由于有如此多的應用程序和數據駐留在云中，因此使用安全框架來幫助保護云基礎設施是組織的必要舉措。

云安全框架是一組指導方針和控制，用于幫助保護組織的云基礎設施。它為云計算服務提供商及其客戶提供安全基準、驗證和認證。

云計算已經不再是一種積極的架構選擇，而更多地成為新應用程序的實際采用策略。越來越少的組織有目的地為新部署選擇內部部署或托管部署;相反，大多數企業選擇云部署。

無論采用何種部署模型，確保組織的技術環境都是必不可少的。但是，保護云環境不同于其他環境，因此業界需要有關保護云平臺的目標資源。關于如何最好地保護云的使用并長期保持其安全，已經發布了相當多有價值的指導。

在保護云計算使用方面，從業者可以選擇一系列可用的指導。一方面，有詳細的技術指導，通常來自云提供商自己。這在尋求回答一個特定的、通常是技術性的問題時很有用，例如，如何在XYZ環境中設置blob存儲的加密?在研究如何從整體和體系結構上保護云環境時，這種類型的指導不太有用。相比之下，更高級別的指導往往與供應商無關——也就是說，適用于不同的云環境——但與具體的、詳細的問題關系不大。

一種指導是云安全框架。這些框架可以為從業者提供重要的實用程序。首先，就像通用安全框架一般可以幫助您定義整個技術領域的整體安全狀態一樣，云安全框架專門為云部署做這方面的工作。它們也有附加價值。例如，云安全框架可以幫助驗證現有的安全措施，并進行參與前審查。

什么是云安全框架?

通過更普遍的安全框架來理解云框架可能是最容易的——也就是說，不是特定于云的指導。有許多廣泛的安全框架，包括治理框架(例如COBIT和ITIL)，架構框架(例如，SABSA,TOGAF)，管理標準(例如，ISO/IEC27001)和NIST的網絡安全框架。正如這些框架可以廣泛應用于任何技術領域或安全程序一樣，它們也適用于云。

存在各種通用的網絡安全框架。

除了這些通用框架之外，還存在多個可能與用例和場景相關的專用框架;這方面的一個例子是醫療保健場景中的HITRUST通用安全框架或支付場景中的PCIDSS。

這些框架對從業者很有用，但并不專門針對云計算。當然，它們可以用來幫助告知組織的云態勢，但是特定于云的框架可能更有用。有一些重要的需要了解，包括云安全聯盟(CSA)、云控制矩陣(CCM)、云安全聯盟的安全、信任、保證和風險(STAR)注冊表、聯邦風險和授權管理計劃(FedRAMP)和ISO/IEC27017。同樣重要的是互聯網安全中心(CIS)關鍵安全控制，特別是與云伴侶指南一起使用時。還有許多其他的，具有廣泛的云適用性，但這里提到的那些是經常使用的，在整個行業中備受尊重，特定于云計算，對csp及其客戶同樣有用。

云安全框架向更廣泛的行業提供有關適用于云環境的安全措施的信息。與任何安全框架一樣，這些框架包括一組帶有關于控制(包括意圖和嚴格性)、控制管理、驗證和其他與保護云用例相關的信息的特定指導的控制。

云安全框架的類型

每個框架都有自己的重點和目標;它們都是獨一無二的。但是，從分類學的角度來考慮它們是有用的。這樣做可以幫助明確哪些可能對什么目的最有用。在高層次上，各種框架可以分為以下幾類:

?通用框架。這些框架是通用的，試圖為云環境提供關于控制選擇、范圍、狀態等方面的廣泛指導。

?綁定到現有的更廣泛的框架。其中包括特定于云的指導，這些指導作為更廣泛的生態系統的一部分而存在，而不是以云為中心。CISCloudCompanionGuide就是一個例子，它將特定的云控制與非特定于云的CIS關鍵控制聯系在一起。

?控制特定的指導。還有比一般框架更具體的指導，包括一些針對特定控件或控件家族的指導。一個例子是NIST特別出版物(SP)800-210“云系統的通用訪問控制指南”，它特定于云，但也專注于一個控制族和主題——在這種情況下，訪問控制而不是更通用的云。

?認證框架。一些可用的指導直接或間接地支持認證工作。例如，CSA的CCM對其STAR計劃注冊是有用的。同樣，FedRAMP是一個認證工具，允許美國聯邦機構使用云服務。

這些類別之間有一些重疊。例如，ISO/IEC27017:2015(信息技術——安全技術——基于ISO/IEC27002的云服務信息安全控制實踐規范)檢查了與上述類別相關的幾個方框。一方面，它是適用于大多數云部署的通用框架。它也存在于更廣泛的生態系統中(ISO/IEC27001和27002)。此外，它也是認證的潛在目標。

云安全框架如何有用?

由于以下幾個原因，使用框架作為一組控制和實踐對云計算服務提供商和云計算客戶都是有益的。首先，控制和對策的規范列表有助于指導從業者找到他們可以在自己的環境中評估和使用的具體措施。其次，清單提供了一個參考框架，在其中討論安全實踐和具體的安全對策;這為與安全相關的協商提供了基礎，例如云消費者和提供商之間就共享責任模型中各自的責任等問題進行的協商。

此外，組織可以采用幾乎無限種可能的對策來保護其環境。擁有一個普遍接受的控制列表可以幫助云計算服務商決定如何投入時間和預算，并為客戶提供在評估云計算服務商時應該尋找哪些標準安全機制的指導。

具體來說，框架可以作為評估的基線:它們為云客戶提供了一個結構，以評估提供商或比較提供商之間的安全實踐。他們還可以幫助服務提供商展示他們的安全實踐，要么幫助他們的客戶進行合同前審查，要么作為他們銷售敘述的一部分。框架中規定的控制措施越具體、越規范，就越有利于發揮這種評價能力。

如果有策略地使用，框架可以減少工作量并為客戶和云計算服務商提供價值。作為評估清單的基礎，它們減少了潛在客戶的工作。框架還通過減少客戶可能提交給提供商的不同的、一次性的評估問卷的數量，減少了云計算服務商的工作。即使客戶堅持使用他們自己的調查問卷，框架仍然可以簡化客戶審查所涉及的工作，使供應商能夠根據一組已知的標準組織響應、準備敘述和收集證據，而不是單獨針對他們可能遇到的每個客戶。

如何選擇云安全框架

采用云安全框架是一個相對簡單的過程，但根據是客戶還是云服務提供商，它確實會有所不同。對于客戶來說，選擇哪家公司在很大程度上取決于公司更廣泛的項目和業務背景。例如，美國聯邦政府機構或承包商幾乎肯定會首先調查FedRAMP。FedRAMP提供了一套基于標準安全措施的驗證標準，并簡化了政府使用的csp的注冊。一個大型跨國組織，其安全程序已經建立在ISO/IEC27001之上，并結合了ISO/IEC27002的控制，可能會發現ISO/IEC27017更適合，因為控制將是熟悉的，它將直接與現有的安全程序保持一致。

云計算服務提供商(csp)應該采用一組框架，包括云和安全框架，這些框架在他們所服務的市場中是已知和接受的。如上所述，考慮這些特定框架的原因之一是它們支持的保證程序。對于FedRAMP,云計算服務商可以成為FedRAMP授權的服務提供商。云計算服務商可以通過ISO/IEC標準或任何ISO管理體系標準的認證。CSA有它的共識評估倡議問卷，建立在CCM和它的STAR注冊表上，它證明了遵守的有效性。云計算服務商應該支持的框架是可能在其客戶中得到最多認可的框架。

無論選擇哪一種，云安全框架都可以幫助云安全工作。框架提供了討論具體控制的通用語言，以及評估和認證的基準;他們為組織內部安全工作創造了一個支柱。學習可用的框架選項是值得花時間的。

最佳實踐

當評估和決定哪個框架(或框架組合)適合您時，記住以下最佳實踐:

1.根據業務定制框架。要特別注意與更廣泛的業務場景聯系在一起的框架。如上所述，如果您是美國聯邦機構，那么像FedRAMP這樣的結構可能更可取。

2.根據安全程序定制框架。另外，在評估框架時要考慮更廣泛的安全程序。如果您的安全程序是圍繞ISO/IEC27001/27002構建的，那么ISO/IEC27017可能比CIS控制等更適合您。

3.但要始終如一。記住這是一場馬拉松，不是短跑;保持可控的速度。根據場景和您的組織，使用框架可能會涉及大量工作，特別是如果您是云計算新手或安全程序日趨成熟。不要試圖一次做完所有的事情。就像鍛煉養生法一樣，如果你慢慢開始并建立一個框架，那么使用框架會更容易。不要做那種第一天去健身房練了三個小時，第二天就酸痛得再也回不來的人。相反，隨著時間的推移，尋求持續的進步。

云安全框架的未來

考慮框架可能如何變化是很有用的。雖然沒有人確切知道它們將如何或何時出現，但它們可能會以一些方式進化。

隨著時間的推移，可能期望看到正規化和成熟。在云的早期，像這些框架這樣的指導存在著巨大的壓力，因為云模型是新的，從業者很難保證它們的安全。隨著云變得越來越普遍——現在是規范的部署模型——有機會指導在覆蓋深度上成熟，并更全面地處理邊緣情況。

我們可能會看到的另一件事是，在這些框架最初構想時，包含了積極和頻繁使用的新技術，但這些技術不太規范。例如，將服務網格和基礎設施等技術視為代碼。兩者幾乎都可以與云環境無縫配合，但現有指南可能無法直接解決這一問題。期望指南的新迭代和更新來處理這些技術。這可以通過印發補充材料(例如，特定技術的增編)或將來對框架本身進行改進來實現。

最后，也許對從業者最直接有用的是，期望看到專業的社區建設專業知識和對現有指南的熟悉程度，可能以二級來源指南的方式-例如，專家編寫指南和像這樣的如何操作提示-旨在幫助從業者有效地利用這些資源。