雲安全CCSP認證官方指南(第2版)（簡體書）

Ben Malisow，持有CISSP、CISM、CCSP、SSCP和Security 認證，擔任CISSP、 CCSP和SSCP認證課程的(ISC)2官方講師。Ben在信息技術和信息安全領域工作了近25年。曾為DARPA編寫過內部IT安全策略，擔任過FBI機密的反恐情報共享網絡的信息系統安全經理，並協助開發了美國國土安全部交通安全管理局的IT安全架構。Ben任教於多所大學和學校，包括卡內基-梅隆大學的CERT/SEI、UTSA、南內華達學院以及拉斯維加斯公立學校6到12年級的學生。Ben出版過多本信息安全著作，也曾為SecurityFocus.com、ComputerWorld和其他期刊撰稿。

組織越來越依靠云業務，這使得云數據安全比以往更重要。(ISC)2認證云安全專家(CCSP)證書能夠證明你在基礎云安全方面的專業能力。這本學習指南是(ISC)2審校並授權的官方版本，100%涵蓋CCSP考試目標。本指南準備了幫助你調整學習進度的評估測試，檢查目標，學習計劃，日常測驗，章節回顧問答，並配備了行業的在線學習工具。包括對重要概念和技能的大量練習，可以在線訪問兩套完整的實踐考試，一個重要術語的搜索詞匯表，和100多張電子教學卡，以幫助你及時回顧書中的內容。這是幫助你準備考試，促進職業發展的更聰明、更有效的方式。

CCSP (Certified Cloud Security Professional，云安全認證專家)認證滿足了不斷增長的云安全專業人員的需求。獲得這個資格證書並不容易，考試極其困難，認證時間長、環節多。
《云安全CCSP認證官方指南（第2版）》為云安全專業人員參加並通過CCSP考試奠定了堅實的基礎。對於計劃參加考試並獲得證書的讀者來說，有一點需要再三強調：不能期望僅學習這一本書就通過考試。請參閱前言末尾的“推薦讀物”。
(ISC)2
CCSP 考試由(ISC)2 (International Information Systems Security Certification Consortium，國際信息系統安全認證聯盟)管理。(ISC)2是一個全球性非營利組織，有以下4個主要任務目標：
● 維護信息系統安全領域的公共知識體系(Common Body of Knowledge，CBK)；
● 為信息系統安全專業人員和從業人員提供認證體系；
● 開展認證培訓並管理認證考試；
● 通過持續教育，監督對合格認證應試者的持續認證。
(ISC)2從其已認證的安全從業者隊伍中遴選董事會經營其日常業務，(ISC)2支持並提供多項認證，包括CISSP、SSCP、CAP、CSSLP、HCISPP以及《云安全CCSP認證官方指南（第2版）》描述的CCSP認證。這些認證旨在驗證所有行業的IT安全專業人員的知識和技能。通過訪問www.isc2.org，可以獲取有關該組織及其他認證的更多信息。
知識域
CCSP認證涵蓋CCSP CBK 6個知識域的內容，具體如下。
知識域1：云概念、架構和設計
知識域2：云數據安全
知識域3：云平臺與基礎架構安全
知識域4：云應用安全
知識域5：云安全運營
知識域6：法律、風險與合規
這些知識域涵蓋了與云相關的所有安全範圍。認證中的所有內容都與廠商和產品無關。每個知識域都提供CCSP認證專業人士應該知道的主題及子主題列表。 
關於知識域、經驗要求、考試程序和考試域權重的詳細清單，可以在CCSP認證考試大綱中找到: https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CCSP- Exam-Outline.ashx。
考試資格和要求
(ISC)2規定了申請CCSP認證必須達到的資格和要求，具體如下：
● 至少累積5年全職帶薪的信息技術工作經驗，其中3年必須在信息安全領域工作，1年必須在CCSP考試6個知識域中之一的領域工作。
● 獲得云安全聯盟(CSA)的CCSK證書，可替代CCSP考試6個知識域之一的領域的一年工作經驗。
● 獲得CISSP證書，可替代全部CCSP認證對工作經驗的要求。
不符合這些要求的考生仍可參加CCSP考試並申請(ISC)2的準會員資格，準會員有6年的時間(從通過考試起)來滿足剩餘的經驗要求。
(ISC)2認證會員必須遵守(ISC)2正式道德規範，該規範可以在www.isc2.org/ethics站點找到。
CCSP考試概述
CCSP考試通常包括125道選擇題，涵蓋CCSP CBK的6個領域，考生必須達到滿分的70%的分數或更高的分數才能通過。
CCSP考試時間是3小時。其中有25道題僅用於研究目的，不計分數。盡全力回答每一道問題。因為我們不知道哪些問題計分，哪些不計。不答記零分，答錯不扣分；即使是猜測，也要答完所有考題。
CCSP考題類型
CCSP考試中的大多數問題是單項選擇題，每題有4個選項，其中一個是正確答案。有些問題很直接，例如，要求CCSP應試者確認一個技術定義。而其他一些問題，則要求CCSP應試者識別一個適當的概念或實踐。這裡有一個例子：
1. 為了提供更高級別的保護和隔離，將敏感的操作信息放在遠離生產環境的數據庫中稱為____________。
A. 隨機化 B. 彈性 
C. 混淆 D. 令牌化
CCSP應試者需要選擇正確或答案。有時答案很明顯，比較困難的時候是在兩個好答案之間進行區分並選出好的。留意對一般、特定、通用、超集和子集答案的選擇。還有些情況是，沒有一個答案看上去是正確的。這時，CCSP應試者需要選擇錯誤程度小的答案。還有一些問題是基於理論場景的，必須根據具體情況回答幾個問題。 

注意：以上問題的正確答案是選項D，令牌化。在令牌化管理中，敏感信息放在遠離生產環境的數據庫中，而令牌(表示存儲的敏感信息)則存儲在生產環境的數據庫中。為了選擇正確的答案，讀者必須了解令牌化的工作原理，以及如何使用該方法將敏感數據與生產環境隔離開來；這個問題中沒有提到令牌或令牌化，因此需要複雜的思考。更簡單的一個答案是“數據隔離”，但沒有這個選擇項。這道題不容易答對。
除了標準的單項選擇題格式外，CCSP考試還包括一種圖形拖放方式的題目格式。 例如，CCSP應試者可能在屏幕一側看到需要拖放到屏幕另一側相應物件上的項目列表。另一種交互式問題可能包括將術語與定義相匹配，並單擊圖表或圖形的特定區域。 這些交互問題的權重值比單選題高，在回答時應特別注意。
學習和備考技巧
《云安全CCSP認證官方指南（第2版）》建議應試者為CCSP考試，至少安排30天的強化學習。這裡整理了一份備考技巧清單，希望對考生有所幫助。
● 花一兩個晚上的時間仔細閱讀每一章，完成後的復習材料。
● 考慮加入一個學習小組，與其他考生分享見解和觀點。
● 回答所有復習題並參加模擬考試(Sybex網站為《云安全CCSP認證官方指南（第2版）》提供的)。
● 完成每章的書面實驗題。
● 在學習下一部分之前，請務必復習前一天的內容，以確保信息的掌握。
● 學習時注意適度休息，但要一直持續學習。
● 制訂學習計劃。
● 復習(ISC)2考試大綱。
參加考試的建議
以下是一些考試技巧和通用指南。
● 先做簡單題。考生可以標記所有不確定的題目，並在完成全部題目後重新檢查一遍。
● 首先排除錯誤答案。
● 注意題目表達中的雙重否定。
● 仔細讀題，確保充分理解題意。
● 慢慢來，別著急。匆忙會導致考試焦慮和注意力不集中。
● 如果需要，可以上個廁所，休息一下，但是時間要短。考生需要保持注意力。
● 遵守考試中心的所有規程。即使考生以前參加過Pearson Vue中心的考試，有些考試的要求也略有不同。
管理好時間。考生有3小時回答125道考題，平均每道題不到90秒，對於大多數題目，答題時間是充足的。
確保考試前一晚有充足的睡眠。考生應帶上可能需要的食物和飲料，在考試的時候要把它們存放起來。此外，記得帶上需要服用的藥物，並提醒工作人員任何可能會影響考生考試進行的健康情況，如糖尿病或心臟病。自己的健康比任何考試或認證都重要。
不能戴手表進入考場。計算機屏幕和考場內都有計時器。考生必須清空口袋進入考場，只能帶儲物柜鑰匙和身份證件。
前往考試中心時，考生必須攜帶至少一張帶照片並有簽名的身份證件(如駕照或護照)，並且還必須攜帶至少一份帶簽名的身份證件。至少提前30分鐘到達考場，以確保考試所需物品俱全。請攜帶考試中心寄來的包含考生身份證明信息的報名表。
完成認證過程
一旦CCSP應試者成功通過了CCSP考試，在獲得新的證書之前還有幾件事要做。首先，(ISC)2考試成績會自動傳送。在離開考試中心時，CCSP應試者會收到打印的考試結果說明。其中包括如何下載認證表的說明，認證表中會詢問CCSP應試者是否已經擁有其他(ISC)2認證(如CISSP)等類似問題。填寫申請表後，CCSP應試者需要簽名並將表格提交給(ISC)2審批。通常CCSP應試者會在3個月內收到官方認證通知。獲得完全認證後，CCSP應試者可按(ISC)2使用指南的規定，在簽名和其他重要的地方使用CCSP名稱。
內容組織結構
《云安全CCSP認證官方指南（第2版）》以足夠的深度涵蓋了CCSP CBK的所有6個領域，為應試者理解這些考試內容提供了基本介紹。《云安全CCSP認證官方指南（第2版）》正文由11章組成，內容安排如下。
第1章：架構概念
第2章：設計要求
第3章：數據分級
第4章：云數據安全
第5章：云端安全
第6章：云計算的責任
第7章：云應用安全
第8章：運營要素
第9章：運營管理
第10章：法律與合規(部分)
第11章：法律與合規(第二部分)
顯然《云安全CCSP認證官方指南（第2版）》沒有按照知識域或官方考試大綱的順序來安排章節。而是以敘事風格介紹內容，以線性方式表達概念。
每一章都包括輔助應試者學習的部分，和測試應試者對本章知識掌握程度的練習。這裡建議應試者先閱讀第1章，以便在閱讀其他章節之前更好地了解主題。

注意：想要了解每章所涉及的更詳細的知識域主題，請參閱目錄和章節介紹。
特色小節
本學習指南通過一些特色小節，幫助應試者準備CCSP考試以及考試以外的實際工作。
真實世界場景：《云安全CCSP認證官方指南（第2版）》提供了一些真實世界場景，通過了解某些解決方案在現實世界的什麼地方和什麼情況下有效(或無效)以及原因，來幫助CCSP應試者進一步透徹理解相關信息。
小結：小結是對本章重要觀點的快速概述。
考試要點：突出了一些可能在考試中以某種形式出現的主題。雖然作者並不確切知道具體考試將包括哪些內容，這部分強調了重要的概念，這對理解CBK和CCSP考試的測試規範是至關重要的。
書面實驗題：每章提供書面實驗題，將本章提出的各種主題和概念結合在一起。雖然這些內容是為大學(學院)的課堂使用而設計，但也可以幫助應試者理解和闡明課堂以外的內容。書面實驗題的答案在附錄A。
復習題：每章提供練習題，用來測試應試者對本章討論基本思想的掌握程度。應試者學完每一章後，回答問題；如果不能正確回答某些題目，則表明需要花更多時間研究相應的主題。復習題的答案在附錄B。

學習建議(注：譯者補充)
本學習指南通過很多特色設置幫助CCSP應試者完成學習。在每章開頭列出了該章涵蓋的CCSP知識域主題，讓CCSP應試者快速了解全章內容。每章末尾有小結，然後是考試要點，旨在為CCSP應試者提供需要特別關注的快速提示項。後，有幾道書面實驗題，這些實驗將向CCSP應試者展示有關云問題和技術的實例，將幫助CCSP應試者進一步深刻理解相關材料。這裡給出一些建議，幫助CCSP應試者取得更圓滿的學習效果：
● 在開始閱讀《云安全CCSP認證官方指南（第2版）》前完成評估測試。這會讓CCSP應試者了解需要花更多時間學習哪些知識域，以及哪些知識域只需要簡單復習。
● 在閱讀每章內容後回答復習題。如果回答不正確，請返回正文並查看相關主題。不看正文內容做練習題，檢驗自己的成績如何。然後回顧復習錯題中涉及的主題、概念、定義等，直到完全理解並熟練運用這些內容為止。
● 後，如有可能，找一個學習伙伴或加入一個學習小組。與其他人一起學習和參加考試可能是一個很好的激勵因素，大家也可以相互促進和提高。
請掃描封底二維碼獲取《云安全CCSP認證官方指南（第2版）》配套的在線學習工具。
推薦讀物
為了更好地準備考試，除了學習《云安全CCSP認證官方指南（第2版）》之外，考生一定要復習其他資料。作者建議你至少參考以下資料。
Cloud Security Alliance, Security Guidance v4.0:
https://cloudsecurityalliance.org/research/guidance
OWASP, Top Ten:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

注意：《云安全CCSP認證官方指南（第2版）》英文版出版時，2017年版本的OWASP十大威脅是版本，但版本差異不大，理解任何版本的概念將有助於研究目的。
NIST SP 800-53:
https://nvd.nist.gov/800-53

注意：《云安全CCSP認證官方指南（第2版）》英文版出版時，“NIST SP 800-53，R4”是版本，但是一個新的版本，預計很快就會推出。

NIST SP 800-37:
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final
The Uptime Institute, Tier Standard: Topology:
https://uptimeinstitute.com/resources/asset/tier-standard-topology
Cloud Security Alliance, Cloud Controls Matrix:
https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v1-0/
Cloud Security Alliance Consensus Assessments Initiative Questionnaire:
https://cloudsecurityalliance.org/artifacts/
consensus-assessments-initiative-questionnaire-v3-0-1/
Cloud Security Alliance STAR Level and Scheme Requirements:
https://cloudsecurityalliance.org/artifacts/star-level-and-schemerequirements
CCSP Official (ISC)2 Practice Tests :
https://www.wiley.com/en-us/CCSP Official %28ISC%292 Practice Testsp-
9781119449225

第1章 架構概念 1

1.1 業務需求 3

1.1.1 現有狀態 4

1.1.2 量化收益和機會成本 5

1.1.3 預期影響 7

1.2 云計算的演化、術語和模型 8

1.2.1 新技術、新選擇 8

1.2.2 云計算服務模型 8

1.2.3 云部署模型 10

1.3 云計算中的角色和責任 12

1.4 云計算定義 12

1.5 云計算的基本概念 14

1.5.1 敏感數據 14

1.5.2 虛擬化技術 14

1.5.3 加密技術 14

1.5.4 審計與合規 15

1.5.5 云服務提供商的合同 15

1.6 相關的新興技術 16

1.7 小結 17

1.8 考試要點 17

1.9 書面實驗題 17

1.10 復習題 17

第2章 設計要求 21

2.1 業務需求分析 22

2.1.1 資產清單 22

2.1.2 資產評估 22

2.1.3 確定關鍵性 23

2.1.4 風險偏好 24

2.2 不同類型云的安全注意事項 26

2.2.1 IaaS注意事項 26

2.2.2 PaaS注意事項 27

2.2.3 SaaS注意事項 27

2.2.4 一般注意事項 27

2.3 保護敏感數據的設計原則 28

2.3.1 設備加固 28

2.3.2 加密技術 29

2.3.3 分層防御 30

2.4 小結 30

2.5 考試要點 31

2.6 書面實驗題 31

2.7 復習題 31

第3章 數據分級 35

3.1 數據資產清單與數據識別 37

3.1.1 數據所有權 37

3.1.2 云數據生命周期 38

3.1.3 數據識別方法 41

3.2 司法管轄權的要求 43

3.3 信息權限管理 44

3.3.1 知識產權的保護 44

3.3.2 IRM工具特徵 48

3.4 數據控制 49

3.4.1 數據保留 50

3.4.2 合法保留 51

3.4.3 數據審計 51

3.4.4 數據銷毀/廢棄 53

3.5 小結 54

3.6 考試要點 54

3.7 書面實驗題 55

3.8 復習題 55

第4章 云數據安全 59

4.1 云數據生命周期 61

4.1.1 創建 61

4.1.2 存儲 62

4.1.3 使用 62

4.1.4 共享 63

4.1.5 歸檔 64

4.1.6 銷毀 65

4.2 云存儲架構 65

4.2.1 卷存儲：基於文件的存儲和塊存儲 65

4.2.2 基於物件的存儲 66

4.2.3 數據庫 66

4.2.4 內容分發網絡 66

4.3 云數據安全的基本策略 66

4.3.1 加密技術 67

4.3.2 遮蔽、混淆、匿名化和令牌化 68

4.3.3 安全信息和事件管理 71

4.3.4 出口的持續監測(DLP) 72

4.4 小結 73

4.5 考試要點 73

4.6 書面實驗題 73

4.7 復習題 74

第5章 云端安全 77

5.1 云平臺風險和責任的共擔 78

5.2 基於部署模型的云計算風險 80

5.2.1 私有云 80

5.2.2 社區云 81

5.2.3 公有云 82

5.2.4 混合云 85

5.3 云計算風險的服務模型 85

5.3.1 IaaS 86

5.3.2 PaaS 86

5.3.3 SaaS 86

5.4 虛擬化 87

5.4.1 威脅 88

5.4.2 對策 90

5.5 災難恢復和業務連續性 92

5.5.1 云特定的BIA關注點 92

5.5.2 云客戶/云服務提供商分擔BC/DR責任 93

5.6 小結 95

5.7 考試要點 96

5.8 書面實驗題 96

5.9 復習題 96

第6章 云計算的責任 101

6.1 管理服務的基礎 103

6.2 業務需求 104

6.3 按服務類型分擔職責 109

6.3.1 IaaS 109

6.3.2 PaaS 109

6.3.3 SaaS 110

6.4 操作系統、中間件或應用程序的管理分配 110

6.5 職責分擔：數據訪問 112

6.5.1 云客戶直接管理訪問權限 112

6.5.2 云服務提供商代表云客戶管理訪問權限 113

6.5.3 第三方(CASB)代表客戶管理訪問權限 113

6.6 無法進行物理訪問 113

6.6.1 審計 113

6.6.2 共享策略 116

6.6.3 共享的持續監測和測試 117

6.7 小結 118

6.8 考試要點 118

6.9 書面實驗題 118

6.10 復習題 119

第7章 云應用安全 123

7.1 培訓和意識宣貫 125

7.2 云安全軟件開發生命周期 129

7.3 ISO/IEC 27034-1安全應用程序開發標準 131

7.4 身份和訪問管理 132

7.4.1 身份存儲庫和目錄服務 133

7.4.2 單點登錄 133

7.4.3 聯合身份管理 133

7.4.4 聯合驗證標準 134

7.4.5 多因素身份驗證 135

7.4.6 輔助安全設備 135

7.5 云應用架構 136

7.5.1 應用編程接口 136

7.5.2 租戶隔離 137

7.5.3 密碼學 137

7.5.4 沙箱技術 138

7.5.5 應用虛擬化 139

7.6 云應用保證與驗證 139

7.6.1 威脅建模 139

7.6.2 服務質量 141

7.6.3 軟件安全測試 141

7.6.4 已核準的API 143

7.6.5 軟件供應鏈管理(API方面) 143

7.6.6 開源軟件安全 144

7.6.7 應用編排 144

7.6.8 安全網絡環境 145

7.7 小結 146

7.8 考試要點 146

7.9 書面實驗題 146

7.10 復習題 147

第8章 運營要素 151

8.1 物理/邏輯運營 153

8.1.1 設施和冗余 154

8.1.2 虛擬化運營 162

8.1.3 存儲運營 163

8.1.4 物理和邏輯隔離 166

8.1.5 應用程序測試方法 167

8.2 安全運營中心 168

8.2.1 持續監控 168

8.2.2 事件管理 168

8.3 小結 170

8.4 考試要點 170

8.5 書面實驗題 170

8.6 復習題 170

第9章 運營管理 173

9.1 持續監測、容量以及維護 174

9.1.1 持續監測 174

9.1.2 維護 175

9.2 變更和配置管理 179

9.3 IT服務管理和持續服務改進 183

9.4 業務連續性和災難恢復 184

9.4.1 主要關注事項 184

9.4.2 運營連續性 185

9.4.3 BC/DR計劃 185

9.4.4 BC/DR工具包 187

9.4.5 重新安置 188

9.4.6 供電 189

9.4.7 測試 190

9.5 小結 190

9.6 考試要點 191

9.7 書面實驗題 191

9.8 復習題 191

第10章 法律與合規(部分) 195

10.1 云環境中的法律要求與獨特風險 197

10.1.1 法律概念 197

10.1.2 美國法律 200

10.1.3 國際法 202

10.1.4 世界各地的法律、框架和標準 202

10.1.5 信息安全管理體系(ISMS) 208

10.1.6 法律、規章和標準之間的差異 209

10.2 云環境下個人及數據隱私的潛在問題 210

10.2.1 電子發現 210

10.2.2 取證要求 211

10.2.3 解決國際衝突 211

10.2.4 云計算取證的挑戰 212

10.2.5 直接和間接標識 212

10.2.6 取證數據收集方法 213

10.3 理解審計流程、方法論及云環境所需的調整 213

10.3.1 虛擬化 214

10.3.2 審計範圍 214

10.3.3 差距分析 214

10.3.4 限制審計範圍聲明 215

10.3.5 策略 215

10.3.6 不同類型的審計報告 216

10.3.7 審計師的獨立性 216

10.3.8 AICPA報告和標準 216

10.4 小結 218

10.5 考試要點 218

10.6 書面實驗題 218

10.7 復習題 219

第11章 法律與合規(第二部分) 221

11.1 多樣的地理位置和司法管轄權的影響 223

11.1.1 策略 224

11.1.2 云計算對企業風險管理的影響 227

11.1.3 管理風險的選擇 227

11.1.4 風險管理框架 230

11.1.5 風險管理指標 231

11.1.6 合同和服務水平協議(SLA) 232

11.2 業務需求 234

11.3 云計算外包的合同設計與管理 234

11.4 確定合適的供應鏈和供應商管理流程 235

11.4.1 通用標準保證框架 235

11.4.2 CSA STAR 236

11.4.3 供應鏈風險 236

11.4.4 相關方的溝通管理 237

11.5 小結 238

11.6 考試要點 238

11.7 書面實驗題 238

11.8 復習題 239

附錄A 書面實驗題答案 241

附錄B 復習題答案 249