近期，国土安全部（DHS）部长、网络和基础设施安全局（CISA）局长、预算和管理办公室（OMB）主任、联邦风险授权管理计划（FedRAMP）执行总务局长共同协商，制定并发布了《云安全技术参考架构》2.0版本，为各机构在采用云技术时提供组织、协调和指导，同时为机构利用云安全态势管理（CSPM）收集和报告云迁移和数据保护提供方法建议。

接上期

5、集中公共云服务

当开发人员在云中迁移、创建和部署应用程序时，他们的代理机构可以通过管理和维护共享服务来提供帮助。通过提供共享服务，代理允许开发人员将更多的时间用于任务，而较少的时间用于开销或维护任务。这些服务可分为以下四个方面：

机构PaaS

开发工具和服务

面向公众的服务

安全服务

在代理级别共享一些服务可以通过消除管理成本来帮助团队更快地开始使用云本地技术，从而使团队能够自由地考虑可以消除的其他成本。团队可以从为web服务器运行完整的虚拟机转向使用容器运行服务器，然后从容器转向使用“功能即服务”。

随着机构从传统的内部部署服务器转向IaaS，还会出现另一种演变，即对特定角色的使用有所不同。团队将不再需要专人管理数据库所在的服务器，但仍然需要专业知识来理解如何提高数据库性能。该模型允许数据库管理员专注于战略操作，并在机构中扮演咨询角色。

为什么要集中管理?

在机构中集中管理IaaS、PaaS和SaaS有两个主要原因：节省资源和建立共享经验。机构可以通过创建团队，负责研究、采购和培训所有团队使用的工具，从而降低整体成本。此外，集中服务也可以通过简化维护和合规工作来节约资源。

集中化还允许机构通过向机构内的不同团队提供共同的工具来建立共同的经验，从而实现协作。集中化的文化可以使知识在团队之外传播。当员工在一个机构的不同团队之间调动时，也有利于适应新工作。

有过云计算项目经验的团队也可以分享他们的最佳实践和挑战，以便其他团队可以学习他们的经验。有经验的团队成员可以指导较新的团队，分享所获得的知识和技能，增加对人员的整体投资。减少资源和打破组织中的孤岛是集中管理的两个理由。

机构平台即服务

各机构可以通过批量采购云基础设施，并根据需要为不同的团队提供访问权限，来集中访问当前的IaaS工具。确保授予适当级别的访问权，也将允许较新的团队迅速开始使用该基础设施。

一个机构的云团队可以通过提供配置来标准化操作系统、软件库和日志，从而更像一个PaaS。这些原则加在一起，将加速云中数字服务的发展，并节省资源。一个集中的IaaS可以建立规范的行为并强制执行，同时开始减少开发团队的安全工作的负担，如ATO。主要的IaaS平台能够进行合规性检查，比如当一个存储器是公共的或没有加密时，就会通知团队，这样团队就可以迅速修复这个问题。当所有的团队共享同一个平台时，他们可以继承NIST SP 800-5控制，并在他们的软件支持计划（SSP）协议中使用共同语言，以加快工作。

开发工具和服务

开发工具和服务是快速和有效地建立和维护应用程序的关键。软件开发生命周期与DevSecOps一起，广泛使用协作工具、需求跟踪和文档，在团队内部和团队之间分享当前状态评估。全局性的协作实践创造了分享和协作的文化。

源控制产品是CI/CD的基础，因为它推动了哪些工具可以用于构建、测试和部署代码。以“linters“的形式进行代码质量控制，可以检查代码是否有妨碍执行或产生难以阅读的问题，以及检查编码“反模式”，可以防止产生不安全或不优化的编码习惯，这也是CI/CD的一个重要部分，可以在整个机构内进行标准化。

集成到CI/CD中的安全测试，对于整个机构的集中化和标准化也很重要，因为安全的统一应用使得整体流程更加完善。静态和动态安全测试可以提供预防防御层，防止意外地将错误部署到生产中。

面向公众的服务

机构向公众提供的数字服务的某些方面将受益于集中化。

部署新网站的日常工作包括：获取域名、配置网站域名系统（DNS）条目、设置HTTPS证书。集中这些流程还有助于机构维护其网站存在的准确清单。

可以从互联网访问的应用程序和API需要保护，以防止恶意流量。防护可以以WAFs、API网关和内容交付网络（CDNs）的形式提供，这些网络同时充当DDoS防护。WAFs可以控制一般的网络访问，以及检查对Web服务器的请求，以发现常见的网站攻击。API网关控制特定用户对API的访问，同一个网关可以保护多个API。

CDN不仅提供了一种将缓存数据存储在离用户更近的地方以获得更快交付的方法，而且它们通常还可以在拒绝服务（DoS）攻击中吸收额外的流量，或通过防火墙限制网络流量。所有的互联网财产的代理机构将需要这种保护，批量采购可以提供成本节约。

安全服务

机构应该尽可能在整个企业中部署集中集成的安全服务。同一服务的独立实例越少，机构的攻击面就越小。安全服务提供应用程序保护，如日志记录、身份验证、授权、加密和密钥管理。

集中的日志记录是更好的事件响应的关键。它使本地存储的日志冗余，并减少了删除日志的影响。集中式日志记录还减少了事件响应人员进行调查所需的时间。OMB M-21-31还允许组件与其上级部门共享日志，而集中化简化了这一过程。集中日志记录还有助于跨csp和事前解决方案的威胁搜索。

对于代理服务，通过单点登录的ICAM是一个理想的起点，因为CIO可能已经有能力让员工登录到服务，比如电子邮件。即使是内部部署，轻量级目录访问协议（LDAP）也可以代理对云服务的访问，减少了员工记住另一个密码的需要。下图显示了具有集中身份和日志记录的可能配置。

6、人的因素

通过CSPs构建可伸缩、可重复的体系结构需要对流程和过程进行更改，这不仅对部署工具和应用程序的工作人员而言如此，对这些工具的涉众和用户也是如此。机构将需要投资人员来交付基于云的项目。他们还需要重新设计流程，培训所有工作人员，并促进可靠的访问。

四、云安全态势管理

本节介绍了云安全态势管理（CSPM）以及相关的安全能力和成果。本节还强调了迁移到云端时的一些关键考虑因素，以解决配置云服务和减轻云风险的组织需求。

定义CSPM。确定定义以及本文件与其他权威资源相比如何使用该术语。

概述实施需求。突出强调实施CSPM和零信任有关的组织需求，以达到预期的安全效果。

统一行政命令目标。就CSPM支持零信任目标的方式提供参考。

1、定义CSPM

许多网络和网络安全术语通常用于云应用和运营。其中一些术语具有标准化或公认的含义和定义。然而，其中许多术语有不同的定义，并对不同的利益相关者（例如，在给定的组织内，整个联邦政府，行业内等）具有不同的含义。

术语“云安全态势管理”是最近才发展起来的，不同的实体对其定义不同。这些定义中有许多是相似的，但彼此之间写得很清楚，因此对术语的真正含义留下了一些模糊性。这一术语的定义和其他定义的区别可能需要利益相关方进行额外的补充，以确保对其含义达成共识。

就本文而言，CSPM指的是通过识别、警报和减轻云漏洞来持续监控云环境的过程、降低风险、提高云安全。这个定义包括各种结果和支持下面确定的结果。

在本文档中，CSPM能力支持以下活动成果：

治理和合规

标准和政策

权限和身份访问管理

数据保护

基础设施和应用保护

系统运行状况和资源监控

事件响应和恢复

这些功能包括：

安全和风险评估持续监测和警报身份、证书和访问管理（ICAM）DevSecOps集成基于人工智能（AI）和机器学习（ML）的安全能力

2、CSPM的成果

CSPM的使用支持各种网络安全结果，这些结果大致分为几类，对应于各机构应处理的不同安全流程。通过实现这些不同的结果，机构可以为其云部署的安全奠定坚实的基础，并在部署时、操作期间以及事件发生后的响应和恢复过程中采取保护措施。CSPM的成果包括以下方面。治理和合规标准和政策权限和身份访问管理数据保护基础设施和应用程序保护系统运行状况和资源监控事件响应和恢复

3、采用CSPM的能力

机构可能有现有的基础设施、数据和流程，他们希望迁移到一个或多个云。虽然概念上很简单，但机构的移民方式却很微妙，可能会很复杂。现有系统对于一般的云环境或重新架构的以云为中心的解决方案可能不是理想的。机构将需要确定哪些选项最适合他们的云环境。应该评估监视、扫描、报告、缓解和其他解决方案等功能，以确保良好的安全状况。这应该包括采用CSPM功能来实现。

以下部分详细介绍了机构可用的一般CSPM功能及其主要功能。然而，随着各机构转向CSP并采用这些能力，需要考虑到每个机构所特有的情况。应该使用共享责任模型来解决跨多个CSP集成能力的问题，这样机构就可以对其互连服务的安全性保持态势感知。如何独立部署安全工具，或作为集成部署的一部分来支持CSPM功能的交付，主要包括：

CSPM功能

独立综合能力

CSP帐户管理层次

身份、证书和访问管理

周期的演变

能见度和传感器放置

监控

应用程序编程接口

遥测和日志

部署、自动化和业务流程

五、结论

本云安全技术参考架构说明了在联邦机构继续采用云技术时，云迁移和数据保护的推荐方法。这些方法将使联邦政府能够识别、检测、保护、响应和从网络事件中恢复，同时提高政府、企业的网络安全。此外，随着网络架构的发展，这些方法还告知机构采用基于云的服务的优势和固有风险。

共享服务部分提供了云服务模型的概述，并解释了机构如何利用FedRAMP服务来支持他们的云迁移。云迁移部分强调了机构在云中设计、实现和维护服务时需要考虑的各种因素，并包括各种场景，以确保高效和安全地迁移到云。最后，云安全态势管理部分介绍了CSPM功能，它们支持的各种网络安全结果，以及选择应用程序来支持机构对云资源、应用程序和数据的安全管理，同时也促进采用零信任安全原则。

这个云安全技术参考体系结构通过关注云现代化，支持联邦机构在快速发展的技术环境中继续发展。

/ END /

内容主要整理自相关网站资料。

仅供学习参考，欢迎交流指正。

阅读英文原文

公众号内回复“DP70”

获取“美国CISA《云安全技术参考架构》2.0”下载地址。