企业架构参考指南

©2022国际云安全联盟大中华区版权所有1 云安全联盟企业架构研究工作组官网: https://cloudsecurityalliance.org/research/working-groups/enterprise-architecture/ @2022国际云安全联盟大中华区-保留所有权利。本文档英文版本发布在云安全联盟官网 （https://cloudsecurityalliance.org），中文版本发布在国际云安全联盟大中华区官网 （http://www.c-csa.cn）。您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；（b）本文内容不得篡改;（c）不得对本文进行转发散布;（d）不得删除文中商标、版权声明或其他声明。在遵循美国版权法相关条款情况下合理使用本文内容，使用时请注明引用于国际云安全联盟。 ©2022国际云安全联盟大中华区版权所有2 序言 企业数字化安全转型面临着选择、判断和组合的困扰，对组织、技术、人才、管理和业务模型等多方面的有机融合和运转构成了架构，而安全是高效的基础，二者都是竞争力。国内企业普遍在学华为、海尔、格力，同时也在吸收IBM、微软、谷歌、亚马逊等企业的成长模型。CSA编著的本指南是国外大型企业实践经验的总结凝练，是一个与时俱进的参考书。本文聚焦实践，沉淀知识，而不必全面冗长的去解读，非常适合企业管理者和IT、业务、运营、安全的负责人快速学习，定位问题，抓住要领，快速实践，企业对每一项组件的投入都可以在此架构中找到位置，找到他上层面的组、域。指南用1-2-3-4表达出每一个组件的层次，我们既可以看到1的面貌，又可以细化到2的构成和3、4的细节，是思维导图模式的简洁变形。 纵观一个企业的成长与治理，指南对企业架构建设、优化和运营实践的价值指导意义，在于他抽取、吸收了COBIT、TOGAF、ITIL、SABSA、Jericho、NISTSP500-299、NISTSP500-292、ISO27001、 ISO27002等系列框架理论的精要，从而在”云大物智移”环境下，使得企业架构的高效搭建与运行既拥有了理论框架，又有了可查找的实践行动。企业IT治理、安全治理、生产运营、应急事件处理是数字化转型基础内容，指南可服务于对安全、效率、和运营有持续优化诉求的大中小企业。本指南展开的对四个域的解构：业务运营支持服务(BOSS)、信息技术运营与支持(ITOS)、技术解决方案服务(TSS)、安全和风险管理(SRM)。可以用东方人的模式和中国人的，即“你我它”思维思考，你：是指框架中的任何组件、域，我：企业架构的需求、困难、链接方式、紧要度等，它：传递的下一站，实现企业架构期望的目标或阶段方向。 对于未来的延伸，任何一个架构都是有时效的，因为变是万物常态，运动是活力之源，企业架构的运营是指南中所提所有相关技术，组织，业务，风险应对与系统管理的多维协同，任何之一的变动延伸，都是对指南演进的新要求。本指南也为这种延伸铺垫了未来持续发挥的思路和舞台，努力为企业把技术用精，把业务做顺，把组织做通，把管理做活。 李雨航YaleLiCSA大中华区主席兼研究院院长 ©2022国际云安全联盟大中华区版权所有3 致谢 《企业架构参考指南（EnterpriseArchitectureReferenceGuide）》由CSA研究工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长：李岩翻译组：程伟强 仇蓉蓉 邓辉 伏伟任 高亚楠 贺志生 江楠 李钠 李岩 李程 林艺芳 刘洁 鹿淑煜 沈勇 苏泰泉 滕伟 王永霞 吴嘉雯 吴潇 谢琴 杨喜龙 余晓光 审校组：陈欣炜 单美晨 何伊圣 江楠 李岩 刘洁 陶瑞岩 王阳 姚凯 研究协调员：孙天一 感谢以下单位的支持与贡献： 北京安讯奔科技有限责任公司北京山石网科信息技术有限公司北京天融信网络安全技术有限公司广东美云智数科技有限公司 华为技术有限公司奇安信科技集团股份有限公司三六零数字安全科技集团有限公司三未信安科技股份有限公司 上海安几科技有限公司上海缔安科技股份有限公司 腾讯云计算（北京）有限责任公司长春吉大正元信息技术股份有限公司浙江极氪智能科技有限公司 ©2022国际云安全联盟大中华区版权所有4 英文版本编写专家主要作者：Jon-MichaelC.Brook MichaelRoza 贡献者：ShawnHarris SunilShanthi MichaelTheriault RolandoMarceloVallejos AshishVashishtha SuriVenkat HenryWerchan CSA团队：SeanHeide StephenLumpe(Cover) JimReavis AnnMarieUlskey(Layout) JohnYeoh 总架构师：JairoOrea首席架构师：DanLogan贡献者：RichardAustin RyanBagnulo CharletonBarreto Jon-MichaelBrook PhilCox EarleHumphreys TuhinKumar SubraKumaraswamy YaronLevi YaleLi DanLogan ScottMatsumoto RajivMishra AnishMohammed PriceOden JairoOrea DavidSherr KenTrant RavilaWhite VernWilliams RobWilson CSA团队：JimReavis J.R.Santos KendallClineScoboria EvanScoboria JohnYeoh 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正! 联系邮箱：research@c-csa.cn；国际云安全联盟CSA公众号。 ©2022国际云安全联盟大中华区版权所有5 目录 序言3 致谢4 前言8 企业架构概述9 如何使用企业架构9 评估机会9 创建路线图10 识别可复用的安全模式10 评估云服务提供商和安全技术供应商10 使用定义列表10 CSA企业架构11 业务运营支持服务（BOSS）12 描述12 示例16 提供的服务17 与其他域的关系20 信息技术运营与支持（ITOS）21 描述21 示例27 提供的服务27 与其他领域的关系31 技术解决方案服务(TSS)31 描述31 展示层服务31 描述31 示例33 提供的服务33 与其他域的关系35 应用服务35 描述35 示例37 提供的服务37 与其他域的关系38 信息服务38 描述38 示例45 提供的服务45 与其他域的关系48 基础架构服务48 描述48 示例53 提供的服务53 与其他域的关系56 安全和风险管理（SRM）56 ©2022国际云安全联盟大中华区版权所有6 描述56 示例68 提供的服务68 与其他领域的关系75 ©2022国际云安全联盟大中华区版权所有7 前言 云安全联盟企业架构工作组发布“企业架构参考指南”第2版。通过此版本，读者可以看到CSA企业架构2.3中每个域的详细说明。 CSA企业架构是安全、身份感知云基础架构的综合方法。EAWG利用了TOGAF、ITIL、SABSA和Jericho这四种行业标准架构模型。这种方法将同类的最佳架构范例结合到云安全的综合方法。EAWG通过将业务驱动因素与安全基础设施结合，增加了企业业务模型中云服务的价值取向。CSA企业架构参考美国国家标准与技术研究所的NISTSP500-299和NISTSP500-292。 本文档汇编了现有的企业架构定义，同时，对于即将发布的EAWG版本，包括CSA云控制矩阵（CCM3.0.1）到EA的映射以及对企业架构本身的更新，都可以参考。 感谢读者 企业架构组组长 Jon-MichaelC.BrookJohnYeohMichaelRozaJimReavis ©2022国际云安全联盟大中华区版权所有8 企业架构概述 共同的需求产生共同的解决方案。企业架构既是一种方法，也是一组工具，使安全架构师、企业架构师和风险管理专业人员能够利用一组通用的解决方案和控制措施。这些解决方案和控制措施满足了一系列共同的要求，风险管理者必须评估内部IT安全和云提供商控制措施的运营状态。这些控制措施以安全能力形式表现出来，旨在创建一个通用的路线图，满足业务的安全需求。 业务需求必须指导架构。在企业架构中，这些要求分别来自Sarbanes-Oxley和Gramm-Leach-Bliley之类的法规、ISO-27002之类的标准框架、支付卡行业数据安全标准以及COBIT等IT审计框架驱动的控制矩阵，所有这些都包含在云服务交付模型之中，例如软件即服务（SaaS）、平台即服务（PaaS）和基础设施即服务（IaaS）。 按照这些需求，根据架构框架最佳实践定义并组织了一套安全能力。（SABSA）从业务角度定义了安全模型。信息技术基础设施库（ITIL）指定了管理公司IT服务所需的模式，以及安全地管理这些服务的安全指南。杰里科论坛指定了技术安全规范，这些规范源于传统数据中心内技术环境向解决方案跨越多个数据中心的互联网环境转变的现实，而这些数据中心中一些由企业所有，另一些纯粹用外包服务。最后，开放组架构框架（TOGAF）提供了一个企业架构框架和方法，用于规划、设计和管理信息体系架构，最终形成一个通用框架，将安全架构师的工作与组织的企业架构集成在一起。 如何使用企业架构 企业架构可用于评估改进机会、创建技术采用路线图、识别可复用的安全模式，并根据一组通用能力评估各种云提供商和安全技术供应商。 评估机会 因为云安全联盟控制矩阵映射回各种法律和监管框架的现有安全控制需求，并且因为相同的矩阵映射到架构的安全能力，为了遵守适用的法规和最佳实践框架，公司可以很容易评估自己具备哪些能力。 ©2022国际云安全联盟大中华区版权所有9 创建路线图 在评估组织当前能力后，可以使用参考架构根据公司作为云消费者或云提供商的业务需求来指导需要投资的能力。例如，在基于云的解决方案中，物理安全控制和能力对云消费者不太重要，但对云提供商却更为重要。此外，该参考架构能力可用于整理组织中的技术标准集合，识别是否存在多种技术实现能力相同的领域，进一步证明这些技术功能可以被整合。反之，它也可以显示公司还有哪些尚未具备的标准技术能力。 识别可复用的安全模式 由于安全模式和最佳实践是围绕参考架构构建的，因此这些模式在公司内部和公司之间的共享将因为将它们联系在一起的通用功能模型而得到增强。供应商可以根据架构中的一组能力和控制措施验证解决方案，从而使消费者能够更信任和理解供应商的解决方案。 评估云服务提供商和安全技术供应商 已定义的控制措施是用简洁明了的合同要求措辞进行书写的，几乎不需要修改就可以作为服务合同和建议邀请书（RFP）的基础。 使用定义列表 以下每个领域表（BOSS、ITOS、TSS、SRM）都会细分出所有的域、组件组、子组和容器。领域组件列中每个元素开头的连字符指明了在图表中自然理解的企业架构层次。 领域组件 定义 1域 顶层条目，将领域划分为不同域，如SRM中的治理、风险与合规（GRC），或BOSS中的合规。 2组件组 第二层条目，将域划分为子主题，例如“BOSS->合规“下的审计计划，或”SRM->治理、风险与合规“下的合规管理。 3组件子组 第三层条目（取决于组件，容器可能在此级别）。 4容器 架构图中的最低层元素。 ©2022国际云安全联盟大中华区版权所有10 CSA企业架构 这份《企业架构参考指南(第二版)》对应CSA企业架构的两种表示形式。在云安全联盟的网站有更多交互形式的内容，并且可以深入研究各部分内容。 业务运营支持服务(BOSS) 信息技术运营与支持(ITOS) 技术解决方案服务(T