nexus/wiki/concepts/cloud-security.md

Cloud Security

Cloud Security — 保护云环境、数据、应用程序和基础设施免受威胁的一组策略、技术和控制措施。

Definition

云安全（Cloud Security）是一套全面的实践，确保：

• 数据保护 — 加密、备份、访问控制
• 身份管理 — IAM、MFA、零信任
• 网络安全 — 防火墙、VPC、隔离
• 合规性 — 满足法规和标准
• 可见性 — 监控、日志、审计

Shared Responsibility Model

责任	SaaS	PaaS	IaaS
云服务商	全部基础设施	基础设施	物理层
客户	数据、应用	数据、应用、运行时	OS、网络、应用

Security Maturity Levels

Level	特征
L1: Basic	基础防火墙、简单 IAM
L2: Standard	MFA、日志、基本加密
L3: Advanced	WAF、DDoS 保护、SIEM
L4: Comprehensive	CSPM、零信任、持续监控
L5: Optimized	AI 威胁检测、自适应安全

Key Security Practices

1. Identity and Access Management

最佳实践

• 最小权限原则
• MFA 强制执行
• 定期访问审查
• 特权访问管理 (PAM)
• 服务账户限制

工具

• AWS IAM / Azure AD / GCP IAM
• 身份提供者集成（SAML、OIDC）

2. Data Protection

加密

• 传输中加密（TLS 1.3）
• 静态加密（AES-256）
• 客户管理密钥（CMK）
• 密钥管理服务（KMS）

备份和恢复

• 自动备份策略
• 跨区域复制
• 定期恢复测试

3. Network Security

层级

Internet → WAF → Firewall → VPC → 应用

组件

• 虚拟私有云 (VPC/VNet)
• 安全组/网络 ACL
• Web 应用防火墙 (WAF)
• DDoS 防护
• VPN/Direct Connect

4. Cloud Security Posture Management (CSPM)

功能

• 持续合规评估
• 安全配置基准
• 自动化修复
• 风险优先级

工具

• AWS Security Hub / Azure Defender / GCP Security Command Center
• Prisma Cloud, Wiz, Lacework

5. Container Security

阶段	实践
Build	镜像扫描、基础镜像最小化
Deploy	签名验证、准入控制
Runtime	运行时安全、网络策略

工具: Trivy, Falco, OPA Gatekeeper

Cloud Security Maturity Model (CSMM)

CSMM 评估云安全成熟度的 12 个类别：

域	类别
Governance	治理战略、风险管理
Architecture	安全架构、合规设计
** Data**	数据分类、保护、保留
Applications	安全开发生命周期
Endpoint	终端保护、移动设备
Identity	身份管理、访问控制
Infrastructure	网络安全、计算安全
Logging	日志管理、监控
Incident	事件响应、业务连续性
Supply Chain	供应商安全、第三方风险
Physical	物理安全
People	安全意识、培训

Compliance Frameworks

标准	适用场景
SOC 2	通用数据处理
ISO 27001	信息安全管理
HIPAA	医疗健康数据
PCI-DSS	支付卡数据
GDPR	欧盟个人数据
FedRAMP	美国政府数据

Incident Response

检测 → 遏制 → 根除 → 恢复 → 事后分析

云环境特有考虑

• 自动化响应（Lambda/Cloud Functions）
• 取证挑战（共享责任）
• 跨账户调查

See Also

• Cloud Maturity Model — 云成熟度框架
• Cloud Governance — 云治理
• DevSecOps — DevSecOps
• Disaster Recovery — 灾难恢复
• WAF — Web 应用防火墙
• CSPM — 云安全态势管理