《安全技术经典译丛：CCSP官方学习指南 云安全认证专家》

编辑推荐

近年来，云计算改变了业界开展业务的方式。很多组织正在重新思考其IT战略，将云计算的概念和实践作为在当今市场竞争中赢得优势的一种方式。信息安全行业也已经认识到云计算在专业性、新颖性和颠覆性方面的独特优势，同时，行业对具备云安全知识和技能且经过正规培训的安全专业人员的需求量激增。
(ISC)2与云安全联盟(CloudSecurityAlliance，CSA)合作开发了CCSP(CertifiedCloudSecurityProfessional，云安全认证专家)认证体系，恰好可以满足对训练有素的合格云安全专业人员的不断增长的需求。
《安全技术经典译丛：CCSP官方学习指南 云安全认证专家》将为云计算专业人员顺利通过CCSP考试打下坚实的知识基础。
《CCSP官方学习指南云安全认证专家》面向学生和安全专业人员，经过学习并通过这项具有挑战性的考试，在职业生涯中进一步提升自己。

内容简介

《CCSP官方学习指南云安全认证专家》涵盖CCSP认证的6大核心领域，是安全从业人员保护和优化云计算环境、通过CCSP认证的有效指导。

随书线上资源，包括成套考试模拟题和数百张速记卡。

作者简介

BrianT.O’Hara，持有CISSP、CCSP、CISA及CISM认证，担任DoItBest公司的信息安全官，拥有20多年的安全和审计工作经验，在PCI、医疗、制造和金融服务行业提供审计和安全咨询服务，曾担任世界500强公司的信息安全官。

在进入IS审计领域之前，Brian曾担任美国很大的社区学院的信息技术项目主席一职，在那里他协助建立了美国国家安全局(NSA)一个两年制的信息安全学术研究中心。除了参与撰写CISAStudyGuide，他还是Wiley、Sybex和(ISC)2的技术编辑。

10多年来，Brian在本地和国际信息安全系统协会(ISSA)都是活跃分子，也是ISSA会员。Brian是ISACAIndiana分会的前任主席，以及InfraGardIndiana成员联盟的主席。InfraGard

Indiana成员联盟由FBI与私企合作成立，共同保护美国的关键基础设施。

BenMalisow，持有CISSP、CCSP、CISM和Security+认证，担任CISSP和CCSP认证课程的(ISC)2官方讲师。Ben在信息技术和信息安全领域工作了近25年。曾为DARPA编写过内部IT安全策略，担任过FBI极高机密的反恐情报共享网络的信息系统安全经理，并协助开发了美国国土安全部交通安全管理局的IT安全架构。

Ben任教于多所大学和学校，包括卡内基梅隆大学CERT/SEI、UTSA、南内华达学院以及一所拉斯维加斯学校，为迷茫的年轻人提供6至12年级的课程。Ben出版过多本信息安全著作，也曾为SecurityFocus.com、ComputerWorld和其他期刊撰稿。

目录

第1章架构概念1

1.1业务需求3

1.1.1现有状态4

1.1.2收益量化和机会成本5

1.1.3预期影响7

1.2云计算的演化、术语和定义7

1.2.1新技术、新选择8

1.2.2云计算服务模型9

1.2.3云部署模型10

1.3云计算中的角色和责任12

1.4云计算定义12

1.5云计算的基本概念14

1.5.1敏感数据15

1.5.2虚拟化技术15

1.5.3加密技术15

1.5.4合规与持续审计16

1.5.5云服务提供商的合同16

1.6小结17

1.7考试要点17

1.8书面实验题17

1.9复习题17

第2章设计要求21

2.1业务需求分析21

2.1.1资产清单22

2.1.2资产评估22

2.1.3确定关键性23

2.1.4风险偏好24

2.2云模型的边界25

2.2.1IaaS边界26

2.2.2PaaS边界26

2.2.3SaaS边界27

2.3保护敏感数据的设计原则28

2.3.1设备加固28

2.3.2加密技术29

2.3.3分层防御29

2.4小结30

2.5考试要点30

2.6书面实验题31

2.7复习题31

第3章数据分级35

3.1数据资产清单与数据识别36

3.1.1数据所有权36

3.1.2云数据生命周期37

3.1.3数据识别方法40

3.2司法管辖权的要求41

3.3数据权限管理42

3.3.1知识产权的保护42

3.3.2DRM工具特征46

3.4数据控制48

3.4.1数据保留48

3.4.2数据审计49

3.4.3数据销毁/废弃51

3.5小结52

3.6考试要点53

3.7书面实验题53

3.8复习题53

第4章云数据安全57

4.1云数据生命周期58

4.1.1创建58

4.1.2存储59

4.1.3使用59

4.1.4共享60

4.1.5归档60

4.1.6销毁62

4.2云存储架构62

4.2.1卷存储：基于文件的存储

和块存储62

4.2.2基于对象的存储62

4.2.3数据库63

4.2.4内容分发网络63

4.3云数据安全的基本策略63

4.3.1加密技术63

4.3.2遮蔽、混淆、匿名和标记

技术65

4.3.3SIEM67

4.3.4出口的持续监测(DLP)68

4.4小结69

4.5考试要点69

4.6书面实验题70

4.7复习题70

第5章云端安全73

5.1云平台风险和责任的共担74

5.2基于部署和服务模型的云

计算风险76

5.2.1私有云76

5.2.2社区云77

5.2.3公有云77

5.2.4混合云81

5.2.5IaaS81

5.2.6PaaS81

5.2.7SaaS82

5.3虚拟化82

5.4云计算攻击面83

5.4.1部署模式的威胁83

5.4.2对策86

5.5灾难恢复和业务连续性

管理88

5.5.1云特定的BIA关注点88

5.5.2云客户/云服务提供商分担

BC和DR责任89

5.6小结91

5.7考试要点91

5.8书面实验题92

5.9复习题92

第6章云计算的责任95

6.1管理服务的基础97

6.2业务需求98

6.3按服务类型分担职责103

6.3.1IaaS103

6.3.2PaaS103

6.3.3SaaS103

6.4操作系统、中间件或应用程序

的管理分配104

6.5职责分担：数据访问105

6.5.1云客户直接管理访问

权限106

6.5.2云服务提供商代表云客户

管理访问权限106

6.5.3第三方(CASB)代表客户

管理访问权限107

6.6无法进行物理访问108

6.6.1审计108

6.6.2共享策略110

6.6.3共享的持续监测和

测试111

6.7小结111

6.8考试要点112

6.9书面实验题112

6.10复习题112

第7章云应用安全115

7.1培训和意识宣贯117

7.2云安全软件开发生命

周期121

7.3ISO/IEC27034-1应用开发

安全标准123

7.4身份和访问管理124

7.4.1身份存储库和目录

服务125

7.4.2单点登录126

7.4.3联合身份管理126

7.4.4联合验证标准127

7.4.5多因素身份验证127

7.4.6辅助安全设备128

7.5云应用架构129

7.5.1应用编程接口129

7.5.2租户隔离130

7.5.3密码学131

7.5.4沙箱技术133

7.5.5应用虚拟化133

7.6云应用保证与验证134

7.6.1威胁建模134

7.6.2服务质量137

7.6.3软件安全测试137

7.6.4已核准的API141

7.6.5软件供应链管理

(API方面)141

7.6.6开源软件安全142

7.6.7RASP142

7.6.8代码安全审查142

7.6.9OWASPTop9编码

缺陷143

7.7小结143

7.8考试要点143

7.9书面实验题144

7.10复习题144

第8章运营要素149

8.1物理/逻辑运营150

8.1.1设施和冗余151

8.1.2虚拟化运营158

8.1.3存储操作159

8.1.4物理和逻辑隔离161

8.2安全培训和意识宣贯162

8.2.1培训项目类别162

8.2.2其他培训要点165

8.3应用运营安全基础166

8.3.1威胁建模166

8.3.2应用测试方法168

8.4小结168

8.5考试要点168

8.6书面实验题169

8.7复习题169

第9章运营管理173

9.1持续监测、容量以及维护174

9.1.1持续监测174

9.1.2维护176

9.2变更和配置管理179

9.3业务连续性和灾难恢复182

9.3.1主要关注事项183

9.3.2运营连续性184

9.3.3BC/DR计划184

9.3.4BC/DR工具包186

9.3.5重新安置186

9.3.6供电187

9.3.7测试189

9.4小结189

9.5考试要点190

9.6书面实验题190

9.7复习题190

第10章法律与合规(第一部分)193

10.1云环境中的法律要求与独特

风险194

10.1.1法律概念194

10.1.2美国法律200

10.1.3国际法204

10.1.4世界各地的法律、框架

和标准204

10.1.5法律、规章和标准之间的

差异211

10.2云环境下个人及数据隐私的

潜在问题212

10.2.1电子发现212

10.2.2取证要求213

10.2.3解决国际冲突213

10.2.4云计算取证的挑战213

10.2.5合同性与监管性PII214

10.2.6直接和间接标识214

10.3理解审计流程、方法论及云环

境所需的调整215

10.3.1虚拟化215

10.3.2审计范围215

10.3.3差距分析215

10.3.4信息安全管理体系216

10.3.5托管服务的审计权216

10.3.6审计范围陈述217

10.3.7策略217

10.3.8不同类型的审计

报告217

10.3.9审计师的独立性218

10.3.10AICPA报告和

标准218

10.4小结220

10.5考试要点220

10.6书面实验题221

10.7复习题221

第11章法律与合规(第二部分)225

11.1多样的地理位置和司法管

辖权的影响226

11.1.1策略227

11.1.2云计算对企业风险管理

的影响231

11.1.3管理风险的选择232

11.1.4风险管理框架234

11.1.5风险管理指标236

11.1.6合同和服务水平

协议(SLA)237

11.2业务需求239

11.3云计算外包的合同设计与

管理240

11.4确定合适的供应链和供应商

管理流程240

11.4.1通用标准保证框架241

11.4.2云计算认证241

11.4.3STAR242

11.4.4供应链风险243

11.5小结244

11.6考试要点245

11.7书面实验题245

11.8复习题245

附录A复习题答案249

附录B书面实验题答案263

前言/序言

在2018年3月召开的第十三届全国人民代表大会第一次会议上，李克强总理在政府工作报告中明确提出“深入开展‘互联网+’行动，实行包容审慎监管，推动大数据、云计算、物联网的广泛应用”。总理的讲话体现了国家层面对云计算的重视，可以预见，在今后相当长时期内，云计算将一直是热点领域。

自从Google首席执行官埃里克?施密特(EricSchmidt)在2006年提出“云计算”概念以来，云计算技术历经十多年的迅猛发展，取得了长足进步。众多企业从起初的谨慎观望，转为热情拥抱云计算。各大厂商也不断推出各种云计算产品和服务。

按照NIST(美国国家标准与技术研究院)的定义：“云计算是一种模式，是一种无处不在的、便捷的、按需提供的、基于网络访问的、共享使用的、可配置的计算资源(包括网络、服务器、存储、应用及服务)，可通过最少的管理工作或与云服务提供商的互动来快速配置并发布”。云计算是对信息技术架构的一场革命；未来，企业不需要建设机房、维护软硬件设备就能以经济实惠的价格获得强大的计算能力。

新技术也带来了新挑战。信息安全问题尤为突出：数据保存在企业外部，与其他公司共用系统和服务，由第三方人员管理维护，支撑云计算的数据中心可能位于另一个具有不同法律体系的国家，需要满足不同的个人隐私保护要求，面临严峻的合规挑战。

在安全行业，企业与攻击者攻防激烈，一直处于“道高一尺，魔高一丈”的缠斗状态。云计算技术的横空出世，将双方的战场转移到一片更广阔的天地。传统的安全信任边界变得模糊，政府、企业及个人如何识别可信的云计算服务提供商？如何保护云计算服务环境下的数据安全和隐私？如何评估云计算服务的整体安全性？如何更新自己的安全策略？这些都是全新的课题。

作为国际性安全行业观察者，(ISC)2与CloudSecurityAlliance及时捕捉到这一需求，推出CCSP(云安全认证专家)课程及认证考试。CCSP知识体系代表云计算安全知识和经验的业界最高标准，在全球范围内得到广泛认可，认证地位稳步上升。持有该证书，专业人员可证明自己具有扎实渊博的学识和深厚的造诣，掌握了国际公认的高级云安全专业知识，具备规划、设计、运维和服务能力。

《CCSP官方学习指南云安全认证专家》全面系统地讲述CCSP认证考试的所有知识域。(ISC)2假定CCSP认证的应试者透彻理解信息安全领域的基本知识，并具有一定的工作经验。《CCSP官方学习指南云安全认证专家》不介绍基础内容，但这些在考试中是会出现的。如果你尚未通过CISSP等认证，最好首先补充学习一些CISSP认证的相关资料。另外，即使你暂不准备参加认证考试，但希望全面理解云计算安全相关知识，学习《CCSP官方学习指南云安全认证专家》也将受益匪浅。

北京爱思考科技有限公司(BeijingAthinkCo.,Ltd)专门组织力量将该书翻译出版，希望书中介绍的有关CCSP认证考试的内容能指导读者理解和掌握云计算安全知识，也能为CCSP考生进行学习和备考提供支持和帮助。

这里衷心感谢《CCSP官方学习指南云安全认证专家》的原作者和编辑们，是他们的支持和授权，才使这《CCSP官方学习指南云安全认证专家》的中文版得以顺利出版；还要感谢(ISC)?中国办公室和清华大学出版社将《CCSP官方学习指南云安全认证专家》引入中国，以飨广大安全行业的读者；更要感谢为这《CCSP官方学习指南云安全认证专家》的出版付出大量艰辛劳动的各位译者，是各位译者的辛勤工作，才使中国读者得以方便地学习CCSP中云计算安全的相关知识与经验；最后感谢清华大学出版社的王军老师及编辑团队，他们在编辑过程中严格把关，提出详尽的修订建议，保证了《CCSP官方学习指南云安全认证专家》的绝对权威和上乘质量。

最后，预祝所有应试者顺利通过CCSP认证考试；衷心希望广大读者通过《CCSP官方学习指南云安全认证专家》学到CCSP知识精髓，并在云计算信息安全领域做出一番辉煌事业！