于工(gōng)作(zuò)負載和(hé)應用(yòng)程序，使安λ全功能(néng)能(néng)夠跟蹤網絡周圍的(de)工(gōng)作(zuò)負載，這(zhè)種方法在當今的(de)虛拟基礎設施中很(hěn)‌常見(jiàn)。

安全虛拟化(huà)是(shì)一(yī)個(gè)可(kě)能(néng)持續多(duō)年(nián)的(de)強勁趨勢☆，因為(wèi)雲中運行(xíng)的(de)應用(yòng)程序越來(lái)越多(duō)，網絡也(yě)越來(lái)越虛∞拟化(huà)。需要(yào)安裝新的(de)安全軟件(jiàn)，以監控和(hé)管理(lǐ)虛拟基礎設施上(shàng)的(de)數(shù)據安全策略€。

Gartner2020雲安全技(jì)術(shù)成熟度曲線

Gartner 提醒關注雲基礎設施權利管理(lǐ)（CIEM）、SaaS安全态勢管理(lǐ)（SSPM）、安全訪問(wèn)服務邊緣（SASE）。

SaaS 安全态勢管理(lǐ) （SSPM）

安全訪問(wèn)服務邊緣（SASE）

疫情提示了(le)業(yè)務連續性計(jì)劃的(de)必要(yào)性，包括靈活、随時(shí)随地(dì★)、大(dà)規模安全的(de)遠(yuǎn)程訪問(wèn)，甚至來(lái)自(zì)不(bù)受信任的(de)設備。SASE使安全團隊能(nén☆g)夠以一(yī)緻的(de)方式提供安全的(de)網絡和(hé)安全服務，以支持數(shù)字業(yè)務轉型和(hé)勞動力流動。

參考文(wén)檔：

1. https://searchcloudsecurity.techtarget.com/Guide-t×o-cloud-security-management-and-best-practices?

3. https://searchcloudsecurity.techtarget.com/tip/The-best-cloud-security-certificatio∞ns-for-IT-professionals?

4. https://searchcloudsecurity.techtarget.com/tip/Top-cloud-security-challenges-and-how-to-←combat-them?

5. https://searchcloudsecurity.techtarget.com/tip/Priv♣ate-vs-public-cloud-security-Benefits-and-drawbacks?

6. https://searchcloudsecurity.techtarget.com/tip/5-tips-to-better-secure-clo♥ud-data?

7. https://searchcloudsecurity.techtarget.com/tip/5-step-IaaS-se₽curity-checklist-for-cloud-customers?