5.2 云服務客戶

5.2 云服務客戶

5.2.1　安全云服務管理

安全云服務管理包含支撐用戶業務運行與管理所需的安全功能。用戶業務運行與管理的安全需求包括：
——業務支持安全需求
——服務提供與配置安全需求
——移植與互操作安全需求
——安全組織支持（包括組織處理、策略與步驟）
由上述需求得出該組件的功能如下：
——業務支持安全
——配置安全
——移植與互操作安全

5.2.1.1業務支持安全

云服務客戶的業務支持安全架構組件涵蓋用于運行業務操作的服務，包括：
——管理與其他云參與者（云服務商、云代理者、云基礎網絡運行者與云審計者）的業務關系，提供符合最佳安全實踐的協作，例如認證與授權云參與者之間的交互。
——跟進業務流程，并根據安全最佳實踐解決與其他云參與者之間的云相關問題，包括：安全業務處理與操作的持續性。
——管理服務合同，包括：建立、協商、關閉或終止合同，確保不存在安全隱患。
——僅在安全隱患解決后實現服務。
——付款與發票管理，確保不存在欺詐性付款并遵循網絡安全最佳實踐。

5.2.1.2配置安全

云服務客戶配置安全架構組件包括保證云資源配置安全并與現有的安全標準、規范、法規相一致，同時滿足服務級別協議需求的任何能力、工具與策略。云資源配置安全準則可能還包括云服務客戶與云服務商規定的專有措施。
云服務客戶的云資源配置安全管理應涵蓋下述領域：
——快速部署：基于所請求的服務、資源或能力自動部署云服務。例如，安全快速部署管理確保請求來自一個已通過認證與授權的源。
——資源變化：在修復、升級與新增云節點時調整配置與資源分配。例如，安全資源變化管理確保資源變化請求來自一個已通過認證與授權的源。
——監測與報告：發現與監測虛擬資源，監測云的操作與事件，并生成安全報告。
——度量：度量的安全管理是指云服務商實施特定的內部控制措施，確保可對存儲加密、可對處理沙箱化、可報告異常帶寬使用、且用戶賬戶管理與云服務客戶的安全策略一致。

5.2.1.3可移植性與互操作安全

云服務客戶、云供應商與云代理者均應滿足如下安全可移植性與互操作性要求：
——安全可移植性與互操作性架構子組件應確保數據與應用程序可安全地轉移到多個云服務中。
——應保證系統維護時間與中斷次數符合服務級別協議（SLA）中的最低接受等級。
——應通過安全與統一的管理接口為云服務客戶提供一種機制，使云服務客戶可在多個云服務中進行數據與應用的互操作。
——安全可移植性與互操作性的需求應根據所選擇服務類型的不同而不同。

5.2.1.4 安全組織支持

安全組織支持架構子組件覆蓋了組織機構提供的策略、規程與處理過程，支持整體云安全服務管理。對于云服務客戶，映射到組織支持架構子組件的安全組件包含（但不限于）：一致性管理；基于治理風險與合規性的審計管理；技術安全標準；最佳實踐與管理的相關性；符合規范與標準的信息安全策略。

5.2.2　安全云服務協同

云服務協同是系統組件的一種組合，支持云服務商對計算資源進行部署、協調與管理，為云服務客戶提供安全的云服務。安全服務協同是一個過程，需要所有的云參與者通力合作，基于云服務類型與部署模型不同程度地實現各自的安全職責。

5.2.2.1安全功能層

基于使用的云服務模型（IaaS、 PaaS與SaaS），云服務客戶部署安全組件集保護云功能層安全，并與其他云參與者已部署的安全組件集密切相關。
在SaaS云服務中，云服務客戶對其使用的應用服務具有很少的管理權限，即對云及其安全組件具有很少的控制權。
在PaaS云服務中，云服務客戶對應用服務具有控制權，并對主機環境設置具有部分控制權，但對平臺下層的基礎設施(如網絡，服務器，操作系統與存儲介質等)具有有限的管理權或訪問權。