云安全框架是一套指导方针和控制措施，用于帮助保护企业云基础设施。它为云服务提供商（CSP）及其客户提供安全基线、验证和认证。

现在越来越少企业选择云计算作为架构，而更多的是将其作为新应用程序的部署策略。同时，越来越少的企业有目的地为新的部署选择本地或主机部署；相反，大多数企业选择云部署。

无论部署模式如何，保护企业的技术都至关重要。但保护云环境与其他环境不同，因此企业需要关于保护云端的资源。关于如何最好地保护云使用，并随着时间的推移保持其安全性，现在已经有相当多的宝贵指南。

在确保云使用安全方面，现在有很多选择指南可供安全人员选择。一方面，云提供商本身通常会提供详细的技术指导。在寻求回答特定的（通常是技术性）问题时，这很有用，例如：如何在XYZ环境中设置blob存储的加密？但在研究如何从整体和架构层面保护云环境时，这种类型的指导不太有用。相比之下，更高级别的指导往往与供应商无关（即适用于不同的云环境），但与具体、详细的问题不太相关。

其中一种类型的指导是云安全框架。这些框架可以为从业者提供有效的帮助。首先，就像广义安全框架帮助你定义整体安全态势一样，云安全框架专门针对云部署。它们也可以提供额外的价值。例如，云安全框架可以帮助验证安全措施是否部署到位，并预先执行审查。

什么是云安全框架？

也许理解云框架的最佳方式是通过通用安全框架的视角，即不是特定于云的指导。现在有很多广泛的安全框架，包括治理框架（例如COBIT、ITIL）、架构（例如SABSA、TOGAF）、管理标准（例如ISO/IEC 27001）和NIST的网络安全框架。这些框架广泛适用于所有技术或安全程序领域，当然，它们也适用于云端。

除了这些通用框架外，企业还可以利用多个专业框架；这方面的例子包括，在医疗保健领域，HITRUST的通用安全框架，以及支付领域的PCI DSS。

这些框架对从业者有用，但并不专门针对云。当然，它们可用于帮助告知企业的云态势，但特定于云的框架可能更有用。企业还需要了解一些重要的框架，包括云安全联盟（CSA）的云控制矩阵（CCM）、CSA的安全、信任、保证和风险（STAR）注册，以及联邦风险和授权管理计划（FedRAMP）和ISO/IEC 27017。同样重要的是互联网安全中心（CIS）关键安全控制，特别是当与Cloud Companion Guide一起使用时。虽然还有很多其他框架具有广泛的云适用性，但这里提到的框架是经常被使用、在整个行业中备受尊重、特定于云，并对CSP及其客户同样有用的框架。

云安全框架可以让整个行业更好地了解适用于云环境的安全措施。与任何安全框架一样，该框架包括一组控件，其中包含有关控件（包括意图和严谨性）、控件管理、验证的具体指南，以及与保护云用例相关的其他信息。

云安全框架的类型

每个框架都有自己的重点和目标；它们都是独一无二的。我们可以对这些框架进行归类，这样做可以帮助澄清哪个可能对什么目的最有用。那么，在高层次上，各种框架可以分为以下几类：

• 通用框架。这些通用框架试图针对云环境提供广泛指导，有关控件选择、范围、态势等。
• 与现有更广泛框架关联的纽带。这包括特定于云计算的指导，这些云计算作为不以云为重点的更广泛生态系统的一部分而存在。其中一个例子是CIS Cloud Companion Guide，该指南将特定云控件与非特定于云的CIS关键控件联系起来。
• 特定控件的指导。还有比通用框架更具体的指导，包括针对特定控件或控件系列的指导。示例是NIST Special Publication (SP) 800-210 “General Access Control Guidance for Cloud Systems，它特定于云，但也专注于一个控件系列和主题（这种情况下是指访问控制），而不是更通用的云。
• 认证框架。有些可用的指南直接或间接地支持认证工作。例如，CSA的CCM对其STAR项目注册至关重要。同样，FedRAMP是一个认证工具，允许美国联邦机构使用云服务。

这些类别之间会有重叠。例如，ISO/IEC 27017:2015（信息技术–安全技术–基于ISO/IEC 27002的云服务信息安全控件实施规范）包含上述类别的特征。一方面，这是适用于大多数云部署的通用框架。它也存在于更广泛的生态系统中（ISO/IEC 27001和27002）。此外，它还是认证的潜在目标。因此，它涉及三个不同的类别，并提醒人们，在查看上述分类时，保持谨慎很重要：在思考框架这很有用，还要记住细微差别和重叠部分。

云安全框架有什么用？

对CSP和云客户来说，使用框架作为一套控件和准则有很多好处，这主要有几个原因。首先，控件和策略的规范清单有助于指导从业者选择他们可以在自己的环境中评估和使用的具体措施。其次，一份清单可提供参考框架，在其中可以讨论安全实践和具体的安全对策；这为与安全相关的谈判奠定基础，例如云消费者和提供商之间就共同责任模式中各自的责任等问题进行谈判时。

此外，为了保护其环境，企业可能会采取一系列近乎无限的潜在策略。拥有一份商定的普遍接受的控制清单可帮助CSP决定如何投入时间和预算，并指导客户在评估CSP时应该寻找什么作为标准安全机制。

具体来说，框架可以作为评估的基线：它们为云客户提供了结构，以评估提供商或比较提供商之间的安全实践。还可以帮助服务提供商展示他们的安全实践，无论是协助他们的客户进行预先审查，还是作为他们销售故事的一部分。框架中列出的控件措施越具体和规范，就越有利于这种评估能力。

如果企业战略性地利用框架，框架可以帮助减少工作，并为客户和CSP提供价值。作为评估清单的基础，它们可减少潜在客户的工作。框架还可以帮助CSP减少工作，通过减少客户可能需要向提供商提交的不同、一次性评估问卷的数量。即使客户坚持使用自己的问卷，框架仍然可以简化客户审查所涉及的工作，方法是使提供商能够根据一套已知的标准整理回复、准备叙述和收集证据，而不是为他们可能遇到的每个客户单独收集证据。

如何选择云安全框架

部署云安全框架是相对简单的过程，但对于客户和CSP，它的部署会有所不同。对于客户来说，选择框架在很大程度上取决于企业更广泛的计划和业务背景。例如，美国联邦政府机构或承包商几乎肯定会想先考虑FedRAMP。FedRAMP提供了一套基于标准安全措施的验证标准，并简化了供政府使用的CSP的准入流程。而对于一家大型跨国企业，其安全计划已经建立在ISO/IEC 27001上，并纳入了ISO/IEC 27002的控件，可能会发现ISO/IEC 27017更适合，因为他们很熟悉这些控件，并且它将直接与现有的安全计划保持一致。

SP应该使用一组框架，其中包括云和安全框架，这些框架在他们所服务的市场中是已知且被接受的。如前所述，考虑这些特定框架的原因之一是它们支持保证计划。就FedRAMP而言，CSP可以成为FedRAMP授权服务提供商。CSP可以获得ISO/IEC标准或任何ISO管理系统标准的认证。CSA有其共识评估调查问卷，建立在CCM及其STAR注册表的基础上，该注册表对遵守验证进行认证。CSP应该选择的框架是其客户最认可的框架。

无论选择哪一个，云安全框架都可以帮助云安全工作。框架为讨论具体控件提供了通用语言，并为评估和认证提供了基准；它们为组织内部安全工作奠定基础。了解可用的框架选项是值得花费的时间。

最佳做法

当你评估和决定哪个框架（或框架组合）适合您时，请记住以下最佳做法：

1. 根据业务选择框架。特别注意与更广泛的业务环境相关的框架。如上所述，如果你是美国联邦机构，像FedRAMP这样的框架可能更可取。
2. 根据安全程序定制框架。此外，在评估框架时，请考虑更广泛的安全计划。如果你的安全程序是围绕ISO/IEC 27001/27002而构建，那么ISO/IEC 27017可能比CIS控件更合适。
3. 慢慢来，但要保持一致。记住，这是一场马拉松，而不是冲刺；保持节奏可控。根据企业和背景不同，使用框架可能会涉及大量工作，特别是如果你是云新手或正在成熟化你的的安全程序。不要试图一下子完成所有事情。就像运动养生一样，如果你慢慢开始，使用框架会更容易。不要第一天去健身房三个小时，第二天浑身酸痛，然后再也不去健身房。你应该随着时间的推移取得持续的进展。

云安全框架的未来

企业还应该考虑考虑框架可能会如何发展。虽然没有人确切知道它们将如何或何时会演变，但我们可以想象。

随着时间的推移，我们可能会看到规范化和成熟化。在云计算的早期，像这些指导框架面临巨大压力，因为当时云模型还很新，从业者很难保护它们。随着云变得更加无处不在（现在是规范部署模式），这些指导可能会在覆盖深度方面变得更加成熟，并更全面地处理边缘案例。

我们可能会看到的另一件事是部署新技术，这些技术正在被积极和频繁使用，但在最初构思这些框架时这些技术还没那么规范。例如，考虑服务网格和基础设施等技术作为代码。这两者几乎都能与云环境无缝协作，但可能无法通过现有指南直接解决。我们期待新的迭代和指南更新，以解决这些技术问题。这可以通过发布补充材料（例如，特定技术的增编）或在未来完善框架本身。

最后，也许对从业者最直接有用，我们预计会看到专业社区构建的专业知识，以及熟悉现有指南的熟悉，也许以次级来源指导的方式（例如，专家编写指南和类似本文的操作技巧），旨在帮助从业者有效地利用这些资源。