# 雲端相關名詞解釋綜整 更新時間:2023/03/27 近期為了有效準備考試，就雲端方面， 把考試用的到的各類名詞解釋作整理 方便準備各種考試有關連到的部分作為複習使用 基礎架構 --- IaaS,Infrastructure as a Service，基礎設施即服務 如:Amazon EC2、Azure Virtual Machines PaaS,Platform as a Service，平臺即服務 如:Google App Engine、AWS Elastic BeanStalk、AWS Lambda、SAP Cloud Platform SaaS,Software as a Service，軟體即服務 如:Microsoft Office 365、Webmail service(Gmail、Outlook) Public Cloud 公有雲 Private Cloud 私有雲 Community Cloud 社群雲 Hybrid Cloud 混合雲 雲端安全 --- SWG,Secure Web Gateway,安全網站閘道 ZTNA,Zero Trust Network Access 零信任網路存取 CSP,Cloud Service Provider 雲端服務提供者 CSPM,Cloud Security Posture Management 雲端安全勢態管理 CWPP,Cloud Workload Protection Platform 雲端工作負載防護平台 SSPM,SaaS Security Posture Management SaaS安全狀況管理 - FWaaS,Firewall as a service 防火牆即服務 是用於雲端防火牆的另一個詞彙。與軟體即服務 (SaaS) 或基礎結構即服務 (IaaS) 等其他「即服務」類別一樣，雲端防火牆是一種安全性產品，與傳統防火牆一樣，可以篩選掉潛在的惡意網路流量。與傳統防火牆不同的是，雲端防火牆託管在雲端。 - CAIQ,Consensus Assessments Initiative Questionnaire 自我評估問卷 描述各項已符合安全要求的作法與因應措施，傳送至CSA註冊管理單位(STAR Registry)進行審查(STAR:Trust & Assurance Registry)，針對CAIQ安全問題，填寫(Yes or No)並提出描述說明，每年需定期重新自我評鑑(週期最多不得超過18年月) - CNAPP,Cloud-Native Application Protection Platform 雲原生應用程式防護平台 提供一種更簡單、更全方位的方法來管理雲端原生防護、監控及回應。這類平台的設計是要提供一種端對端的雲端防護方法，將多種雲端防護功能整合至單一平台解決方案，因此能提升整體的可視性，偵測那些可能癱瘓或損害您雲端基礎架構的風險，這一點對於今日的網路商務世界來說已變得越來越重要。有了 CNAPP，您企業的資安團隊就能更輕鬆地量化及回應您雲端環境可能出現的風險，不需在多套不同軟體之間來回切換。 - CIEM,Cloud Infrastructure Entitlements Management 雲端基礎結構權限管理 可提供更好的權限管理，讓您的企業資安團隊從單一位置存取和管理您企業雲端環境的存取權限，包括多重雲端環境，一般來說，CIEM 可讓您強制貫徹最低授權原則，並且掃描環境和雲端基礎架構組態設定以確保資源沒有非必要的存取點。萬一您真的發現了任何非必要的存取點，CIEM 讓這樣的狀況很容易通報給您公司的資安團隊，以便他們能夠盡速解決，最後，CIEM 可以讓您偵測和通報任何跟特定使用者、甚至角色有關的組態設定錯誤。這有助於確保沒有任何角色或使用者獲得他們不該獲得的檔案存取權限，進而維護您雲端基礎架構的安全與順暢。 - KSPM,Kubernetes Security Posture Management 可讓企業確保 Kubernetes 平台本身的組態設定正確無誤。如此，Kubernetes 環境的效益將進一步深化，同時也更容易尋找與管理組態設定。此外，KSPM 還能讓您的資安團隊更容易通報組態設定錯誤與資安問題，並且讓他們監控工作負載、組態設定、叢集、環境等等來減少使用者的人為錯誤，還提供了更好的叢集滲透測試與評量，兩者都能確保您的系統將以最順暢的方式運作，將人為的錯誤降至最低，還提供了更好的叢集滲透測試與評量，兩者都能確保您的系統將以最順暢的方式運作，將人為的錯誤降至最低。 - CASB,Cloud Access Security Broker 雲端存取資安代理(雲端存取安全性代理程式) 置模式共有三種，分別為頻外配置（Out-of-Band）的 API 控制（API Control），以及 內嵌配置（Inline）的反向代理（Reverse Proxy）以及 前向代理（Forward Porxy） 佇立於客戶與雲端服務間，以Proxy Mode及API Mode替企業解決資料上雲過程中最重要的「內容資安（Data Security）」問題。 所謂的Proxy Mode是指客戶的資料會經過CASB處理後才真正地放上雲端；CASB居中替企業強制將檔案加密，避免機敏資料以明文（plaintext）呈現於企業外；但由於Proxy Mode的加密動作常使雲端服務無法進行資料處理，因此有時須搭配API Mode。所謂的API Mode是先讓資料上雲，CASB再透過雲端服務開的「後門API」審閱雲上的資料，當發現不符受託企業之政策的機敏資料時（如文件含信用卡號等），CASB可將文件上鎖隔離並通知企業的權責人員處理。 - SSE,Secure Service Edge 安全服務邊界 可保護連向 Web、SaaS 應用程式和私人應用程式的存取權。它採納了安全 Web 閘道 (SWG)、雲端存取安全性代理程式 (CASB)、零信任網路存取 (ZTNA) 和防火牆即服務 (FWaaS) 等各種進階安全性功能。 - SASE,Secure Access Service Edge 雲端原生安全服務框架 包含了兩大獨立的技術領域：網路 (SD-WAN、VPN) 與安全 (SWG、CASB、FWaaS、ZTNA)，涵蓋底層網路基礎架構以及基礎架構之上的網路資安應用層。儘管這兩個領域都很重要，但他們通常分開處理，因為兩者的建置與成果基本上是互相獨立的。 雲端犯罪活動 --- Cloud as a subject Cloud as a object Cloud as a tool Amazon雲端相關 --- AWS Cloud Services(Infrastructure Services、Container Service、Abstracted Services) AWS,Amazon Web Services EC2 -> 雲端運算 (如AWS Lambda、AWS Elastic BeanStalk) S3 -> 雲端儲存 (如EFS、EBS) RDS -> 雲端資料庫(如DynamoDB) Management and Governance ->(如CloudWatch、CloudTrail Config) Security,Identity and Compliance(如IAM、GuardDuty、Security Hub) Networking (如VPC、CloudFront、Route 53) Data Storage(Regions、Availability Zones、Locaal Zones) Microsoft雲端相關 --- Azure Azure Portal Powershell Azure CLI Azure Resource Manager Data Storage(Blobs、Files、Queues、Tables、Disks) Blob Storage(Block blobs、Page blobs、Append blobs) Locally redundant storage(LRS) Zone-redundant storage(ZRS) Geo-redundant storage(GRS) Geo-zone-redundant storage(GZRS) Office 365 Google雲端相關 --- GCP,Google Cloud Platform GFS Mapreduce IBM雲端相關 --- IBM Cloud IBM Cloud Satellite 雲端相關認證標準 -- NIST SP 800-145 The NIST Definition of Cloud Computing NIST SP 500-292 NIST Cloud Computing Reference Architecture ISO/IEC 27001:2022 Information technology–Security techniques–Information security management systems–Requirements ISO/IEC 27002:2022 Information technology – Security techniques – Code of practice for information security controls ISO/IEC 17788:2014 Information technology–Cloud computing–Overview and vocabulary ISO/IEC 27017:2015 Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services ISO/IEC 27018:2014 Information technology–Security techniques–Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC 27036:2021 Information technology – Security techniques – Information security for supplier relationships ISO/IEC 19086:2016 Cloud computing − Service Level Agreement (SLA) Framework ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines 雲端相關證照 --- (ISC)2 Cloud Security Certification,CCSP CSA Certificate of Cloud Security Knowledge,CCSK CompTIA Cloud+ GIAC Cloud Security Automation,GCSA 雲端技術資訊管理師乙級 Google Certified Professional Cloud Architect Google Certified Associate Cloud Engineer AWS Certified Data Analytics – Specialty AWS Certified Solutions Architect - Professional AWS Certified DevOps Engineer - Professional Microsoft Certified Azure Fundamentals(AZ-900) 線上參考資源 --- 何謂雲端原生應用程式防護平台 https://www.trendmicro.com/zh_tw/what-is/cloud-native/cnapp.html 雲端安全及管控 https://www.hcrc.edu.tw/media/education/2.%E9%9B%B2%E7%AB%AF%E7%B6%B2%E8%B7%AF%E6%9C%8D%E5%8B%99%E5%8F%8A%E7%89%A9%E9%80%A3%E7%B6%B2%E5%AE%89%E5%85%A8.pdf Day 12 - 三朵雲的入門(雲端基礎證照) https://ithelp.ithome.com.tw/articles/10271001?sc=iThomeR 如何準備雲端證照考試-以AWS和GCP為例 https://hackmd.io/@cletus/ByXNQ_sCY#/ 什麼是雲端防火牆？ 什麼是防火牆即服務 (FWaaS) https://www.cloudflare.com/zh-tw/learning/cloud/what-is-a-cloud-firewall/ 什麼是 Zero Trust 網路存取 (ZTNA) https://www.cloudflare.com/zh-tw/learning/access-management/what-is-ztna/ 零信任網路存取 (ZTNA) https://www.fortinet.com/tw/solutions/enterprise-midsize-business/network-access/application-access 雲端部署模型（Cloud deployment model） https://ithelp.ithome.com.tw/articles/10255732 ###### tags: `CompTIA` `考試綜整`