云安全CCSP認(rèn)證官方指南（第2版）

目 錄




第1章 架構(gòu)概念 1
1.1 業(yè)務(wù)需求 3
1.1.1 現(xiàn)有狀態(tài) 4
1.1.2 量化收益和機(jī)會(huì)成本 5
1.1.3 預(yù)期影響 7
1.2 云計(jì)算的演化、術(shù)語和模型 8
1.2.1 新技術(shù)、新選擇 8
1.2.2 云計(jì)算服務(wù)模型 8
1.2.3 云部署模型 10
1.3 云計(jì)算中的角色和責(zé)任 12
1.4 云計(jì)算定義 12
1.5 云計(jì)算的基本概念 14
1.5.1 敏感數(shù)據(jù) 14
1.5.2 虛擬化技術(shù) 14
1.5.3 加密技術(shù) 14
1.5.4 審計(jì)與合規(guī) 15
1.5.5 云服務(wù)提供商的合同 15
1.6 相關(guān)的新興技術(shù) 16
1.7 小結(jié) 17
1.8 考試要點(diǎn) 17
1.9 書面實(shí)驗(yàn)題 17
1.10 復(fù)習(xí)題 17
第2章 設(shè)計(jì)要求 21
2.1 業(yè)務(wù)需求分析 22
2.1.1 資產(chǎn)清單 22
2.1.2 資產(chǎn)評(píng)估 22
2.1.3 確定關(guān)鍵性 23
2.1.4 風(fēng)險(xiǎn)偏好 24
2.2 不同類型云的安全注意事項(xiàng) 26
2.2.1 IaaS注意事項(xiàng) 26
2.2.2 PaaS注意事項(xiàng) 27
2.2.3 SaaS注意事項(xiàng) 27
2.2.4 一般注意事項(xiàng) 27
2.3 保護(hù)敏感數(shù)據(jù)的設(shè)計(jì)原則 28
2.3.1 設(shè)備加固 28
2.3.2 加密技術(shù) 29
2.3.3 分層防御 30
2.4 小結(jié) 30
2.5 考試要點(diǎn) 31
2.6 書面實(shí)驗(yàn)題 31
2.7 復(fù)習(xí)題 31
第3章 數(shù)據(jù)分級(jí) 35
3.1 數(shù)據(jù)資產(chǎn)清單與數(shù)據(jù)識(shí)別 37
3.1.1 數(shù)據(jù)所有權(quán) 37
3.1.2 云數(shù)據(jù)生命周期 38
3.1.3 數(shù)據(jù)識(shí)別方法 41
3.2 司法管轄權(quán)的要求 43
3.3 信息權(quán)限管理 44
3.3.1 知識(shí)產(chǎn)權(quán)的保護(hù) 44
3.3.2 IRM工具特征 48
3.4 數(shù)據(jù)控制 49
3.4.1 數(shù)據(jù)保留 50
3.4.2 合法保留 51
3.4.3 數(shù)據(jù)審計(jì) 51
3.4.4 數(shù)據(jù)銷毀/廢棄 53
3.5 小結(jié) 54
3.6 考試要點(diǎn) 54
3.7 書面實(shí)驗(yàn)題 55
3.8 復(fù)習(xí)題 55
第4章 云數(shù)據(jù)安全 59
4.1 云數(shù)據(jù)生命周期 61
4.1.1 創(chuàng)建 61
4.1.2 存儲(chǔ) 62
4.1.3 使用 62
4.1.4 共享 63
4.1.5 歸檔 64
4.1.6 銷毀 65
4.2 云存儲(chǔ)架構(gòu) 65
4.2.1 卷存儲(chǔ)：基于文件的存儲(chǔ)和塊存儲(chǔ) 65
4.2.2 基于對(duì)象的存儲(chǔ) 66
4.2.3 數(shù)據(jù)庫 66
4.2.4 內(nèi)容分發(fā)網(wǎng)絡(luò) 66
4.3 云數(shù)據(jù)安全的基本策略 66
4.3.1 加密技術(shù) 67
4.3.2 遮蔽、混淆、匿名化和令牌化 68
4.3.3 安全信息和事件管理 71
4.3.4 出口的持續(xù)監(jiān)測(DLP) 72
4.4 小結(jié) 73
4.5 考試要點(diǎn) 73
4.6 書面實(shí)驗(yàn)題 73
4.7 復(fù)習(xí)題 74
第5章 云端安全 77
5.1 云平臺(tái)風(fēng)險(xiǎn)和責(zé)任的共擔(dān) 78
5.2 基于部署模型的云計(jì)算風(fēng)險(xiǎn) 80
5.2.1 私有云 80
5.2.2 社區(qū)云 81
5.2.3 公有云 82
5.2.4 混合云 85
5.3 云計(jì)算風(fēng)險(xiǎn)的服務(wù)模型 85
5.3.1 IaaS 86
5.3.2 PaaS 86
5.3.3 SaaS 86
5.4 虛擬化 87
5.4.1 威脅 88
5.4.2 對(duì)策 90
5.5 災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性 92
5.5.1 云特定的BIA關(guān)注點(diǎn) 92
5.5.2 云客戶/云服務(wù)提供商分擔(dān)BC/DR責(zé)任 93
5.6 小結(jié) 95
5.7 考試要點(diǎn) 96
5.8 書面實(shí)驗(yàn)題 96
5.9 復(fù)習(xí)題 96
第6章 云計(jì)算的責(zé)任 101
6.1 管理服務(wù)的基礎(chǔ) 103
6.2 業(yè)務(wù)需求 104
6.3 按服務(wù)類型分擔(dān)職責(zé) 109
6.3.1 IaaS 109
6.3.2 PaaS 109
6.3.3 SaaS 110
6.4 操作系統(tǒng)、中間件或應(yīng)用程序的管理分配 110
6.5 職責(zé)分擔(dān)：數(shù)據(jù)訪問 112
6.5.1 云客戶直接管理訪問權(quán)限 112
6.5.2 云服務(wù)提供商代表云客戶管理訪問權(quán)限 113
6.5.3 第三方(CASB)代表客戶管理訪問權(quán)限 113
6.6 無法進(jìn)行物理訪問 113
6.6.1 審計(jì) 113
6.6.2 共享策略 116
6.6.3 共享的持續(xù)監(jiān)測和測試 117
6.7 小結(jié) 118
6.8 考試要點(diǎn) 118
6.9 書面實(shí)驗(yàn)題 118
6.10 復(fù)習(xí)題 119
第7章 云應(yīng)用安全 123
7.1 培訓(xùn)和意識(shí)宣貫 125
7.2 云安全軟件開發(fā)生命周期 129
7.3 ISO/IEC 27034-1安全應(yīng)用程序開發(fā)標(biāo)準(zhǔn) 131
7.4 身份和訪問管理 132
7.4.1 身份存儲(chǔ)庫和目錄服務(wù) 133
7.4.2 單點(diǎn)登錄 133
7.4.3 聯(lián)合身份管理 133
7.4.4 聯(lián)合驗(yàn)證標(biāo)準(zhǔn) 134
7.4.5 多因素身份驗(yàn)證 135
7.4.6 輔助安全設(shè)備 135
7.5 云應(yīng)用架構(gòu) 136
7.5.1 應(yīng)用編程接口 136
7.5.2 租戶隔離 137
7.5.3 密碼學(xué) 137
7.5.4 沙箱技術(shù) 138
7.5.5 應(yīng)用虛擬化 139
7.6 云應(yīng)用保證與驗(yàn)證 139
7.6.1 威脅建模 139
7.6.2 服務(wù)質(zhì)量 141
7.6.3 軟件安全測試 141
7.6.4 已核準(zhǔn)的API 143
7.6.5 軟件供應(yīng)鏈管理(API方面) 143
7.6.6 開源軟件安全 144
7.6.7 應(yīng)用編排 144
7.6.8 安全網(wǎng)絡(luò)環(huán)境 145
7.7 小結(jié) 146
7.8 考試要點(diǎn) 146
7.9 書面實(shí)驗(yàn)題 146
7.10 復(fù)習(xí)題 147
第8章 運(yùn)營要素 151
8.1 物理/邏輯運(yùn)營 153
8.1.1 設(shè)施和冗余 154
8.1.2 虛擬化運(yùn)營 162
8.1.3 存儲(chǔ)運(yùn)營 163
8.1.4 物理和邏輯隔離 166
8.1.5 應(yīng)用程序測試方法 167
8.2 安全運(yùn)營中心 168
8.2.1 持續(xù)監(jiān)控 168
8.2.2 事件管理 168
8.3 小結(jié) 170
8.4 考試要點(diǎn) 170
8.5 書面實(shí)驗(yàn)題 170
8.6 復(fù)習(xí)題 170
第9章 運(yùn)營管理 173
9.1 持續(xù)監(jiān)測、容量以及維護(hù) 174
9.1.1 持續(xù)監(jiān)測 174
9.1.2 維護(hù) 175
9.2 變更和配置管理 179
9.3 IT服務(wù)管理和持續(xù)服務(wù)改進(jìn) 183
9.4 業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù) 184
9.4.1 主要關(guān)注事項(xiàng) 184
9.4.2 運(yùn)營連續(xù)性 185
9.4.3 BC/DR計(jì)劃 185
9.4.4 BC/DR工具包 187
9.4.5 重新安置 188
9.4.6 供電 189
9.4.7 測試 190
9.5 小結(jié) 190
9.6 考試要點(diǎn) 191
9.7 書面實(shí)驗(yàn)題 191
9.8 復(fù)習(xí)題 191
第10章 法律與合規(guī)(第一部分) 195
10.1 云環(huán)境中的法律要求與獨(dú)特風(fēng)險(xiǎn) 197
10.1.1 法律概念 197
10.1.2 美國法律 200
10.1.3 國際法 202
10.1.4 世界各地的法律、框架和標(biāo)準(zhǔn) 202
10.1.5 信息安全管理體系(ISMS) 208
10.1.6 法律、規(guī)章和標(biāo)準(zhǔn)之間的差異 209
10.2 云環(huán)境下個(gè)人及數(shù)據(jù)隱私的潛在問題 210
10.2.1 電子發(fā)現(xiàn) 210
10.2.2 取證要求 211
10.2.3 解決國際沖突 211
10.2.4 云計(jì)算取證的挑戰(zhàn) 212
10.2.5 直接和間接標(biāo)識(shí) 212
10.2.6 取證數(shù)據(jù)收集方法 213
10.3 理解審計(jì)流程、方法論及云環(huán)境所需的調(diào)整 213
10.3.1 虛擬化 214
10.3.2 審計(jì)范圍 214
10.3.3 差距分析 214
10.3.4 限制審計(jì)范圍聲明 215
10.3.5 策略 215
10.3.6 不同類型的審計(jì)報(bào)告 216
10.3.7 審計(jì)師的獨(dú)立性 216
10.3.8 AICPA報(bào)告和標(biāo)準(zhǔn) 216
10.4 小結(jié) 218
10.5 考試要點(diǎn) 218
10.6 書面實(shí)驗(yàn)題 218
10.7 復(fù)習(xí)題 219
第11章 法律與合規(guī)(第二部分) 221
11.1 多樣的地理位置和司法管轄權(quán)的影響 223
11.1.1 策略 224
11.1.2 云計(jì)算對(duì)企業(yè)風(fēng)險(xiǎn)管理的影響 227
11.1.3 管理風(fēng)險(xiǎn)的選擇 227
11.1.4 風(fēng)險(xiǎn)管理框架 230
11.1.5 風(fēng)險(xiǎn)管理指標(biāo) 231
11.1.6 合同和服務(wù)水平協(xié)議(SLA) 232
11.2 業(yè)務(wù)需求 234
11.3 云計(jì)算外包的合同設(shè)計(jì)與管理 234
11.4 確定合適的供應(yīng)鏈和供應(yīng)商管理流程 235
11.4.1 通用標(biāo)準(zhǔn)保證框架 235
11.4.2 CSA STAR 236
11.4.3 供應(yīng)鏈風(fēng)險(xiǎn) 236
11.4.4 相關(guān)方的溝通管理 237
11.5 小結(jié) 238
11.6 考試要點(diǎn) 238
11.7 書面實(shí)驗(yàn)題 238
11.8 復(fù)習(xí)題 239
附錄A 書面實(shí)驗(yàn)題答案 241
附錄B 復(fù)習(xí)題答案 249