CSA 云 计 算 关 键 领 域 安 全 指 南 v4 .0Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reserved 12Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reservedCSA 云 计 算 关 键 领 域 安 全 指 南 v4 .0云 计 算 关 键 领 域 安 全 指 南 v4 .0 的 官 方 网 址 是 ：英 文 版 ：cloudsecurityalliance/document/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v4 -0 /中 文 版 ：c-csa/wenxianxiazai.html© 2 0 1 7 Cloud Security Alliance All Rights Reserved All rights reserved.你 可 以 下 载 、 存 储 、 显 示 在 你 的 电 脑 上 ,查 看 ,打 印 ， 以 及 链 接 到 云 计 算 关 键 领 域 安 全 指 南 v4 .0cloudsecurityalliance/document/V4 .0 security-guidance-for-critical-areas-of-focus-in-cloud-computing-v4 -0 /,以 下 主 题 :(a)报 告 可 用 于 个 人 ， 信 息 ,非 商 业 用 途 ;(b)报 告 不 得 修 改 或 以 任 何 方 式 改 变 ;(c)报 告 不 得 重 新分 布 ;(d)商 标 ,版 权 或 其 他 条 款 不 可 被 删 除 。 根 据 美 国 版 权 法 的 合 理 使 用 条 款 ， 如 果 你 将 引 用 部 分 归 为 云计 算 关 键 领 域 安 全 指 南 v4 .0 ， 那 么 你 可 以 引 用 报 告 的 部 分 内 容 。3Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reservedCSA 云 计 算 关 键 领 域 安 全 指 南 v4 .0中 文 版 翻 译 说 明CSA云 计 算 关 键 领 域 安 全 指 南 v4 .0 由 CSA大 中 华 区 研 究 院 组 织 志 愿 者 进 行 翻 译 。参 与 翻 译 工 作 专 家 名 单 ：D1 及 前 面 部 分 由 高 轶 峰 、 张 全 伟 、 洪 毅 翻 译 ， D2 由 王 永 霞 翻 译 ， D3 由 刘 剑 、 白 阳 翻 译 ， D4 由陈 皓 翻 译 ， D5 由 牛 志 军 翻 译 ， D6 由 李 建 民 翻 译 ， D7 由 孙 军 、 刘 永 钢 、 陈 光 杰 翻 译 ， D8 由 王 红波 翻 译 ， D9 由 黄 远 辉 翻 译 ， D1 0 由 耿 万 德 翻 译 ， D1 1 由 任 兰 芳 翻 译 ， D1 2 由 姚 伟 翻 译 ， D1 3 由黄 远 辉 、 马 超 翻 译 ， D1 4 由 邹 荣 新 翻 译 。参 与 审 校 工 作 工 作 专 家 名 单 ：D1 及 前 面 部 分 由 顾 伟 、 王 朝 辉 审 校 ， D2 由 李 建 民 审 校 ， D3 由 刘 剑 、 白 阳 审 校 ， D4 由 耿 万 德 审校 ， D5 由 陈 皓 审 校 ， D6 由 王 永 霞 审 校 ， D7 由 孙 军 、 刘 永 钢 审 校 ， D8 由 姚 伟 审 校 ， D9 由 王 红波 审 校 ， D1 0 由 牛 志 军 审 校 ， D1 1 由 张 全 伟 审 校 ， D1 2 由 任 兰 芳 审 校 ， D1 3 由 黄 远 辉 审 校 ， D1 4由 高 轶 峰 审 校 。合 稿 审 核 ： 李 雨 航 、 郭 剑 锋 、 叶 思 海 、 刘 文 宇 、 杨 炳 年 。全 文 由 郭 剑 锋 、 叶 思 海 负 责 组 织 和 统 稿 。在 此 感 谢 参 与 翻 译 工 作 的 志 愿 者 。 由 于 翻 译 时 间 仓 促 ， 存 在 很 多 不 足 的 地 方 ， 请 大 家 批 评 指 正 。 欢迎 大 家 提 供 修 改 意 见 ， 可 发 送 邮 件 到 下 面 邮 箱 ： infochina-csa。4Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reservedCSA 前 言 云 计 算 关 键 领 域 安 全 指 南 v4 .0欢 迎 来 到 云 安 全 联 盟 关 于 云 计 算 关 键 领 域 安 全 指 南 的 第 四 个 版 本 。 云 计 算 的 兴 起 是 一 项 不断 发 展 的 技 术 ， 它 带 来 了 许 多 机 遇 和 挑 战 。 通 过 这 个 文 档 ， 我 们 的 目 标 是 提 供 指 导 和 灵 感 来 支持 业 务 目 标 ， 同 时 管 理 和 减 轻 采 用 云 计 算 技 术 相 关 的 风 险 。云 安 全 联 盟 促 进 了 在 云 计 算 领 域 内 提 供 安 全 保 证 的 最 佳 实 践 ， 并 为 寻 求 采 用 云 计 算 模 式 的组 织 提 供 了 一 个 实 用 的 、 可 执 行 的 路 线 图 。 云 计 算 关 键 领 域 安 全 指 南 的 第 四 个 版 本 是 建 立 在 之前 的 安 全 指 南 、 专 门 地 研 究 、 云 安 全 联 盟 成 员 、 工 作 组 以 及 我 们 社 区 的 行 业 专 家 的 公 开 参 与 之上 的 。 该 版 本 集 成 了 云 、 安 全 性 和 支 持 技 术 方 面 的 进 展 ， 反 映 了 现 实 世 界 的 云 安 全 实 践 ， 集 成了 最 新 的 云 安 全 联 盟 研 究 项 目 ， 并 为 相 关 技 术 提 供 了 指 导 。安 全 云 计 算 的 发 展 需 要 来 自 广 泛 的 全 球 分 布 式 利 益 相 关 方 的 积 极 参 与 。 CSA 汇 集 了 不 同 的行 业 合 作 伙 伴 、 国 际 机 构 组 织 、 工 作 组 和 个 人 。 我 们 非 常 感 谢 所 有 为 这 次 发 布 做 出 贡 献 的 人 。请 访 问 cloudsecurityalliance， 了 解 您 如 何 与 我 们 合 作 ， 确 定 并 促 进 最 佳 实 践 ， 以 确 保有 一 个 安 全 的 云 计 算 环 境 。Best Regards,Luciano (J.R.) SantosExecutive Vice President ofResearch Cloud SecurityAlliance5Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reservedCSA致 谢Lead Authors 云 计 算 关 键 领 域 安 全 指 南 v4 .0Rich MogullJames ArlenAdrian LaneGunnar PetersonMike RothmanDavid MortmanEditorsDan MorenJohn MoltzCSA StaffJim ReavisLuciano (J.R.) SantosDaniele CattedduFrank GuancoHillary BaronVictor ChinRyan BergsmaStephen Lumpe (Design)编 著 者我 们 谨 代 表 CSA 董 事 会 和 CSA 执 行 团 队 ， 感 谢 所 有 为 CSA 云 计 算 关 键 领 域 安 全 指 南 提 供 时间 和 反 馈 的 个 人 。 我 们 珍 视 您 的 志 愿 者 贡 献 ， 相 信 像 您 这 样 的 志 愿 者 将 继 续 引 领 云 安 全 联 盟 走 向未 来 。6Security Guidance v.4 © Copyright 2 0 1 7 , Cloud Security Alliance. All rights reservedCSA 云 计 算 关 键 领 域 安 全 指 南 v4 .0CEO 的 来 信我 对 这 个 社 区 的 云 安 全 最 佳 实 践 的 最 新 贡 献 感 到 非 常 激 动 ， 这 一 实 践 始 于 2 0 0 9 年 4 月 发 布的 云 安 全 联 盟 最 初 的 指 导 文 件 。 我 们 希 望 您 能 仔 细 研 究 这 里 列 出 的 问 题 和 建 议 ， 与 您 自 己 的 经验 相 比 较 ， 并 向 我 们 提 供 您 的 反 馈 。 非 常 感 谢 所 有 参 与 这 项 研 究 的 人 。最 近 ， 我 有 机 会 与 帮 助 建 立 云 安 全 联 盟 的 一 位 行 业 专 家 共 度 一 天 。 他 表 示 ， CSA 已 经 完 成了 最 初 的 任 务 ， 即 为 了 证 明 云 计 算 可 以 安 全 ， 并 提 供 必 要 的 工 具 来 实 现 这 一 目 标 。 CSA 不 仅 帮助 云 计 算 成 为 信 息 技 术 的 可 靠 安 全 选 择 ， 而 且 今 天 的 云 计 算 已 经 成 为 IT 的 默 认 选 择 ， 并 且 正 在以 非 常 深 远 的 方 式 重 塑 现 代 商 业 世 界 。云 计 算 的 巨 大 成 功 和 CSA 在 引 领 受 信 任 的 云 生 态 系 统 方 面 的 作 用 ， 给 我 们 的 新 使 命 带 来 了更 大 的 挑 战 和 紧 迫 感 。 云 现 在 已 经 成 为 各 种 计 算 形 式 的 后 端 ， 包 括 无 处 不 在 的 物 联 网 。 云 计 算是 信 息 安 全 行 业 的 基 础 。 集 装 箱 (容 器 )化 和 DevOps 等 等 在 组 织 内 的 IT 新 常 态 ， 已 经 与 云 计 算 密不 可 分 ， 加 速 了 我 们 的 变 革 。 在 云 安 全 联 盟 中 ， 我 们 致 力 于 为 您 提 供 在 高 速 发 展 的 IT 环 境 中 您所 需 的 必 要 的 安 全 知 识 ， 让 您 保 持 在 新 时 代 质 量 保 证 和 信 任 趋 势 的 前 沿 。 总 之 ， 我 们 欢 迎 你 们 加入 我 们 的 社 区 。Best Regards,Jim ReavisCo-Founder 虚 拟 化 技 术 将 资 源 抽 象 化 ， 但 是 它 通 常 缺 乏 将 它们 组 合 在 一 起 并 按 需 分 发 给 用 户 的 调 配 ， 而 是 依 赖 于 手 动 流 程 。云 是 多 租 户 的 。 多 个 不 同 的 消 费 者 共 享 同 一 个 资 源 池 ,但 彼 此 相 互 隔 离 和 孤 立 。 隔 离 允 许 云提 供 商 将 资 源 分 配 到 不 同 的 组 ,孤 立 确 保 他 们 不 能 看 到 或 修 改 对 方 的 资 产 。 多 租 户 不 仅 应 用 在 不同 的 组 织 ;它 还 用 于 在 单 个 业 务 或 组 织 中 分 配 不 同 单 元 之 间 的 资 源 。1.1.2 定 义 模 型云 安 全 联 盟 (CSA)使 用 NIST model for cloud computing 作 为 定 义 云 计 算 的 标 准 。 CSA 还 支 持 更深 入 的 ISO/IEC model， 并 作 为 参 考 模 型 。 在 这 个 领 域 中 ， 我 们 将 引 用 两 者 。NIST 出 版 物 是 被 普 遍 接 受 的 ， 所 以 ， 我 们 选 择 与 NIST Working Definition of Cloud Computing（ NIST 8 0 0 -1 4 5 ） 保 持 一 致 ， 这 样 我 们 能 够 集 中 精 力 到 用 例 上 ， 而 不 是 细 微 的 语 法 定 义 差 别 上 ，同 时 能 保 证 一 致 性 并 获 得 广 泛 的 共 识 。