網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 程支豪 譯

（中電錦江信息產(chǎn)業(yè)有限公司，成都 610051）

“海外報(bào)告”欄目針對(duì)國(guó)際重點(diǎn)報(bào)告原文進(jìn)行摘譯、編譯，旨在幫助讀者了解網(wǎng)信領(lǐng)域國(guó)際發(fā)展形勢(shì)及最新動(dòng)態(tài)，內(nèi)容僅代表原文作者見(jiàn)解，不代表本編輯部立場(chǎng)和觀點(diǎn)，僅供學(xué)術(shù)交流使用。所刊內(nèi)容如涉及版權(quán)問(wèn)題，請(qǐng)聯(lián)系本編輯部。

0 引言

2022年6月23日，美國(guó)國(guó)土安全部（Department of Homeland Security，DHS）部長(zhǎng)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）局長(zhǎng)、預(yù)算和管理辦公室（Office of Management and Budget，OMB）主任、聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃（Federal Risk and Authorization Management Program，F(xiàn)edRAMP）執(zhí)行局長(zhǎng)協(xié)商，制定并發(fā)布了《云安全技術(shù)參考架構(gòu)》2.0版本，為機(jī)構(gòu)利用云安全態(tài)勢(shì)管理（Cloud Security Posture Management，CSPM）收集和報(bào)告云遷移以及數(shù)據(jù)保護(hù)提供方法和建議。

1 簡(jiǎn)介

“改善國(guó)家網(wǎng)絡(luò)安全”的第14028號(hào)行政命令（2021年5月）標(biāo)志著對(duì)美國(guó)聯(lián)邦網(wǎng)絡(luò)安全現(xiàn)代化戰(zhàn)略優(yōu)先級(jí)的再次重申。在其他政策要求中，第14028號(hào)行政命令將零信任作為理想的安全模型，并要求CISA對(duì)其當(dāng)前的網(wǎng)絡(luò)安全計(jì)劃、服務(wù)和能力進(jìn)行現(xiàn)代化改造，以使其在云計(jì)算環(huán)境中充分發(fā)揮作用。雖然第14028號(hào)行政命令標(biāo)志著政策的轉(zhuǎn)變，但近年來(lái)做出的許多努力仍支持該行政命令的主要原則，如下文所述。

（1）“改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”的第13636號(hào)行政命令（2013年2月）。擴(kuò)大信息共享項(xiàng)目，例如增強(qiáng)網(wǎng)絡(luò)安全服務(wù)，向美國(guó)公司提供機(jī)密和非機(jī)密的網(wǎng)絡(luò)威脅信息。

（2）“加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全”的第13800號(hào)行政命令（2017年5月）。授權(quán)各機(jī)構(gòu)利用美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布的網(wǎng)絡(luò)安全框架實(shí)施風(fēng)險(xiǎn)管理措施，以降低未經(jīng)授權(quán)獲取政府信息技術(shù)資產(chǎn)的風(fēng)險(xiǎn)。第13800號(hào)行政命令還指示各機(jī)構(gòu)在IT采購(gòu)中確定共享服務(wù)的優(yōu)先次序。通過(guò)這種方式，第13800號(hào)行政命令同等重視有效的風(fēng)險(xiǎn)管理和IT現(xiàn)代化，指導(dǎo)機(jī)構(gòu)在遷移到云環(huán)境的同時(shí)需要實(shí)施有效的數(shù)據(jù)保護(hù)。第13800號(hào)行政命令更加強(qiáng)調(diào)了網(wǎng)絡(luò)安全框架的重要性，并為美國(guó)聯(lián)邦政府更快地采用云遷移奠定了基礎(chǔ)。

（3）“保障信息和通信技術(shù)及服務(wù)供應(yīng)鏈的安全”的第13873號(hào)行政命令（2019年5月）。強(qiáng)調(diào)通過(guò)保障供應(yīng)鏈來(lái)保護(hù)IT關(guān)鍵基礎(chǔ)設(shè)施。通過(guò)這種方式，突出了供應(yīng)鏈和IT采購(gòu)對(duì)于政府運(yùn)作和機(jī)構(gòu)任務(wù)履行的重要性。

近期，威脅云計(jì)算環(huán)境的網(wǎng)絡(luò)漏洞已經(jīng)產(chǎn)生了廣泛的負(fù)面影響，需要國(guó)家及時(shí)地做出反應(yīng)。這表明，“一切照舊”的方法不能用來(lái)保護(hù)國(guó)家免受網(wǎng)絡(luò)威脅。此外，云遷移需要文化改變、優(yōu)先級(jí)和設(shè)計(jì)方法，這些都必須得到整個(gè)組織的接受、驅(qū)動(dòng)和支持才能取得成功。

云安全技術(shù)參考架構(gòu)以上述舉措為基礎(chǔ)，通過(guò)專注于云現(xiàn)代化工作，支持美國(guó)聯(lián)邦機(jī)構(gòu)在快速發(fā)展的環(huán)境和技術(shù)中持續(xù)進(jìn)步，即共享服務(wù)、在云中設(shè)計(jì)軟件和云安全態(tài)勢(shì)管理。

2 宗旨和范圍

云安全技術(shù)參考架構(gòu)的目的是在機(jī)構(gòu)持續(xù)采用云技術(shù)時(shí)以協(xié)調(diào)和深思熟慮的方式指導(dǎo)他們。這種方法將使美國(guó)聯(lián)邦政府具備識(shí)別、檢測(cè)、保護(hù)、響應(yīng)和從網(wǎng)絡(luò)事件中恢復(fù)的能力，同時(shí)提高整個(gè)政府、企業(yè)的網(wǎng)絡(luò)安全。如第14028號(hào)行政命令所述，本行政命令旨在告知各機(jī)構(gòu)在開(kāi)始實(shí)施零信任架構(gòu)時(shí)采用基于云服務(wù)的優(yōu)勢(shì)和固有風(fēng)險(xiǎn)。云安全技術(shù)參考架構(gòu)還說(shuō)明了用于代理數(shù)據(jù)收集和報(bào)告的云遷移和數(shù)據(jù)保護(hù)的推薦方法。

該技術(shù)參考架構(gòu)旨在以下列方式為采用云服務(wù)的機(jī)構(gòu)提供指導(dǎo)。

（1）云部署。為機(jī)構(gòu)安全地部署、集成、維護(hù)和操作云服務(wù)提供指導(dǎo)。

（2）適應(yīng)性解決方案。提供靈活和廣泛適用的體系結(jié)構(gòu)，以標(biāo)識(shí)云功能和與供應(yīng)商無(wú)關(guān)的解決方案。

（3）安全體系結(jié)構(gòu)。支持建立云環(huán)境，并為代理操作提供安全的基礎(chǔ)設(shè)施、平臺(tái)和服務(wù)。

（4）DevSecOps。支持一個(gè)安全、動(dòng)態(tài)的系統(tǒng)設(shè)計(jì)和工程周期，該周期通過(guò)構(gòu)建、學(xué)習(xí)和迭代解決方案來(lái)優(yōu)先考慮能力的設(shè)計(jì)、開(kāi)發(fā)和交付。

（5）零信任。支持代理機(jī)構(gòu)計(jì)劃采用零信任架構(gòu)。

這一技術(shù)參考架構(gòu)分為3個(gè)主要部分。

（1）共享服務(wù)。涵蓋評(píng)估云服務(wù)安全性的標(biāo)準(zhǔn)化基線。

（2）云遷移。概述云遷移的策略和考慮因素，包括對(duì)常見(jiàn)遷移場(chǎng)景的解釋。

（3）CSPM。定義CSPM，并列舉用于云環(huán)境中的監(jiān)視、開(kāi)發(fā)、集成、風(fēng)險(xiǎn)評(píng)估和事件響應(yīng)的相關(guān)安全工具。

雖然每個(gè)主要部分都涉及云安全方面，但它們具有共同的協(xié)同作用，可支持實(shí)現(xiàn)云安全現(xiàn)代化的總體目標(biāo)。了解共享服務(wù)的特性以及管理和保護(hù)這些服務(wù)的職責(zé)劃分，對(duì)于機(jī)構(gòu)的云遷移和安全態(tài)勢(shì)管理至關(guān)重要。遷移到云可以幫助各機(jī)構(gòu)通過(guò)改進(jìn)其操作和安全性來(lái)跟上不斷發(fā)展的技術(shù)潮流。最后，CSPM功能將允許機(jī)構(gòu)在規(guī)模和基礎(chǔ)結(jié)構(gòu)上動(dòng)態(tài)地保護(hù)其云資源。

云安全技術(shù)參考體系結(jié)構(gòu)的組成和協(xié)同作用如圖1所示。

圖1 云安全技術(shù)參考體系結(jié)構(gòu)的組成

3 共享服務(wù)層

報(bào)告介紹了共享服務(wù)以及其對(duì)機(jī)構(gòu)和供應(yīng)商的安全影響，概述了云服務(wù)模型并解釋機(jī)構(gòu)如何利用FedRAMP服務(wù)支持其云遷移。云服務(wù)模型的特性依賴于采購(gòu)期間設(shè)置的合同條款（云獲取不在這一技術(shù)參考體系架構(gòu)的范圍內(nèi)）。

3.1 云服務(wù)模型

在將基礎(chǔ)設(shè)施、應(yīng)用程序或服務(wù)移動(dòng)到云中時(shí)，有許多條路可選。NIST定義了3個(gè)基本的云服務(wù)模型，包括軟件即服務(wù)（Software as a Service，SaaS）、平臺(tái)即服務(wù)（Platform as a Service，PaaS）、基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）。

（1）SaaS。使用者是在底層云基礎(chǔ)設(shè)施上運(yùn)行的提供商應(yīng)用程序的用戶。應(yīng)用程序可以通過(guò)各種客戶端平臺(tái)訪問(wèn)，使用者無(wú)須管理或控制底層基礎(chǔ)結(jié)構(gòu)。

（2）PaaS。使用者能夠在云基礎(chǔ)設(shè)施上使用提供者提供的語(yǔ)言、庫(kù)、服務(wù)和工具來(lái)部署自定義應(yīng)用程序。使用者無(wú)須管理或控制底層基礎(chǔ)設(shè)施，但他們可以控制已部署的應(yīng)用程序，并可能控制承載應(yīng)用程序的提供者提供的環(huán)境配置設(shè)置。

（3）IaaS。使用者能夠提供計(jì)算資源來(lái)部署和運(yùn)行環(huán)境及應(yīng)用程序。由云提供商管理底層基礎(chǔ)設(shè)施，而使用者則可以控制計(jì)算資源，包括某些選定的網(wǎng)絡(luò)組件的控制（例如主機(jī)與基于網(wǎng)絡(luò)的防火墻）。

通過(guò)共享安全模型來(lái)表示哪一方對(duì)技術(shù)、安全、數(shù)據(jù)等負(fù)有什么責(zé)任。不同服務(wù)模型的責(zé)任如圖2所示，確保SaaS產(chǎn)品安全的責(zé)任在很大程度上取決于服務(wù)提供者。然而，這也意味著使用服務(wù)的代理對(duì)服務(wù)提供者給予了更多的信任。這與IaaS形成鮮明對(duì)比，在IaaS中，許多責(zé)任將落在代理身上，一些責(zé)任由云服務(wù)提供商（Cloud Service Provider，CSP）承擔(dān)，其余責(zé)任是共同分擔(dān)的。CSP對(duì)這種共享安全關(guān)系的定義可能會(huì)受供應(yīng)商的影響。

圖2 不同服務(wù)模型的責(zé)任

3.2 FedRAMP簡(jiǎn)介

2011年，OMB發(fā)布了一項(xiàng)標(biāo)題為“云計(jì)算環(huán)境中的信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄，其中建立了FedRAMP，旨在為聯(lián)邦政府使用云服務(wù)提供一種具有成本效益、基于風(fēng)險(xiǎn)的方法。FedRAMP授權(quán)機(jī)構(gòu)使用現(xiàn)代化云技術(shù)，重點(diǎn)是對(duì)聯(lián)邦信息進(jìn)行安全保護(hù)。FedRAMP是一個(gè)政府項(xiàng)目，通過(guò)為聯(lián)邦機(jī)構(gòu)提供云技術(shù)安全和風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)化方法，促進(jìn)整個(gè)聯(lián)邦政府采用安全云服務(wù)。

FedRAMP的適用場(chǎng)景如下文所述。

（1）執(zhí)行部門(mén)和機(jī)構(gòu)采購(gòu)的商業(yè)和非商業(yè)云服務(wù)，由支持各部門(mén)和機(jī)構(gòu)的運(yùn)營(yíng)和資產(chǎn)的信息系統(tǒng)提供，包括由其他部門(mén)或機(jī)構(gòu)、承包商或其他來(lái)源提供或管理的系統(tǒng)。

（2）所有由NIST定義的云部署模式，例如公共云、社區(qū)云、私有云和混合云。

（3）所有由NIST定義的云服務(wù)模型，例如以基礎(chǔ)設(shè)施為服務(wù)、以平臺(tái)為服務(wù)、以軟件為服務(wù)。

3.3 FedRAMP下的安全考慮

FedRAMP的作用是為聯(lián)邦機(jī)構(gòu)提供云技術(shù)安全和風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)化方法。即使在獲得授權(quán)之后，CSP和機(jī)構(gòu)也應(yīng)該了解當(dāng)前的安全要求和需要考慮的因素。

FedRAMP下的安全考慮事項(xiàng)包括連續(xù)監(jiān)視、事件響應(yīng)和授權(quán)邊界的FedRAMP要求。

4 云遷移

報(bào)告介紹了機(jī)構(gòu)在云設(shè)計(jì)、實(shí)施和維護(hù)數(shù)字服務(wù)時(shí)的計(jì)算平面和注意事項(xiàng)。為確保高效、安全地過(guò)渡到云服務(wù)，各機(jī)構(gòu)應(yīng)從以下方面入手。

4.1 云設(shè)計(jì)軟件

各機(jī)構(gòu)可以利用云的靈活性來(lái)組合服務(wù)以支持他們的工作。在軟件開(kāi)發(fā)生命周期（Software Development Life Cycle，SDLC）中，各機(jī)構(gòu)應(yīng)盡早在基于云的數(shù)字服務(wù)中采取安全措施。促進(jìn)DevSecOps自動(dòng)化安全測(cè)試的機(jī)構(gòu)將能夠開(kāi)發(fā)可擴(kuò)展、可重復(fù)、可靠和與零信任理念相一致的體系架構(gòu)。這個(gè)過(guò)程需要通過(guò)跨機(jī)構(gòu)團(tuán)隊(duì)協(xié)作來(lái)構(gòu)建數(shù)字服務(wù)。DevSecOps可以與IT部門(mén)支持的集中式SaaS相結(jié)合，以支持發(fā)布軟件的安全性測(cè)試。基于云的數(shù)字服務(wù)可以跨越IaaS、PaaS和SaaS，這些服務(wù)模型以及內(nèi)部模型在不同系統(tǒng)的不同層次上有所不同。

4.2 創(chuàng)建云遷移策略

云遷移是將業(yè)務(wù)操作和任務(wù)轉(zhuǎn)移到云計(jì)算中的過(guò)程。對(duì)于許多機(jī)構(gòu)來(lái)說(shuō)，這意味著從可能不再支持其需求的舊有基礎(chǔ)設(shè)施轉(zhuǎn)向能夠?yàn)闄C(jī)構(gòu)的應(yīng)用程序提供更靈活和更具成本效益的解決方案支持的現(xiàn)代基礎(chǔ)設(shè)施。云環(huán)境本質(zhì)上涉及從本地解決方案的思維轉(zhuǎn)變。某些云函數(shù)可以以本地函數(shù)無(wú)法操作的方式運(yùn)行，例如代碼（Infarftruce as Code，IaC）概念等基礎(chǔ)設(shè)施。這些概念包括基于服務(wù)需求彈性的動(dòng)態(tài)供應(yīng)和取消資源，或基于時(shí)間的維護(hù)，以出于安全目的取代部分基礎(chǔ)設(shè)施。

云遷移涉及很多準(zhǔn)備工作，并取決于應(yīng)用程序生態(tài)系統(tǒng)的大小、當(dāng)前應(yīng)用程序和系統(tǒng)的時(shí)代、用戶基礎(chǔ)和數(shù)據(jù)量。各機(jī)構(gòu)應(yīng)考慮其應(yīng)用程序生態(tài)系統(tǒng)中數(shù)據(jù)的年代和數(shù)量，隨著時(shí)間的推移，數(shù)據(jù)的積累會(huì)給云遷移帶來(lái)更多的挑戰(zhàn)。當(dāng)代理機(jī)構(gòu)決定遷移他們的應(yīng)用程序時(shí)，應(yīng)該權(quán)衡采用基于云的技術(shù)優(yōu)勢(shì)、風(fēng)險(xiǎn)和挑戰(zhàn)。

4.3 云遷移場(chǎng)景

每個(gè)云遷移都與原始應(yīng)用程序一樣具有獨(dú)特性，因此就如何執(zhí)行遷移給出通用的建議是很有挑戰(zhàn)性的，遵循以下步驟可以增加成功的機(jī)會(huì)。

（1）計(jì)劃。確定要使用的策略、CSP和服務(wù)類型以及應(yīng)用程序的路線圖。

（2）設(shè)計(jì)。創(chuàng)建應(yīng)用程序的體系結(jié)構(gòu)，重點(diǎn)關(guān)注系統(tǒng)的分布式特性。試用CSP的原生云特性。

（3）試點(diǎn)。創(chuàng)建一個(gè)最小可行產(chǎn)品（Minimum Viable Product，MVP）以證明應(yīng)用程序?qū)⒃谠浦泄ぷ鳌?/p>

（4）轉(zhuǎn)移。做好云版本產(chǎn)品的準(zhǔn)備，包括轉(zhuǎn)移任何需要的數(shù)據(jù)。

（5）維護(hù)。繼續(xù)改進(jìn)云應(yīng)用程序，無(wú)論是從產(chǎn)品特性的角度還是從性能的角度。

4.4 采用DevSecOps理念

DevSecOps是一種開(kāi)發(fā)、安全和操作的組合，是一種軟件開(kāi)發(fā)理念，它將編寫(xiě)代碼與測(cè)試、安全和部署代碼緊密結(jié)合在一起。傳統(tǒng)的DevSecOps循環(huán)如圖3所示，它可以打破開(kāi)發(fā)人員、安全工程師、操作工程師和質(zhì)量保證專業(yè)人員等傳統(tǒng)角色之間的界限，并讓他們作為一個(gè)團(tuán)隊(duì)發(fā)揮作用。這是通過(guò)組成具有跨角色功能的團(tuán)隊(duì)來(lái)實(shí)現(xiàn)的，以成功地開(kāi)發(fā)、啟動(dòng)和維護(hù)所有服務(wù)。

圖3 傳統(tǒng)的DevSecOps循環(huán)

DevSecOps應(yīng)該是各機(jī)構(gòu)在云中開(kāi)發(fā)、安全和交付應(yīng)用程序的主要方法。DevSecOps通常利用連續(xù)集成（Continuous Integration，CI）、連續(xù)交付（Continuous Delivery，CD）、基礎(chǔ)設(shè)施作為代碼（IaC）、安全測(cè)試和最小特權(quán)原則來(lái)利用自動(dòng)化和產(chǎn)生可靠的、可預(yù)測(cè)的規(guī)?；瘮?shù)字服務(wù)。

4.5 集中化公共云服務(wù)

當(dāng)開(kāi)發(fā)人員在云中遷移、創(chuàng)建和部署應(yīng)用程序時(shí)，他們的代理可以通過(guò)管理和維護(hù)共享服務(wù)來(lái)提供幫助。通過(guò)提供共享服務(wù)，開(kāi)發(fā)人員可以將更多的時(shí)間集中在任務(wù)上，而花更少的時(shí)間用于維護(hù)任務(wù)。這些服務(wù)分為機(jī)構(gòu)PaaS、發(fā)展工具和服務(wù)、面向公眾的服務(wù)、安保服務(wù)4個(gè)領(lǐng)域。

4.6 投資于人

通過(guò)CSP構(gòu)建可伸縮的、可重復(fù)的體系架構(gòu)需要更改流程和過(guò)程，不僅要對(duì)部署工具和應(yīng)用程序的工作人員進(jìn)行調(diào)整，還涉及對(duì)工具和用戶的調(diào)整。機(jī)構(gòu)需要投資于人員來(lái)交付基于云計(jì)算的項(xiàng)目，他們還需要重新設(shè)計(jì)程序，對(duì)所有工作人員進(jìn)行教育，并提升準(zhǔn)入門(mén)檻和可靠性。

5 云安全態(tài)勢(shì)管理

報(bào)告介紹了CSPM以及相關(guān)的安全功能和成果，還重點(diǎn)介紹了遷移到云時(shí)的關(guān)鍵注意事項(xiàng)，并解決了配置云服務(wù)和降低云風(fēng)險(xiǎn)的組織需求。此外，CSPM還考慮了這些功能如何促進(jìn)零信任架構(gòu)的實(shí)現(xiàn)。

5.1 定義CSPM

“云安全態(tài)勢(shì)管理”一詞是最近發(fā)展起來(lái)的，不同的實(shí)體對(duì)其定義不同。這些定義中有許多是相似的，以至于對(duì)這個(gè)詞的真正含義留下了一些歧義。該術(shù)語(yǔ)的定義和其他定義的這種區(qū)別可能需要利益相關(guān)方之間進(jìn)行進(jìn)一步的澄清，以確保對(duì)其含義達(dá)成共識(shí)。

就本文檔而言，CSPM是指通過(guò)識(shí)別、警告和減少云漏洞來(lái)持續(xù)監(jiān)視云環(huán)境的過(guò)程，以達(dá)到降低風(fēng)險(xiǎn)和提高云安全性的結(jié)果。這一定義包括各種結(jié)果和支持結(jié)果的能力。

在本報(bào)告中，CSPM功能力求支持的活動(dòng)成果包括：治理和遵約、標(biāo)準(zhǔn)和政策、特權(quán)和身份訪問(wèn)管理、數(shù)據(jù)保護(hù)、基礎(chǔ)設(shè)施和應(yīng)用保護(hù)、系統(tǒng)健康和資源監(jiān)測(cè)，以及事故反應(yīng)和恢復(fù)。

功能包括：安全和風(fēng)險(xiǎn)評(píng)估、持續(xù)監(jiān)測(cè)和報(bào)警、身份、證書(shū)和訪問(wèn)管理、DevSecOps集成，以及基于人工智能和機(jī)器學(xué)習(xí)的安全能力。

此外，雖然本報(bào)告強(qiáng)調(diào)云的采用和零信任遷移之間的關(guān)系，但這并不意味著遷移到云服務(wù)會(huì)立即轉(zhuǎn)化為零信任架構(gòu)。云服務(wù)能夠?qū)崿F(xiàn)零信任，部分原因在于云的分布式特性需要額外的配置和管理支持，以便實(shí)現(xiàn)零信任體系結(jié)構(gòu)所需要的對(duì)資產(chǎn)、用戶和數(shù)據(jù)的安全性和可見(jiàn)性。

5.2 CSPM結(jié)果

CSPM的使用支持各種網(wǎng)絡(luò)安全結(jié)果，其中一個(gè)子集將在本節(jié)中詳細(xì)介紹。這些結(jié)果大致分為幾個(gè)類別，對(duì)應(yīng)于各機(jī)構(gòu)應(yīng)該處理的不同安全流程。通過(guò)實(shí)現(xiàn)這些不同的結(jié)果，各機(jī)構(gòu)可以為其云部署的安全建立強(qiáng)有力的基礎(chǔ)，并在部署、運(yùn)營(yíng)期間以及事故后的響應(yīng)和恢復(fù)中應(yīng)用保護(hù)措施。

結(jié)果包括：治理和遵約、標(biāo)準(zhǔn)和政策、特權(quán)和身份訪問(wèn)管理、數(shù)據(jù)保護(hù)、基礎(chǔ)設(shè)施和應(yīng)用程序保護(hù)、系統(tǒng)健康和資源監(jiān)測(cè)，以及事故響應(yīng)和恢復(fù)。

5.3 采用CSPM功能

機(jī)構(gòu)希望可以將現(xiàn)有的本地基礎(chǔ)設(shè)施、數(shù)據(jù)和流程遷移到一個(gè)或多個(gè)云上。雖然在概念上簡(jiǎn)單明了，但一個(gè)機(jī)構(gòu)遷移的手段可能是簡(jiǎn)單的，也可能是復(fù)雜的。對(duì)于一般的云環(huán)境或重新架構(gòu)的以云為中心的解決方案而言，現(xiàn)有的系統(tǒng)可能并不理想。各機(jī)構(gòu)將需要確定哪些選項(xiàng)最適合其云環(huán)境。應(yīng)該評(píng)估諸如監(jiān)控、掃描、報(bào)告、恢復(fù)和其他解決方案等功能，以確保安全態(tài)勢(shì)良好。這應(yīng)該包括采用CSPM能力實(shí)現(xiàn)5.2節(jié)中確定的結(jié)果。

報(bào)告詳細(xì)介紹了各機(jī)構(gòu)可用的一般CSPM功能及其主要功能。然而，當(dāng)各機(jī)構(gòu)轉(zhuǎn)向CSP并采用這些能力時(shí)，需要對(duì)每個(gè)機(jī)構(gòu)特有的情況進(jìn)行審核。應(yīng)該使用共享責(zé)任模型來(lái)解決跨多個(gè)CSP集成能力的問(wèn)題，以便各機(jī)構(gòu)能夠保持對(duì)其互聯(lián)服務(wù)的安全性的態(tài)勢(shì)感知。本節(jié)還探討了安全工具如何獨(dú)立部署，或如何作為集成部署的一部分進(jìn)行部署，以支持CSPM功能的交付。

能力包括：CSPM功能，獨(dú)立和集成的功能，CSP賬戶管理層次結(jié)構(gòu)，身份、證書(shū)和訪問(wèn)管理，周邊環(huán)境的演變，可見(jiàn)性和傳感器配置，監(jiān)測(cè)，應(yīng)用程序編程接口，遙測(cè)和日志，以及部署、自動(dòng)化和編排。

6 結(jié)語(yǔ)

本云安全技術(shù)參考架構(gòu)說(shuō)明了聯(lián)邦機(jī)構(gòu)在持續(xù)采用云技術(shù)時(shí)對(duì)云遷移和數(shù)據(jù)保護(hù)的推薦方法。這些方法將使聯(lián)邦政府具有識(shí)別、檢測(cè)、保護(hù)、響應(yīng)和從網(wǎng)絡(luò)事件中恢復(fù)的能力，同時(shí)提高整個(gè)政府、企業(yè)的網(wǎng)絡(luò)安全。此外，隨著網(wǎng)絡(luò)架構(gòu)的發(fā)展，這些方法會(huì)告知機(jī)構(gòu)采用基于云的服務(wù)的優(yōu)勢(shì)和固有風(fēng)險(xiǎn)。

首先，在共享服務(wù)部分概述了云服務(wù)模型，并解釋了代理機(jī)構(gòu)如何利用FedRAMP服務(wù)來(lái)支持其進(jìn)行云遷移。其次，在云遷移部分重點(diǎn)介紹了機(jī)構(gòu)在云中設(shè)計(jì)、實(shí)施和維護(hù)服務(wù)時(shí)的各種注意事項(xiàng)，并包括了各種場(chǎng)景，以確保高效和安全地遷移到云。最后，在云安全態(tài)勢(shì)管理部分介紹了CSPM功能及其支持的各種網(wǎng)絡(luò)安全結(jié)果，并選擇了應(yīng)用程序來(lái)支持機(jī)構(gòu)對(duì)云資源、應(yīng)用程序和數(shù)據(jù)的安全管理，同時(shí)也促進(jìn)了零信任安全原則的采用。

云安全技術(shù)參考架構(gòu)通過(guò)關(guān)注云現(xiàn)代化，支持聯(lián)邦機(jī)構(gòu)在快速發(fā)展的技術(shù)環(huán)境中的持續(xù)發(fā)展。