ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
3b55f3af4dbbb44d9e65d2fb2de55e9b79649afd
nexus/wiki/concepts/cloud-security.md
weishen de096f2f88 Auto-sync: 2026-04-22 04:02
2026-04-22 04:03:04 +08:00

145 lines
3.6 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# Cloud Security
> **Cloud Security** — 保护云环境、数据、应用程序和基础设施免受威胁的一组策略、技术和控制措施。
## Definition
云安全Cloud Security是一套全面的实践确保
- **数据保护** — 加密、备份、访问控制
- **身份管理** — IAM、MFA、零信任
- **网络安全** — 防火墙、VPC、隔离
- **合规性** — 满足法规和标准
- **可见性** — 监控、日志、审计
## Shared Responsibility Model
| 责任 | SaaS | PaaS | IaaS |
|------|------|------|------|
| **云服务商** | 全部基础设施 | 基础设施 | 物理层 |
| **客户** | 数据、应用 | 数据、应用、运行时 | OS、网络、应用 |
## Security Maturity Levels
| Level | 特征 |
|-------|------|
| **L1: Basic** | 基础防火墙、简单 IAM |
| **L2: Standard** | MFA、日志、基本加密 |
| **L3: Advanced** | WAF、DDoS 保护、SIEM |
| **L4: Comprehensive** | CSPM、零信任、持续监控 |
| **L5: Optimized** | AI 威胁检测、自适应安全 |
## Key Security Practices
### 1. Identity and Access Management
**最佳实践**
- 最小权限原则
- MFA 强制执行
- 定期访问审查
- 特权访问管理 (PAM)
- 服务账户限制
**工具**
- AWS IAM / Azure AD / GCP IAM
- 身份提供者集成SAML、OIDC
### 2. Data Protection
**加密**
- 传输中加密TLS 1.3
- 静态加密AES-256
- 客户管理密钥CMK
- 密钥管理服务KMS
**备份和恢复**
- 自动备份策略
- 跨区域复制
- 定期恢复测试
### 3. Network Security
**层级**
```
Internet → WAF → Firewall → VPC → 应用
```
**组件**
- 虚拟私有云 (VPC/VNet)
- 安全组/网络 ACL
- Web 应用防火墙 (WAF)
- DDoS 防护
- VPN/Direct Connect
### 4. Cloud Security Posture Management (CSPM)
**功能**
- 持续合规评估
- 安全配置基准
- 自动化修复
- 风险优先级
**工具**
- AWS Security Hub / Azure Defender / GCP Security Command Center
- Prisma Cloud, Wiz, Lacework
### 5. Container Security
| 阶段 | 实践 |
|------|------|
| **Build** | 镜像扫描、基础镜像最小化 |
| **Deploy** | 签名验证、准入控制 |
| **Runtime** | 运行时安全、网络策略 |
**工具**: Trivy, Falco, OPA Gatekeeper
## Cloud Security Maturity Model (CSMM)
CSMM 评估云安全成熟度的 12 个类别:
| 域 | 类别 |
|----|------|
| **Governance** | 治理战略、风险管理 |
| **Architecture** | 安全架构、合规设计 |
| ** Data** | 数据分类、保护、保留 |
| **Applications** | 安全开发生命周期 |
| **Endpoint** | 终端保护、移动设备 |
| **Identity** | 身份管理、访问控制 |
| **Infrastructure** | 网络安全、计算安全 |
| **Logging** | 日志管理、监控 |
| **Incident** | 事件响应、业务连续性 |
| **Supply Chain** | 供应商安全、第三方风险 |
| **Physical** | 物理安全 |
| **People** | 安全意识、培训 |
## Compliance Frameworks
| 标准 | 适用场景 |
|------|---------|
| **SOC 2** | 通用数据处理 |
| **ISO 27001** | 信息安全管理 |
| **HIPAA** | 医疗健康数据 |
| **PCI-DSS** | 支付卡数据 |
| **GDPR** | 欧盟个人数据 |
| **FedRAMP** | 美国政府数据 |
## Incident Response
```
检测 → 遏制 → 根除 → 恢复 → 事后分析
```
**云环境特有考虑**
- 自动化响应Lambda/Cloud Functions
- 取证挑战(共享责任)
- 跨账户调查
## See Also
- [[Cloud Maturity Model]] — 云成熟度框架
- [[Cloud Governance]] — 云治理
- [[DevSecOps]] — DevSecOps
- [[Disaster Recovery]] — 灾难恢复
- [[WAF]] — Web 应用防火墙
- [[CSPM]] — 云安全态势管理
Reference in New Issue View Git Blame Copy Permalink