###### tags: `證照` `CCSP` `雲端安全` `ISC2` # CCSP(Certified Cloud Security Professional) **Author: 陳詰昌 Email: power.shell@gmail.com** # CCSP 考試占比 * Domain 1: 雲概念、架構與設計 Cloud Concept,Architecture and Design 17% * Domain 2: 雲資料安全 Cloud Data Security 20% * Domain 3: 雲平台與架構安全 Cloud Platform and Infrastructure Security 17% * Domain 4: 雲應用程式安全 Cloud Application Security 17% * Domain 5: 雲安全營運 Cloud Security Operations 16% * Domain 6: 法律、風險與合規Legal, Risk and Compliance 13% # Domain 1: Cloud Concept,Architecture and Design ## 1.1 雲計算的概念 ### 雲計算定義 * NIST定義:雲端運算是一種模型，實現無處不在、便捷的、隨需網路存取的、可共享的、可配置計算資源池(網路、伺服器、儲存應用與服務)，以最小管理負擔或與雲服務提供商之溝通來快速的提供或釋出資源。 ### 運計算特色 * 這種模型由**5種必要特性、3種服務模式及4種部署模型**。 #### <font color=#FF0000>5種特性: (ISO 17788)</font> * 寬頻存取 broad network access * 隨需自助服務 on-demand self-service * 資源池 resource pooling * 快速彈性 rapid elasticity * 可量測服務 measured service #### <font color=#FF0000>4種部署模式</font> * Public:公有雲，多用戶共用CSP資源，成本最低、控制項最少 * Private:私有雲，單一用戶使用CSP資源(有限)。政府情治機關常用此方案。 * 硬體及架構所有權及使用權限制為單一組織所擁有，但注意與地端不同（許多顧問公司常會混為一談） * Community:社群雲，特定群體(具有相似業務目標)共享CSP資源。類似私有雲，但由社群成員分擔費用。 * Hybrid:混合雲，混合以上2種以上模式；當消費者公有雲，而其私有雲容量超過時，稱為cloud bursting。 * Public(成本考量) + Private(安全考量) * Cloud Bursting:當私有雲達到最大負載時，公有雲可以支援。 * 消費者提供資料 * SaaS遞送模式 * Hosted Application Management(HAM):給消費者主機軟體放在網路上 * Software on demand: O365、Gmail #### <font color=#FF0000>3種雲服務模式</font> * IaaS: CSP提供設備、硬體、網路，消費者自己建立VM、OS、APP、資料 * CSP提供記憶體、CPU、儲存及網路 * Consumer提供OS、軟體、host firewall * PaaS: * CSP提供基礎設備、網路、儲存及OS(雲端作業系統)， * 消費者自己建立APP、資料及組態 * 特性 * 支持多程式語言及框架 * 多樣主機環境 * 彈性 * 允許選擇並減少鎖定(lock-in) * 自動擴展能力 * SaaS:CSP提供設備、硬體、網路、VM、OS及APP，消費者自己建立資料 * CSP提供基礎設施、網路、儲存、OS、伺服器及應用程式 ### 角色與責任(R&R) #### 雲計算角色實體 * 雲服務提供者(Cloud Service Provider,CSP):雲計算服務提供商。 * 雲服務用戶(Cloud Consumer):購買、租用雲服務的組織或個人。 * 服務稽核者(Auditor):專門負責執行雲服務系統和雲應用程序稽核活動的稽核師。 * 服務代理商(Cloud Broker):從雲服務提供商購買託管服務，再將託管服務轉售客戶提供中介服務。 * 服務(Carrier):通常為ISP * <font color=#0000FF>雲存取安全代理商(Cloud Access Security Broker, CASB)</font>:第三方中介為雲服務提供商和雲服務用戶提供獨立的身分和訪問管理(IAM)服務，包含SSO、憑證管理與金鑰託管等。 * <font color=#0000FF>雲服務合作夥伴(Cloud Service Partner)</font>:協助雲服務及其交付團隊與雲服務提供商或雲服務服務客戶保持關係。 * 監管機構(Regulator)確保組織遵循規章制度框架。  ### 上雲驅動力 * 減少資本支出Capital Expenditure(CapEx) * 建築物 * 電腦設備 * 減少營運支出Operational Expenditure(OpEx) * 非資本支出 * 維護 * 降低人工成本 * 可降低雇用大量高薪IT人員 * 轉移部分監管成本 * PCI監管要求 * 減少數據歸檔服務/備份服務的成本 ### 構建塊(Building Block)技術 * 虛擬化Virtualiztion * 將處理程序、記憶體及功能從執行電腦上抽象化，使用於IaaS * 依靠hypervisor達成 * Type 1(Bare metal):直接在硬體上執行，雲服務最常見模式 * Type 2:在作業系統上執行 * 可能發生問題:VM escape * 使用guest VM來存取底層虛擬機器管理程序(hypervisor)  * 儲存 storage * 網路 networking * 資料庫 database * 協同(orchestration) * conatiner ## 1.2 雲參考架構 ### 雲計算活動 * 由雲服務客戶(Cloud service Customer)履行: * Cloud service User:使用雲服務 * Cloud service Administrator:測試、管理與監控雲服務 * Cloud service Business Manager:監督業務與計費管理，購買雲服務，必要時所要稽核報告 * Cloud service Integrator:將現有系統和服務與雲端環境整合。 * 雲服務提供商 * 雲服務合作夥伴 * Cloud Service Developer * Cloud Auditor * Cloud Service Broker * 雲服務代理商 ### 雲服務能力 * 軟體服務能力software service capability * 可使用CSP提供或研發完成的應用程式，用戶只能自行配置少量選項。 * 平台服務能力platform service capability * 可由CSP維護或控制的程式語言或函式庫來部署應用程式。 * 基礎架構服務能力infrastructure service capability * 雲客戶可以調整控制處理器、儲存與網路三種資源 ### 雲服務分類 * Infrastructure as a Service (IaaS) * CSP維護和控制底層架構 * 雲客戶控制雲環境部署服務 * 雲客戶可控制有限的網路組件 * 雲資源調配和可伸縮性 * 高可用性 * Platform as a Service (PaaS) * CSP負責操作系統和託管環境 * 雲客戶負責在CSP提供平台基礎架構上部署應用程式 * CSP負責部署系統和補丁 * 自動伸縮 * Software as a Service (SaaS) * CSP提供完整雲平台和軟體應用程序 * CSP負責維護全部系統含基礎架構 * 依據雲客戶的要求為用戶提供對數據的訪問與權限 * 雲客戶只能配置有限選項  ### 雲部署模式 * Public cloud * 基礎架構向公眾開放使用而準備 * 可能由商業、學術、公部門等組合擁有、管理與營運 * 運行在雲提供商場所 * Private cloud * 基礎架構資源為獨立組織的多為雲消費者所提供專用服務 * 可能由組織、第三方或以上某些組合體所擁有、管理及營運 * 存在組織場所之內或之外 * Community cloud * 為特定社群用戶提供服務 * 由社群中一個或多個組織、第三方或組合所有、管理和營運 * 存在社群營運場所之內或之外 * Hybrid cloud * 私有雲與公有雲所組成，將私有雲基礎架構（例如企業自己的資料中心）與一項或多項公有雲服務納入其中。 * 組成混合雲仍為單獨且唯一實體，但通過標準化或私有技術將其綁定在一起，實現數據和應用程式的可移植性，利用私有雲與公有雲模型實現高峰流量負載平衡 * Cloud Bursting雲爆發技術[cloud Bursting](https://www.techtarget.com/searchcloudcomputing/definition/cloud-bursting) * Multi-cloud * 多雲端指單一組織使用多個公有雲 ### 雲端共享注意事項 * <font color=#FF0000>Interoperability互操作性</font>:雲端服務可以協同運作良好的能力，組織可以輕鬆移動/重用雲應用程式或服務的組件。 * Portability可攜性:避免vendor lock-in * <font color=#FF0000>Reversibility可逆性</font>:將其所有系統和數據從CSP完全取回的能力，並從CSP獲得保證，所有數據在約定時間全面、徹底刪除 * <font color=#FF0000>Performance性能</font>：滿足需求的能力 * Availability:不可發生單點故障並達到99.9%可用性 * <font color=#FF0000>Resiliency韌性</font>：雲端架構抵禦破壞事件的能力 * Security:合約內容聲明最小安全要求及保密聲明 * Privacy:SLA內容 * Governance治理 * Maintenance and versioning維護與版本控制 * service levels and SLA * Auditability可稽核性 * Regulatory * Outsourcing * 彈性elasticity：CSP靈活提供**增減**資源給組織，保持收益同時降低成本，同時允許用戶從不同平台和位置訪問他們的數據，增加可移植性、可訪問性與可用性。 * 可擴展性Scalability：資源的**增加**可隨服務需要增加，比在非雲環境更容易、快速、划算。 ### 相關科技衝擊 * Data science * 機器學習Machine learning * 人工智慧AI(artificial intelligence) * 區塊鏈Blockchain * 物聯網IoT * 容器Container * 量子計算Quantum Computing：大幅度提高計算能力，可能對傳統密碼學造成威脅 * 邊緣運算Edge computing * Confidential computing * DevSecOps * 同態加密：不必先解密就可以處理加密的資料。 ## 1.3 雲端安全概念 ### 密碼學 * 明文 * 密文 * 加密 * 解密 * 金鑰 * Work factor * key space * IV * 對稱式加密 * 非對稱式加密 ### 金鑰管理 * 金鑰管理最佳實踐(勿將金鑰儲存在加密資料的系統上) * 以安全方式產生金鑰 * 金鑰外洩，資料可能外洩 * 金鑰備份或複製可能增加風險 * 金鑰託管 * 雲端金鑰管理 * 提供商:管理金鑰生成、分配及儲存 * 消費者:消費者產生及分配金鑰，儲存在使用者或集中存放，有時稱為BYOK(bring your own key) * 第三方:CASB(Cloud Access Security Broker)介於消費者與提供商之間來處理這功能。 ### 身分與存取控制 (IAM、IAAA、IdM) * Identification * Identity assertion: 唯一identifier * 不須保持機密 * Authentication * 保持機密性 * password * Authorization * 基於認證授予權限給主體 * Accountability * 主體處理哪一筆交易 * 不可否認 * 供裝: 替新用戶創建憑證及帳號，在過程中審查流程獲得Security Clearance * 管理: 資產所有者必須定期審視存取資源權限 * 升遷、停職或離職 * 去供裝: 移除帳號存取權限 * user access, privilege access, service access ### 資料與媒體消毒(Sanitation) * 覆寫(overwriting):用0覆寫 * 加密後刪除(Crypto-shredding) ### 網路安全 * 網路隔離(segmentation and isolation):物理上或邏輯上隔離 * 主要服務提供商都用虛擬方式達到此目的 * network security groups, traffic inspection, geofencing, zero trust network * ### 虛擬化安全 * Hypervisor * Type1: bare metal * Type2: from the OS * 容器安全 * 容器執行架構 * 容器內溝通 * 容器間溝通 * 容器內應用程式 * 存取控制 * 容器間協同 * 弱點掃描 * 版本控制 * Ephemeral computing * Serverless technology ### 常見威脅 * 數據外洩Data Breaches * 身分安全憑證和訪問管理不足 * 不安全的接口和API * 系統漏洞 * 帳戶劫持 * 惡意內部人員 * APT * 資料丟失Data Loss * 盡職調查不足 * 濫用和惡意使用雲服務 * 拒絕服務 * 共享技術問題 * * 資料被某人管理與儲存 * 雲端與消費者間通訊攔截 * 服務提供商中斷 * 公有雲架構，另一租戶能夠存取到我的資料嗎? * 雲服務提供商濫用我的信任 ### 不同雲類別的安全考量 #### IaaS * 人員威脅 * CSP人員 * 外部威脅 * 多租戶技術:多租戶間數據及存取控制 * 相同物理位置co-location:同一硬體託管多個虛擬機，虛擬之間攻擊，虛擬機到虛擬機管理程序的攻擊。 * 管理程序的安全和攻擊 * 網路安全 * 虛擬機攻擊 * 虛擬交換機攻擊 * DDOS * 缺乏特定技能 * 人員維運能力 #### PaaS * 資源共享：系統隔離 * 虛擬化：用戶權限、用戶訪問 * 互操作性問題：CSP對環境有更新時 * 持續的後門：惡意軟體、木馬、後門和管理問題 #### SaaS * 應用程式安全：API * 專有格式 * 虛擬化：多租戶數據保護和機密性 ### 安全衛生Security hygiene * patching * baselining ## 1.4 安全雲計算設計原則 ### 雲端資料安全生命週期(參考2.1) 1. 創建:創建時就對資料進行label 2. 儲存 3. 使用 4. 共享 5. 歸檔 * location * format * staff * procedure 6. 銷毀 * crypto-shredding  ### 雲端DRP及BCP * BC:所有可能服務中斷 * DR:自然災害或其他事件所引起 * 備份方式 * 私有架構，雲服務做為備份 * 雲端營運，雲服務提供商做為備份 * 雲端營運，第三方雲備份服務提供商 ### 業務衝擊分析(BIA) * 業務衝擊找出關鍵資產、服務、流程與關鍵路徑 * 新的依賴關係：組織的數據和操作將以全新方式依賴於外部方 * 監管失敗：用戶和雲服務管理員以新方式分發和傳播數據，CSP可能未能滿足監管要求 * 數據洩漏 * 雲服務供應商綁定/鎖定 ### 成本效益分析 * 資源共享和週期性需求 * 數據中心成本和營運成本 * 工作重點的變化 * 所有權與控制權 * 成本結構 #### 投資回報(ROI) ### <font color=#FF0000>功能性安全要求</font>(requirement) * Portability:由正式環境轉移到雲端或不同雲端或回到地端 * Interoperability: * 傳統系統功能在雲端 * 雲端系統與其他雲提供商協同工作 * Vendor lock-in * 缺少可攜性 * 缺少互操作性 * 不佳契約語言 * Vendor lockout * what happens if my cloud provider goes out of business * CSP停止服務或倒閉 * CSP停止客戶存取資源權限 ### 不同雲分類的安全考量與責任 * IaaS * PaaS * SaaS ### Cloud design patterns * SANS security principles * Well-Architected Framework * Cloud Security Alliance (CSA) Enterprise Architecture ### DevOps security ## 1.5 雲服務提供商評估 ### 根據標準(Criteria)驗證 * ISO/IEC 27017 * PCI DSS(Payment Card Industry Data Security Standard) * SOC1、SOC2、SOC3 ### 系統產品標準 * CC(Common Criteria) * EAL1:功能測試 * EAL2:結構測試 * EAL3:系統地測試與檢查 * EAL4:系統地設計測試和審查 * EAL5:半正式設計和測試 * EAL6:半正式驗證設計和測試 * EAL7:正式驗證設計和測試 * FIPS(Federal Information Processing Standard) 140-2 * 1級 * 2級:Role-based Authentication * 3級 * 4級 ### 評估 * 非自有財產難以評估 * 其他客戶不想讓自身機密暴露 * 只能仰賴外部第三方稽核報告 # <font color=#FF0000>Domain 2</font> Cloud Data Security ## 2.1 雲資料概念 ### 數據所有權 * Data Owner:Data Controller * Data Custodian:Data Processor * Data Steward ### 雲資料生命週期 * Create: 第一次被蒐集或創造 * Store: 創建同時儲存 * Use: 操作資料 * Share: 傳送資料至其他系統 * Archive: 移出正式環境進到長期儲存 * Destory: 以安全方式刪除資料 ### 資料分散dispersion * 資料儲存在單一處，這地方將會無比重要且可能發生單點錯誤 * 資料分散即將資料集或檔案瓜分後分散至不同資產上或位置上 * RAID、雲端 * bit-splitting: 資料分散包含加密 * 可以用來達成 * 韌性:單一資料遺失，可以由其他地方回復 * 安全:單點外洩，沒有具價值資料可以取得 ### 資料流 ## 2.2 雲資料儲存架構設計及執行 ### 儲存類型 * IaaS * Volume卷：基於檔案(File)儲存和塊(block)儲存，掛載在虛擬機使用 * Object對象：通常與IaaS結合 * PaaS * 結構化 * 非結構化 * SaaS * 訊息儲存與管理 * 內容與文件儲存 * 資料庫最常搭配是PaaS、SaaS * ephemeral暫時性(instance)、long-term長期性 * content distribution network(CDN) ### 儲存類型對應威脅 * 非授權存取 * 雲服務提供商個人 * 第三方 * 資料傳送中攔截 * 雲獨有 * 其他租戶 * 執法部門扣留 * 可用性喪失 * 提供商錯誤 * 連線錯誤 ## 2.3 雲安全技術及策略設計及應用 ### 加密與金鑰管理 * 加密技術應用 * 儲存狀態 * 傳輸狀態 * 使用狀態 * 金鑰管理 * 保護水平：採用相等或高於加密資料的安全控管 * 密鑰恢復 * 密鑰分發 * 密鑰撤銷 * 密鑰託管 * 外包密鑰管理 ### 雜湊技術 * Hash非加密 * one-way function，將明文轉換為固定長度，稱為hash value或digest * 可用來檢查資料完整性 * 常見有MD5、SHA，現在多採用sha256、sha3 * 好的Hash function具備以下特徵 * 明確性: 特定明文總是產生對應digest * 抗碰撞: 任兩個明文不會對應到同一個digest * 雪崩效應: 改變單一字元就會改變整個digest * 嚴格單向: 數學上無法由digest回推明文 ### 標記化Tokenization技術 * 使用隨機或不透明的標記來取代機敏資料而非使用加密 * 避免維持龐大加密資料的花費/難度/風險 * 依據許多標準與法規另一種可接受加密方式 ### DLP(Data Loss Preventation) * 出口檢查以確保敏感資料在允許方式下輸出 * 有硬體或軟體模式，佈署在物理或邏輯環境下某位置 * DLP組件：3元件 * 探查和分類 * 持續監控 * 執行 * DLP數據狀態 * Data at Rest：安裝在存有資料系統上 * Data in Transit：部屬在網路外圍附近 * Data in Use:部屬在用戶的工作站或設備上 * 通常需要主機或區域內安裝AGENT * Cloud DLP選項可能是受限 ### 料去識別:將個資上可識別部分去除 * 使用混碼Obfuscation、Tokenization、遮罩Masking或數據匿名Anonymization等技術 * 混碼：tokenization、masking、anonymiztion * 法規上要求 * 易於管理匿名資料集 * 修改資料使其無法馬上被識別 * 遮罩是混碼常見方法 * 目的是為減少未授權存取敏感資料的可能風險 ## 2.4 執行資料探查(data discovery) ### 探查方法 * 以內容為主 * 以label為主 * 以metadata為主 ### 資料位置 ### 結構化資料 * 已知格式和內容類型的所有數據類型 * 關聯資料庫 ### 非結構化資料 * Metadata * labels * content及 context analytics ### 半結構化資料 * XML * JSON ## 2.5 執行資料分類Classification ### 資料分類政策 * 分類級別 * 分配責任 * 定義角色 ### 資料分類方式 * 監管合規：HIPAA、PCI、SOX * 業務功能 * 功能單位：部門 * 基於專案 ### 資料分級 * 資料敏感度 * 司法管轄 * 重要性 ### 資料映射mapping * 組織間資料必須要進行正規化和轉換，以便對雙方都有意義 * 用來追蹤資料元件/欄位在資料庫間對映情形 ### 資料標籤label * 標籤labeling * 手動: 可能人為錯誤或缺乏統一標準 * 自動: 可能分類錯誤(misclassification) * 常見資料label * 建立日期 * 銷毀日期 * Data owner * 數據源 * 司法管轄 * 機密等級 ### 敏感資料 * 類型 * PHI健康訊息 * PII個人資料 * Cardholder Data持卡人資料 * 分類 * 依據機敏或價值進行排序 * 不要超過4層 * 可用營運衝擊分析BIA於資料分類 ## 2.6 資訊產權管理(IRM) ### 目的 * 誰可以讀取、修改、創建、編輯、複製、列印檔案等權限,來保護資料與隱私 * 數據分類與控制措施的手段 * data label:根據IRM規則決定處理哪些數據，而非將角色與權限匹配 * provisioning：根據使用者的角色或其他標準為使用者提供權限 * access models：為文檔添加安全和存取控制層來保護 ### 常見提供功能 * 持續稽核：訪問方在何時何處以什麼方式存取數據 * 有效期：數據訪問有效期間 * 策略控制：對數據存取方式可以顆粒度更小方式執行 * 保護：受保護資訊任何時候都是安全 * 支持多種應用程序和格式：IRM可與流程整合 * 簽發與吊銷憑證 * IRM常見身分驗證及授權方式為Certified-based ### 工具 * IRM、DRM或ERM(enterprise rights management) * DRM（Digital Rights Management；數位版權管理）有時也稱IRM（Information Rights Management；資訊版權管理），是針對軟體、系統、影音等數位內容及硬體的智慧財產保護技術。 * DRM知識產權保護 * 版權 * 商標 * 專利 * 商業秘密 * 必有以下特徵 * 永久性 * 集中式動態控制(改變屬性) * 時間因素(保護或存取期限) * 需要Agent ## 2.7 資料保留、刪除及存檔政策的規劃與執行 ### 組織所有政策應包含 * 政策維護 * 政策監控 * 政策執行 ### 資料保留政策 * 基於法規與契約 * 通常不儲存超過必要程度 ### 資料刪除程序及機制 * 資料破壞 * 刪除 * 消磁 * 覆寫 * 物理破壞 * 加密刪除 ### 資料存檔程序及機制 * 從正式環境移除，移到長期儲存區 * 考量點 * 頻率(完整、差異、增量備份) * 安全(傳輸中或儲存中) * 萃取 * 關鍵概念 * 格式：如何儲存數據 * 技術：哪些軟體應用程序用於創建和維護歸檔數據 * 法規要求：必須留存最短時間，對保存期間有何要求 * **定期測試：定期測試歸檔、備份、復原確保備份可以在需要時復原** ### 法規規定保留legal hold * 在法律上，對案件相關資料保持原狀態呈現於法庭，必須避免對證據造成的更動 * 除非法規或程序有另外規定，改變原資料保留政策與程序，避免證據被變動與銷毀 ## 2.8 隱私保護 ### 個資隱私法案 * 美國 * HIPAA醫療健康資訊 * 歐盟 * GDPR ### 隱私角色與責任 * 物理環境：CSP全權負責 * 基礎架構： * IaaS:共同負責 * PaaS：CSP全權負責 * SaaS：CSP全權負責 * 平台： * IaaS:雲客戶責任 * PaaS:模型共同責任 * SaaS:CSP全權負責 * 應用程式： * IaaS：雲客戶責任 * PaaS：雲客戶責任 * SaaS:共同負責 * 數據：雲客戶對所有雲模型負全責 * 治理：雲客戶對所有雲模型負全責 ### 數據探查 * 數據探查是應用程序或系統所有方展示並確保遵守數據隱私法規的主要方法 ## 2.8 資料事件的可稽核性、可追蹤性及可當責性 ### 定義事件來源及事件屬性的要求 * 任何IT環境的可被量測的活動 * 事件來源: 任何設備、APP、系統、執行序可被記錄下來的 * 身分、IP、Geolocation * 事件源定義 * IaaS:對日誌擁有最大的訪問權限和可見性 * PaaS: * SaaS:應用程式日誌、利用率、訪問和計費等 ### 事件的記錄、儲存及分析 * 日誌主要目的是針對入侵者 * 最佳實踐 * 不要將日誌存在系統上 * 保護日誌檔優先於日誌來源的系統 * 使用SIEM考量點 * 自動化解決方案 * 聚合aggregation * 正規化normalization * 關聯correlation * secure centralized storage * 分析analysis * 報告reporting * 告警alerts * Dashboard * 目標 * 集中採集日誌數據 * 增強分析能力 * 儀表板 * 自動應變 * 保存日誌檔特定長的時間 ### 證物監管鏈及不可否認性 * 監管鏈: 記錄從蒐集到法庭過程中所有詳細紀錄 * 不可否認: 不能否認其行為 * 強認證、非對稱加密、數位簽章及數位憑證 # <font color=#FF0000>Domain 3</font> Cloud Platform and Infrastructure Security ## 3.1 清晰的雲架構組件 ### 物理環境 * 大型設備 * 通常地理位置上隔離 * 強大物理上縱深防禦 * 高比例由IT設備紀錄足跡 * 備援設備及HVAC * 電力 * 通信 * 人員 * 少數人員  ### 網路通訊 * 網路硬體 * 物理佈線 * 虛擬區域網路VLan * 軟體定義網路 * northbound interface (NBI)是處理SDN Controllers及Applications間流量 ### 計算 * 系統和環境的CPU與記憶體(RAM) * 預留Reservation:向雲客戶保證最小資源 * 限制Limit：強制雲客戶最大限度利用 * 共享Share：雲環境沒有足夠資源下，用於減輕和控制雲客戶對資源分配的請求 ### 儲存 * Volume storage:將儲存分配給虛擬機，並在服務器上配置硬碟驅動器和檔案系統 * Object storage:將資料儲存在與應用程序分離的系統上，用戶透過API、網路請求或Web介面存取資料。 ### 虛擬化技術 * 幫助雲環境為客戶提供最大的收益，特別是資源池、按需自助服務和可伸縮性。 * 虛擬機管理程序hypervisor * Type 1：Hypervisor直接與底層硬體綁定運行的本機達成 * Type 2：Hypervisor在作業系統上運行 ### 管理平面management plane * 雲環境和其中所有主機的管理，不必用雲環境中的單個主機，就可以從一台獨立服務器上執行某個物理位置的管理任務 * 雲提供商(CSP)如何連結資料中心及維持雲端客戶(Customer)可以使用資源 * 必須嚴格被保護 * 類似於管理介面，雲端客戶透過雲端進行管理功能 ## 3.2 設計安全資料中心 ### 邏輯設計 * 租戶分區 * 應用程式隔離 * 記憶體隔離 * 存取控制 ### 實體設計 * 位置 * 天然災害 * 天候 * 社會動盪 * 購入或自建 * 購入: 減少花費/啟動時間 * 自建: 設計專門做為雲資料中心的設備 ### 環境設計 * HVAC * 需要備援 * 多供應商管道連結 * 環境議題 * 太熱:機器過熱 * 太冷:人不舒服 * 太濕: 細菌孳生 * 太乾: 可能產生靜電 ### 設計彈性 ## 3.3 分析與雲基礎架構相關風險 ### 名詞定義 * 風險 * 威脅 * 弱點 * 控制 * 風險偏好 ### 風險評鑑與分析 * 組織與法規要求 * lock-in、治理、數據安全、隱私、系統或應用程式要求及安全控制 * 雲服務降低組織對系統掌握度，對正常治理工作產生許多挑戰 * ediscovery * 風險分析 * 量化 * 目標 * 時間 * 花費 * 公式: ALE=SLE*ARO * 質化 * 主觀 * 快速 * 便宜 ### 雲漏洞、威脅與攻擊 * 非針對雲端 * 外部攻擊 * 機密性 * 可用性 * 內部威脅(惡意/疏失) * 系統錯誤 * 天然災害 * 針對雲端 * 租戶與租戶間外洩 * 治理控制的喪失 * 非針對雲端，但快速增加 * 遠端存取風險 * 監控 * 攔截 * 欺騙 ### 虛擬化風險 * 攻擊虛擬機管理程序 * 客戶機逃逸 * Guest escape: 同一實體機上某一虛擬機租戶可以存取到另一租戶虛擬機 * Host escape: 某一虛擬機租戶可以存取到同一資料中心其他實體機 * 訊息洩漏 * 數據查封 * 法律查封 ### 安全應對策略 * 無嚴格邊界 * 縱深防禦 * 持續監控(雲監控適用於監控傳統與虛擬設備) * 基準Baseline與鏡像檔image ## 3.4 設計與規畫安全控制 ### 實體與環境保護 * 縱深防禦 * 存取控制 * 實體控制 * mantrap * turnstile * 環境保護(地端) ### 系統、儲存與通訊保護 * 系統保護(in Use) * 強化(hardening) * 移除非必要功能或帳號 * 入侵保護及防毒 * DLP/DRM * 存取控制 * 通訊保護(in Transit) * TLS加密 * VPN * 儲存(at Rest) * 加密 ### 虛擬系統保護 * 對hypervisor組態或管理上嚴格存取控制 * 限制特權帳戶的使用 * 要求 MFA * 不當使用進行日誌記錄和警報。 * 持續監控/維護 * 廠商指引 ### 雲架構的識別、認證、授權 #### 聯合身分 * IdP：身分證明提供方 * Relying Party：接受身分證明提供方所提供的憑證 * Customer：用戶  #### 識別標識 * OpenID與 OAuth * SAML #### 身分驗證 * 確定所提供身分識別真實性 #### 授權 * 授予用戶或系統程序適當的角色與權限，以獲得對數據或應用程序的存取權。 ### 稽核機制 * 安全合規性和有效性 * log蒐集與關連：雲環境中日誌蒐集會依照雲模型差異而不同 * 封包擷取：在IaaS可在虛擬機進行抓包，而其他則依靠CSP ## 3.5 災難復原與營運持續 ### 雲端環境風險 * 雲服務提供商資產可能未在不同位置(不同司法管轄) * Vendor lockout * 政治上議題 * 從一雲服務提供商到另一雲商的錯誤可能產生互操作性/可攜性議題 ### 營運要求(RTO、RPO、RSL(Recovery Service Level)) * MAD(max allowable downtime):MTD * RTO(recovery time objective)：熱備援/暖備援/冷備援 * RPO(recovery point objective) * RSL(Recovery Service Level)故障發生時所要恢復服務百分比 ### 營運持續/災難復原策略 * 流程 1. 定義範圍：定義角色與領域 2. 收集需求：RTO、RPO、風險、國家政策、法律等 3. 分析：需求與範圍結合來形成實際方案設計和路線圖 4. 評估風險： * BCDR負載能力 * 服務遷移 * 法務及合同問題 5. 設計 * BCDR解決方案實際技術 * 6. 實施 7. 測試 * 測試確保準確性和可行性，確認可靠與有效 8. 報告和修訂 * 傳統資料中心: 可能使用雲端作為備援/異地正式環境 * 好處 * 不需要預先選擇地點 * 彈性 * 便宜 * 已採用雲端者:可將另一雲提供商作為備援 * 假如是mirror/hot site可能會非常貴 * 潛在互操作性/可攜性議題 #### 計畫創建、執行及測試 * 建立 * 涉及利害關係人 * 高層的支持 * 執行 * 應變 * 個人 * 溝通 * 評鑑 * 復原 * 教育訓練 * 經驗學習 * 測試 * 讀一遍/桌面演練 * 平行演練 * 另一地點，不需要中斷正式環境 * 全中斷演練 * 像正式災難發生 * 風險高，可能造成真災難 # <font color=#FF0000>Domain 4</font> cloud application security ## 4.1 提倡應用程式安全的培訓 ### 雲端開發基礎 * 雲端應用程式可能針對雲環境開發或從傳統IT環境移植 * 應用程式打算在雲端服務必須以虛擬環境來設計 * 優先考量雲端搬遷，客戶組織應決定什麼APP或功能需要上雲，"lift and shift"現行APP或設計取得新APP ### 常見陷阱 * 地端應用未必能夠遷移至雲端 * 說明文檔缺失 * 並非所有應用都適用雲端 * 租戶隔離：地端沒有因隔離問題產生數據洩漏問題，透過存取控制、執行序隔離、Guest/Host Escape等來應對 * 使用安全、應過驗證的API ### 常見雲環境弱點 * 應用程式由傳統IT環境移植到雲端不一定可行及安全 * 互操作性 * 非為多租戶環境設計 * 非為遠端存取設計 * 有些安全屬性無法移植到雲端 * 喪失對硬體或架構所有權 * 治理的喪失 * 開發者不熟悉雲端風險 ## 4.2 SSDLC流程  ### 業務要求 * 功能要求 * 需要APP做什麼 * 非功能要求 * 我還要這個APP是什麼? ### 階段與方法 * 階段 * 需求定義：確定應用的業務需求 * 設計：用戶使用場景，介外觀與是否需要開發API * 開發development * 測試：滲透測試與弱點掃描 * DAST動態測試 * SAST靜態測試 * 功能測試：完整不中斷方式完整準確執行任務 * 安全測試：軟體中所有控件能有效運行達成目的 * 維護及營運(operational activities) * 退役 * 方法 * 瀑布式Waterfall * 傳統由上而下開發 * 非遞迴方法 * 確保符合契約及時間內交付 * 螺旋式Sprial * 遞迴方式、階段式 * cleanroom * 零錯誤方法、貴、詳細 * 敏捷Agile * 軟體開發設計 * 鼓勵定期更新與疊代 * 較不重文件而重需求 * DevSecOps * 不同部門參與、包含維運、開發、品保、測試及安全 * CI/CD * 一種程式開發方法，將現存程式庫發給程式設計師，程式設計師修改後，送出至集中程式庫(repository)，更動蒐集並檢查後，發布為新版軟體 * CI/CD要定期做 * 適合虛擬或雲端環境 ## 4.3 SSDLC ### 避免開發過程中常見漏洞 * 開發時就要考量漏洞，而非開發完成後再要求與加入 ### 雲特有風險 * 數據洩漏 * 身分、憑證和訪問管理不足 * 不安全的接口和API * 系統漏洞 * 內部惡意人員 * 拒絕服務 * 共享技術問題 ### 質量保證 * 測試 ### 威脅建模 * STRIDE * Spoofing * Tampering * Repudiation * Information Disclosure * Denial of Service * Escalation * DREAD：評估風險和威脅 * Damage * Reproducibility * Exploitability * Affected Users * Discoverability * ATASM * Architecture * Threats * Attack Surfaces * Mitigations) * Process for Attack Simulation and Threat Analysis (PASTA) *  ### 安全程式編碼 * OWASP Application Security TOP 10 * Application Security Verification Standard (OWASP ASVS) * Level 1:滲透測試驗證 * Level 2 * Level 3 * Software Assurance Forum for Excellence in Code (SAFECode) ### 軟體組態管理與版控 * 工具與流程自動化地管理、監控與確認軟體組態 * Puppet、Chef、Ansible ## 4.4 套用雲端軟體保證及驗證 ### 功能測試 * 確保軟體完全部會丟失/中斷的方式完整準確的執行預期任務 * use case testing * misuse case testing * fuzzy testing * UAT ### 非功能測試 * 穩定性stability * 效能performance ### 安全測試方法 * 軟體中包含所有控件軍有效運行並實現其目的 * 靜態應用安全測試(SAST) * review code * 慢且貴 * 需要程式背景知識 * 白箱 * 動態應用安全測試(DAST) * 程式執行時 * 黑箱 * Software Composition Analysis (SCA) * 判斷程式庫中開源軟體版本 * 有助於組織了解哪些元件可能需要更新以及哪些元件可能不安全，用於控制風險 * Interactive application security testing (IAST) * CI/CD * IAST 通常發生在大多數軟體開發生命週期的測試或 QA 階段 * 使用軟體設備有驗測效能以及更快地發現和修復功能錯誤 * 需要更完整的應用程式進行驗證 ### Quality assurance (QA) ### 濫用案例測試 ## 4.5 使用安全驗證軟體 ### 已核准的安全API * API提供與第三方工具關聯和整合的能力，從而擴展功能，但可能沒有經過驗證，而產生安全問題。 * Web API * 安全議題 * 假如API存使用者憑證，任一人存取使用者設備/APP可以存取系統/資料 ### 供應鏈管理 * 硬體或軟體在交付前進行滲透，讓攻擊者存取終端使用者環境 * 最低安全需求在採購合約內 * SLA確保服務符合客戶需求 * 安全與效能 * 大量用在管理服務，如雲端運算 ### 第三方軟體管理(註冊授權) * proprietary * 源碼不提供給客戶檢視 * 安全基於有限存取及專家設計/執行為基礎之上 * 依賴廠商發現及解決漏洞 * 比開源軟體貴 * 需要授權 * 缺乏彈性 ### 驗證開源軟體(open source software) * 開源 * 開放給大家檢視 * 攻擊者易識別漏洞 * 允許客製化 * 版本控制困難 * 比套裝軟體便宜 ## 4.6 理解雲應用架構的特點 雲應用架構是開發基於雲的應用程序的基礎。 了解此體系結構的細節以及可用於保護它們的補充安全組件非常重要。 ### 輔助安全設備 * WAF:於應用程式層監控Http流量 * 通常提供基於使用者、會話、傳送和接收的資料以及特定於應用程式的上下文進行過濾的功能 * DAM(Database activity monitor) * 資料庫出入請求監控的解決方案 * 監控特權資料庫使用情況以及其他對資料庫安全有用的資料點 * XML FireWall: 用來掃描XML流量 * API Gateway * 扮演使用者/應用程式及服務/資料間中介解決方案 * 認證、路由及監控/限制活動 * 用於管理、監控和聚合API的工具，通常能夠控制身份驗證和授權，提供流量控制功能，並可根據API安全最佳實踐或規則進行過濾。 ### 密碼學 * 加密對應用程式或資料安全有幫助 * 應用程式不可能解開加密資料除非有key * 以未加密方式存放資料可能遭到攻擊 * 應用程式與服務間通訊應該加密，特別是傳送憑證或認證 ### 沙箱sanbox技術 * 硬體: 測試環境、模擬操作環境、 * 軟體: 虛擬化/模擬底層機器，例如應用程式漏洞 不能影響系統 ### 應用程式虛擬化與協同 * 在可信虛擬環境中運行完整應用程式，沙箱僅限一個進程 * 將應用程式切為不同功能，提供這些功能給開發者/架構師 * 必免不同APP糾纏(減少相依性) * function as a service或microservices * 微服務：小型的、獨立的服務，用於組成更大的服務環境 * 容器化：底層是docker為引擎 ## 4.7 設計適當身分識別及管理 * Identity and access management是關於用於創建、管理和銷毀各種身分的人員、流程和過程 * Identity management:將用戶權限與給定的身分進行關聯，從而賦予主體訪問系統的權限 * Access management * 驗證身分Authentication * 授權Authorization * 政策管理Policy * 聯合驗證Federation * 身分儲存庫repository * X.500、LDAP ### 聯盟式認證及身分服務提供者(IdP) * 聯盟Federation可以視為單一簽入後可以跨多個組織系統 * 某一組織使用者可以使用憑證去存取其他組織系統/資料 * 常見標準: * OpenID、OAuth 2.0 * SAML 2.0 ### 單一簽入 * 允許使用者出示憑證一次，可以存取多個系統 * 強化使用者經驗及增進安全 * 使用者更可能使用強密碼 * 使用者減少寫下密碼 * 單點錯誤或單點外洩 ### 多因子認證 * 用來驗證主體的元素 * 三因子 * something you know * something you have * something you are * 多因子驗證智少有2個不同因子來驗證主體 * 生物特徵、CER、 ### CASB雲端存取安全中介 * 雲端使用者及雲提供商間的中介 * 系統或軟體或公司 * 提供不同服務 * 上傳前加密 * 金鑰管理 * 金鑰代管 ### 秘密管理Secrets management # <font color=#FF0000>Domain 5</font> Cloud Security Operations ## 5.1 建立及營運雲端實體及邏輯架構 * 雲安全運營對於雲環境的安全至關重要。 * 根據雲提供商CSP創建的安全基線去構建和實施雲環境中物理和邏輯基礎設施非常重要。 * 此安全基線應符合行業最佳實踐和供應商指南。 * 此外，對用於訪問雲的設備的訪問應該受到限制，並且 BIOS 應該受密碼保護。 * 此外，網絡和存儲控制器應具有強大的管理訪問控制，並且應應用虛擬硬件特定的安全配置。 此外，在客戶系統上安裝操作系統時，它應該是一個內置安全性的操作系統。 * 硬體特定安全組態要求、虛擬化及TPM設定、儲存控制器及網路控制器 * 虛擬管理工具安裝與設定 ### 邏輯設計 * 虛擬化 * 管理平面是虛擬化安全最重要組件 * 儲存問題 * 多租戶技術 * 邏輯網路分離允許用戶和雲客戶數據在雲環境中保持隔離與保護 * 存取控制 * 管理平面和虛擬機管理程序層，從安全角度看，在設計早期就要規劃有日誌紀錄，持續監控和持續稽核 * 應用程序接口 * RESTful API * SOAP API * 相較DCOM及CORBA互操作性較佳 ### 實體設計 * 物理位置location: * 司法管轄和監管合規 * 天災等威脅 * 購買或自建 * 設計標準 * BICSI * IDCA * NFPA * Uptime * 分為4層  ### 環境設計 * 電源 * 空調 * 網路連接 ### 管理工具的安裝與設定 ### 虛擬硬體特定安全配置需求 ## 5.2 雲端環境運營實體及邏輯架構 ### 針對硬體的安全組態要求 * hardware security module (HSM) * 網路設備 * 物理網路 * 虛擬網路 * BIOS * 虛擬化及TPM都有BIOS設定 * Trusted Platform Module (TPM) * 儲存通信控制器 * 網路控制器 * 雲端供應商 * Installation of guest operating system (OS) virtualization toolsets ### 設定本地及遠端的存取控制 * 提供者 * Secure keyboard Video Mouse (KVM) * 消費者 * console-based access mechanisms * 使用瀏覽器取代終端服務 * Windows Powershell或 AWS Management Console * Remote Desktop Protocol(RDP) * 終端服務 * 使用加密對抗攔截 * 強存取控制 * Remote Desktop Protocol (RDP), secure terminal access, Secure Shell (SSH), console-based access mechanisms, jumpboxes, virtual client ### 安全網路設定 * VLAN * 邏輯區隔網路 * TLS * 使用非對稱加密來創建對稱session key * DHCP * 集中式服務來指派IP到各主機 * 不安全協定 * 風險: 偽冒主機 * DNSSec * 將IP轉為URL * 風險: DNS poisoning/redirects * VPN * 客戶確保使用者透過安全方式連結 ### Infrastructure as Code (IaC) strategy ## 5.3 管理雲端環境中實體及邏輯架構 ### 本地和遠端訪問的存取控制配置 ### 網路配置安全 * 虛擬區域網路 * 傳輸層安全 * 動態主機配置協議 * 域名系統 * 虛擬私有網路 * IPSec ### 透過應用程式基準(baseline)強固作業系統、監控及補救措施 * 移除非必要應用程式/功能/函式庫 * 移除帳號/憑證 * 安裝 DRM/DLP/IDS/IPS/反惡意程式 * 依據信來源、客製環境基準安裝/設定、監督 ### 獨立單獨主機可用性 * 雲端代表 * 在雲機房內獨立硬體設備(提供商) * 獨立存取雲的設備(客戶) * 在雲端獨立運作的虛擬機 * 促進設備的可用性(實體或虛擬) * 韌性 * 取代性 * 適當強化 * 備份資料 ### 叢集主機(clustered host)可用性 * 雲端資料中心的硬體設備 * 分散資源排程(DRS):用來處理客戶請求的雲端元件選擇 * 動態最佳化(DO):live migration * 儲存叢集:叢集儲存比單體儲存具有韌性 * 維護模式(maintenance): 離線用來保護設備上客戶資料/功能的程序 * 刪除所有活動中instance，防止新的使用者登入，並確保日誌記錄繼續 * 高可用性:透過redundancy/resiliency確保客戶可以存取雲端資產 ### 虛擬機客用作業系統(Guest Operating System)的可用性 * PaaS * 適當組態 * 適當維護 * 適當安全(D.4)Availability of guest operating system (OS) ### 管理方案 * 調度scheduling * 維護maintenance * 編排orchestration * 編排描述了一組廣泛的功能，允許對服務、流程或工作流程進行基於任務的自動化控制。它可以處理維護和使用調度，但它的用途比兩者更廣泛。 * Ref 1.1、3.1、4.6、5.2 ## 5.4管理雲環境的物理與邏輯基礎架構 ### 遠程訪問的訪問控制措施 ### 操作系統基線合規的持續監測和補救 ### 補丁管理 * 軟體的更新與修改 * 效能(主動)及安全(被動)因素 * 廠商發動 * 更新排程可能變動 * 優先順序 * 完整備份優先於補丁 * 必須準備回滾到上次正常狀態 ### 效能及性能監控 * 網路network * 足夠頻寬處理客戶流量 * 計算compute * 處理能力足以符合客戶需求 * 儲存storage * 足夠能力可以儲存客戶所有資料 * 反應時間response time * 在不同需求之假定限制下可以應變(SLA、事故等) ### 硬體監控 * 供應商需監控每一設備以確保功能運作正常及最佳化 * 磁碟 * CPU * 風扇轉速 * 溫度 ### 設定Host及Guest OS備份及還原功能 * 已知良好OS版本必須隨時維持 * 金牌映像檔，更新也是整體組態管理的一部分 * 嚴格版本控制 * 定期回復練習 * 不變性雲端設定: guest OS不能改變，只有golden image可以改，並推送至環境 ### 網路安全控制 * 防火牆 * 用來偵監過濾網路間流量 * 通常在網路邊界 * 硬體/軟體 * WAF:監控http流量 * 與IDS/IPS相似，可以使用定義、行為或規則來進行過濾 * stateful inspection * Intrusion detection systems (IDS) * HIDS * NIDS * Intrusion prevention systems (IPS) * Honeypots * 模擬正式環境用來混淆攻擊找 * 軟體或硬體 * 通常放在網路邊界 * 沒有正式資料 * 用來取得攻擊者資訊 * Network security groups * Ref. 1.3 * bastion host * 堡壘主機用於從較低安全區域連接到較高安全區域。 #### 作業系統基準合規監控及 * 定期監控OS確保符合組態基準 * Sampling * Hashing ## 5.5 實施運營控制及標準 ### 標準 * Information Technology Infrastructure Library (ITIL) * 安全控制設計 * 安全測試 * 安全事件的管理 * 安全審查(含稽核) * International Organization for Standardization * International Electrotechnical Commission (ISO/IEC) 20000-1 ### 變更管理 * 變更管理政策應該有 * 工作指派 * 偏差通知 * 文件記錄 * 所有步驟都要記錄、紀錄、紀錄 * 設定部會保持不變，變更需要經正式、安全程序 * 變更管理委員會(CMB)或邊更控制委員會(CCB)或相似組織 * 由不同利害關係人所組成 * IT、安全、人資、高階管理、財會 * 典型程序: 請求、審視、核可/不核可、測試、實施、長期維護及營運、銷毀 ### 業務持續管理 * 5.2 ### 資安管理 ### 持續改善服務管理 ### 事故管理 Incident management * 5.7 ### 問題管理 Problem management * 5.7 * ITIL v4 使用「問題」一詞來描述一個或多個事件的原因或潛在原因。 * 問題管理透過釐清確定事件發生的原因或可能發生的原因來減少事件發生的可能性和影響。 * 涉及管理解決方法(workarounds)和已知錯誤，這些問題已被分析但尚未解決。 ### 版本管理 Release management * 安排所有必要元素成功地、可重複、可驗證方式部署新軟體版本  * 5.3 ### 佈署管理 Deployment management * 5.3 ### 組態管理 Configuration management * ITIL分為組態識別、組態控制、組態確認及稽核 * 5.3 ### 服務水平管理 Service level management * 6.5 ### 可用性管理 Availability management * 5.2  ### 容量管理 Capacity management * 1.1、4.6、5.3 ## 5.6 支持數位鑑識 ### 鑑識資料蒐集方法 * Chain of custody: 由蒐集開始到法庭過程都要留下紀錄 * 5大規則 * 真實: 顯示所主張的內容嗎? * 完整: 所有相關證據 * 可靠: 使用相同方法，可以得到相同結果 * 可信: 來源可信 * 可接受: 法院可接受 * 報告對象 * 法庭 * 投資者 * 執法機關 * 承銷商 * 公眾 * 監理機關 * 記錄下任何事，包含調查的時間及花費 * 內部使用的證據，一般由IT或資安個人所蒐集 * 用於法律行動之證據必須由受過訓練有經驗、證照的人員為之 * 證據來源 * 網路設備日誌 * 安全設備日誌 * 端點 * 人員 * 不使用正本以副本進行分析 * 使用正本時應避免更改 * 防寫器 * hash證明完整性 * 證物監管鏈事必要 * 建議請專家處理 * 與IT相關調查包含資料本身及系統 * 硬體及資料必須要謹慎處理 * 遵守證物監管鏈 ### 證據管理 * 維護數據完整性和證據保管鏈對管理和保存所收集的證據非常重要 ### 蒐集、取得及保存數位證據 ## 5.7 管理相關方的溝通 * Vendors * Customers * Partners * Regulators * Other stakeholders ### 集中式聯絡資訊 ### 事件處理/災難應變重要性 * 最佳實踐 * 單一發言人 * 專業溝通者 * 量身訂製訊息 * 及時但不急促 ## 5.8 管理安全營運SOC * 監控環境、偵測及接收有關惡意活動報告及處理安全議題的集中化團隊 * 24/7 * 受過訓練專業人員 ### 安全控制的監控 ### 日誌獲取與分析 * SIEM(security information and event management) * 日誌管理 ### 事件管理 * 最小化損失 * 持續服務供應 * 止損 * Incident management ### 弱點評鑑 * 偵測已知弱點 * 通常自動化 * 假如使用已定義方法，無法偵測到零日漏洞 * 包含漏洞的優先順序 # <font color=#FF0000>Domain 6</font> 法規、風險及合規 ## 6.1 雲法規需求及特有風險 * jurisdiction:司法管轄 * legislation: 法律，立法部門制定法律授權 * regulation: 法規，行政部門簽發法律授權 * liability: 法律責任，曝險 ### 與國際法規相衝突 * 雲提供商可能位在不同司法管轄地，具有不同法律框架 * 雲端使用者有位在不同地區雲時，遵守喇個地方的法律? ### 針對雲計算評估法規風險 * 多租戶: 取得一租戶資料時，可能也取得其他租戶資料 * 有些風險無法轉移 * 法律 * 移到雲端創造更多外洩可能 * 法律責任依舊在雲客戶身上 * 法律及司法管轄改變 * 立法部門鮮少了解技術 ### 法律框架及指引 * 民法:私人間衝突 * 刑法:國家對違規者 * 行政法: 主管機關創造並執行法規 ### eDiscovery * ISO 27050 * CSA 指引 ### 數位鑑識要求 ## 6.2 隱私議題 ### 合同PII及受監管PII * 合同:法律上雙方共同承認，由法院民事或雙方執行 * 支付卡業的持卡人資料 * 規管:由立法機關或主管機關決定，並由主管機關或執法機關執行 * 健康保險資料HIPAA ### 國家特有標準隱私需求 * US * HIPAA：醫療健康 * GLBA：金融服務現代法案 * SOX：上市公司會計與財物的監管 * FERPA：學生資料 * EU GDPR * 原則 * 目的限制 * 資料最小化 * 正確性 * 儲存限制 * 完整性及機密性 * 遺忘權 * 角色 * 資料主體 * 資料控制者 * 資料處理者 * 跨境限制 ### 資料隱私的管轄差異 ### 隱私標準 * ISO/IEC 27018 * 雲隱私標準 * Generally Accepted Privacy Principles (GAPP) * 管理及預防隱私風險 * General Data Protection Regulation (GDPR) ### 隱私衝擊評估(PIA) ## 6.3 雲環境稽核流程、方法及雲環境所需調整 ### 虛擬化及雲端的保障挑戰 ### 內稽及外稽控制 ### 稽核要求的影響衝擊 ### 稽核報告種類 * Statement on Standards for Attestation Engagements (SSAE) * 鑑證業務準則公告第18號(SSAE 18) * 國際會計準則 * International Standard on Assurance Engagements (ISAE) * 國際核證活動國際標準第3402(ISAE 3402) * 服務提供者 * Service Organization Control (SOC)  * SSAE 18 和 ISAE 3402 皆是可供公正客觀的第三方單位採用的標準，協助他們檢驗特定機構針對其管理機制所發表的聲明，據此出具查核報告。服務機構控管 (SOC) 架構是金融資訊控管情形的評估方式。 ### 限制稽核範圍宣告 * Statement on Standards for Attestation Engagements (SSAE) * International Standard on Assurance Engagements (ISAE) ### 差距分析 * control analysis * baselines ### 稽核計畫 ### 內部資訊安全管理(Management)體系 ### 內部資訊安全控制(Control)體系 ### 策略 * organizational * functional * cloud computing ### 相關利害關係人的識別和參與 ### 高監管產業特殊合規要求 * North American Electric Reliability Corporation / Critical Infrastructure Protection (NERC / CIP) * Health Insurance Portability and Accountability Act (HIPAA) * Health Information Technology for Economic and Clinical Health (HITECH) Act * Payment Card Industry (PCI) ### 分散式資訊科技 (IT) 模式的影響 * 跨境與跨司法管轄 ## 6.4 雲對企業風險管理的影響 ### 評鑑提供商風險管理計畫 * controls * methodologies * policies * risk profile * risk appetite ### 資料擁有者/控制者及資料管理者/處理者差異 ### 法規透明要求 * 外洩通知 * Sarbanes-Oxley (SOX) * General Data Protection Regulation (GDPR) ### 風險處置 ATMA ### 不同風險框架 ### 風險管理量測 ### 風險環境評鑑 * service * vendor * infrastructure * business ## 6.5 外包及雲合約設計 ### 業務要求 * SLA(Service Level Agreement)服務等級協定: 通常用於管理供裝安排(如雲服務)，設定目標確保供應商及客戶都獲得契約價值 * 經常重複性活動 * 每一SLA元件需要特定數值 * 與獎金激勵綁定 * 避免被供應商綁架(lock-in and lock-out) * lock-in:轉換成本高，不得不繼續用 * lock-out:相反，轉換過去要相當成本，被拒於門外 * MSA(Master Service Agreement)主服務協定:框架合同 * SOW(Statement of Work)工作說明簡要:供應商要提供給客戶的活動，定義專案有關的活動、交付成果以及時程。 ### 供應商管理 * 供應商評鑑vendor assessments * vendor lock-in risks * vendor viability, escrow * 有套方法確保供應商符合SLA * 方法及排定期程應該在契約被詳細列出 ### 合約管理 * 稽核權 * 量測 * 定義 * 終止 * 訴訟 * 保證 * 合規 * 雲端/資料存取 * 資安風險保險 ## 6.6 履行供應商管理 ### 供應鏈管理 * ISO/IEC 27036 * 硬體/軟體在交付前應先進行滲透測試，允許攻擊者存取終端用戶環境 * 第三方監控服務是一種保證產品依照安全方式交付並避免責任 * 最小安全需求應該應該維採購合約的一部分 * SLA 用於確保服務合於客戶需求 * 效率與安全 * 常用於管理服務，如雲計算