云安全指南V4.0

云计算关键领域安全指南v4.0概述

《云计算关键领域安全指南v4.0》由Cloud Security Alliance (CSA) 编制，旨在为采用云计算模式的组织提供安全指导和最佳实践。以下是该指南的主要要点：

**1. 定义和概念

• 云计算定义：云计算被定义为一种新的运作模式和一组用于管理计算资源共享池的技术。它提供无处不在、便捷、按需的共享计算资源（包括网络、服务器、存储、应用和服务），用户可通过最少的管理工作或与服务提供商的互动来快速获取和发布资源。

• 基本特征：包括资源池、用户自服务配置、广泛网络访问、快速弹性、可测量服务等。

• 服务模型：分为SaaS（软件即服务）、PaaS（平台即服务）和IaaS（基础设施即服务）。

• 部署模型：涵盖公共云、私有云、社区云和混合云。

**2. 安全性和合规管理

• 安全性和合规管理范围：强调了在云计算环境下管理和维护安全性的必要性，以及制定相应的策略和程序的重要性。

• 职责和模型：明确了云用户和云提供商的责任，并提出了相应的安全管理模型。

**3. 架构和模型

• 参考模型：采用NIST和ISO/IEC的参考模型，用于定义和理解云计算。

• 架构框架：提供了一种通用的语言和对云计算的理解，以区分传统计算与云计算之间的区别，并指导信息安全专家采用原生云方法。

**4. 多租户概念

• 多租户：云环境中的多租户特性允许多个不同用户共享资源池，同时保持资源的隔离和独立性。

**5. 全球适用性

• 全球范围：指南旨在为全球范围内的组织提供指导，适用于多种规模和行业背景的公司。

**6. 资源和参与

• 翻译和审校：由CSA大中华区研究院组织志愿者进行翻译，确保内容的准确性和广泛适用性。

• 贡献者：感谢所有为指南编写、审校和组织工作做出贡献的个人和团队。

**7. 更新与目的

• 更新目的：指南的更新是为了反映云计算领域内的最新进展和技术变化，以指导组织安全地采用云计算。

《云计算关键领域安全指南v4.0》旨在为用户提供一个全面的框架，以支持他们在采用云计算技术时的决策和实施过程，确保数据和业务流程的安全性。