雲安全 CCSP 認證官方指南, 2/e CCSP (ISC)2 Certified Cloud Security Professional Official Study Guide,2e

本學習指南涵蓋所有學習目標，包括： ● 雲概念、架構和設計 ● 雲數據安全 ● 雲平臺和基礎設施安全 ● 雲應用安全 ● 雲安全運營 ● 法律、風險及合規

Ben Malisow，持有CISSP、CISM、CCSP、SSCP和Security+認證，擔任CISSP、 CCSP和SSCP認證課程的(ISC)2官方講師。
Ben在信息技術和信息安全領域工作了近25年。
曾為DARPA編寫過內部IT安全策略，擔任過FBI高機密的反恐情報共享網絡的信息系統安全經理，並協助開發了美國國土安全部交通安全管理局的IT安全架構。
Ben任教於多所大學和學校，包括卡內基-梅隆大學的CERT/SEI、UTSA、南內華達學院以及拉斯維加斯公立學校6到12年級的學生。Ben出版過多本信息安全著作，也曾為SecurityFocus.com、ComputerWorld和其他期刊撰稿。

第1章架構概念 1
1.1 業務需求 3
1.1.1 現有狀態 4
1.1.2 量化收益和機會成本 5
1.1.3 預期影響 7
1.2 雲計算的演化、術語和模型 8
1.2.1 新技術、新選擇 8
1.2.2 雲計算服務模型 8
1.2.3 雲部署模型10
1.3 雲計算中的角色和責任12
1.4 雲計算定義12
1.5 雲計算的基本概念14
1.5.1 敏感數據14
1.5.2 虛擬化技術14
1.5.3 加密技術14
1.5.4 審計與合規15
1.5.5 雲服務提供商的合同15
1.6 相關的新興技術16
1.7 小結17
1.8 考試要點17
1.9 書面實驗題17
1.10 複習題17

第2章設計要求21
2.1 業務需求分析22
2.1.1 資產清單22
2.1.2 資產評估22
2.1.3 確定關鍵性23
2.1.4 風險偏好24
2.2 不同類型雲的安全注意事項26
2.2.1 IaaS注意事項26
2.2.2 PaaS注意事項27
2.2.3 SaaS注意事項27
2.2.4 一般注意事項27
2.3 保護敏感數據的設計原則28
2.3.1 設備加固28
2.3.2 加密技術29
2.3.3 分層防禦30
2.4 小結30
2.5 考試要點31
2.6 書面實驗題31
2.7 複習題31

第3章數據分級35
3.1 數據資產清單與數據識別37
3.1.1 數據所有權37
3.1.2 雲數據生命週期38
3.1.3 數據識別方法41
3.2 司法管轄權的要求43
3.3 信息權限管理44
3.3.1 知識產權的保護44
3.3.2 IRM工具特徵48
3.4 數據控制49
3.4.1 數據保留50
3.4.2 合法保留51
3.4.3 數據審計51
3.4.4 數據銷毀/廢棄53
3.5 小結54
3.6 考試要點54
3.7 書面實驗題55
3.8 複習題55

第4章云數據安全59
4.1 雲數據生命週期61
4.1.1 創建61
4.1.2 存儲62
4.1.3 使用62
4.1.4 共享63
4.1.5 歸檔64
4.1.6 銷毀65
4.2 雲存儲架構65
4.2.1 卷存儲：基於文件的存儲和塊存儲65
4.2.2 基於對象的存儲66
4.2.3 數據庫66
4.2.4 內容分發網絡66
4.3 雲數據安全的基本策略66
4.3.1 加密技術67
4.3.2 遮蔽、混淆、匿名化和令牌化68
4.3.3 安全信息和事件管理71
4.3.4 出口的持續監測(DLP) 72
4.4 小結73
4.5 考試要點73
4.6 書面實驗題73
4.7 複習題74

第5章云端安全77
5.1 雲平颱風險和責任的共擔78
5.2 基於部署模型的雲計算風險80
5.2.1 私有云80
5.2.2 社區雲81
5.2.3 公有云82
5.2.4 混合雲85
5.3 雲計算風險的服務模型85
5.3.1 IaaS 86
5.3.2 PaaS 86
5.3.3 SaaS 86
5.4 虛擬化87
5.4.1 威脅88
5.4.2 對策90
5.5 災難恢復和業務連續性92
5.5.1 雲特定的BIA關注點92
5.5.2 雲客戶/雲服務提供商分擔BC/DR責任93
5.6 小結95
5.7 考試要點96
5.8 書面實驗題96
5.9 複習題96

第6章云計算的責任101
6.1 管理服務的基礎103
6.2 業務需求104
6.3 按服務類型分擔職責109
6.3.1 IaaS 109
6.3.2 PaaS 109
6.3.3 SaaS 110
6.4 操作系統、中間件或應用程序的管理分配110
6.5 職責分擔：數據訪問112
6.5.1 雲客戶直接管理訪問權限112
6.5.2 雲服務提供商代表云客戶管理訪問權限113
6.5.3 第三方(CASB)代表客戶管理訪問權限113
6.6 無法進行物理訪問113
6.6.1 審計113
6.6.2 共享策略116
6.6.3 共享的持續監測和測試117
6.7 小結118
6.8 考試要點118
6.9 書面實驗題118
6.10 複習題119

第7章云應用安全123
7.1 培訓和意識宣貫125
7.2 雲安全軟件開發生命週期129
7.3 ISO/IEC 27034-1安全應用程序開發標準131
7.4 身份和訪問管理132
7.4.1 身份存儲庫和目錄服務133
7.4.2 單點登錄133
7.4.3 聯合身份管理133
7.4.4 聯合驗證標準134
7.4.5 多因素身份驗證135
7.4.6 輔助安全設備135
7.5 雲應用架構136
7.5.1 應用編程接口136
7.5.2 租戶隔離137
7.5.3 密碼學137
7.5.4 沙箱技術138
7.5.5 應用虛擬化139
7.6 雲應用保證與驗證139
7.6.1 威脅建模139
7.6.2 服務質量141
7.6.3 軟件安全測試141
7.6.4 已核准的API 143
7.6.5 軟件供應鏈管理(API方面) 143
7.6.6 開源軟件安全144
7.6.7 應用編排144
7.6.8 安全網絡環境145
7.7 小結146
7.8 考試要點146
7.9 書面實驗題146
7.10 複習題147

第8章運營要素151
8.1 物理/邏輯運營153
8.1.1 設施和冗餘154
8.1.2 虛擬化運營162
8.1.3 存儲運營163
8.1.4 物理和邏輯隔離166
8.1.5 應用程序測試方法167
8.2 安全運營中心168
8.2.1 持續監控168
8.2.2 事件管理168
8.3 小結170
8.4 考試要點170
8.5 書面實驗題170
8.6 複習題170

第9章運營管理173
9.1 持續監測、容量以及維護174
9.1.1 持續監測174
9.1.2 維護175
9.2 變更和配置管理179
9.3 IT服務管理和持續服務改進183
9.4 業務連續性和災難恢復184
9.4.1 主要關注事項184
9.4.2 運營連續性185
9.4.3 BC/DR計劃185
9.4.4 BC/DR工具包187
9.4.5 重新安置188
9.4.6 供電189
9.4.7 測試190
9.5 小結190
9.6 考試要點191
9.7 書面實驗題191
9.8 複習題191

第10章法律與合規(第一部分) 195
10.1 雲環境中的法律要求與獨特風險197
10.1.1 法律概念197
10.1.2 美國法律200
10.1.3 國際法202
10.1.4 世界各地的法律、框架和標準202
10.1.5 信息安全管理體系(ISMS) 208
10.1.6 法律、規章和標準之間的差異209
10.2 雲環境下個人及數據隱私的潛在問題210
10.2.1 電子發現210
10.2.2 取證要求211
10.2.3 解決國際衝突211
10.2.4 雲計算取證的挑戰212
10.2.5 直接和間接標識212
10.2.6 取證數據收集方法213
10.3 理解審計流程、方法論及雲環境所需的調整213
10.3.1 虛擬化214
10.3.2 審計範圍214
10.3.3 差距分析214
10.3.4 限制審計範圍聲明215
10.3.5 策略215
10.3.6 不同類型的審計報告216
10.3.7 審計師的獨立性216
10.3.8 AICPA報告和標準216
10.4 小結218
10.5 考試要點218
10.6 書面實驗題218
10.7 複習題219

第11章法律與合規(第二部分) 221
11.1 多樣的地理位置和司法管轄權的影響223
11.1.1 策略224
11.1.2 雲計算對企業風險管理的影響227
11.1.3 管理風險的選擇227
11.1.4 風險管理框架230
11.1.5 風險管理指標231
11.1.6 合同和服務水平協議(SLA) 232
11.2 業務需求234
11.3 雲計算外包的合同設計與管理234
11.4 確定合適的供應鍊和供應商管理流程235
11.4.1 通用標准保證框架235
11.4.2 CSA STAR 236
11.4.3 供應鏈風險236
11.4.4 相關方的溝通管理237
11.5 小結238
11.6 考試要點238
11.7 書面實驗題238
11.8 複習題239

附錄A 書面實驗題答案241
附錄B 複習題答案249