3.1 做云端安全的经历

一直觉得云安全是最庞大和复杂的，前前后后找了两三个技术不错的云安全工程师，逐渐搞懂了云端安全的工作，才知道原来最复杂的也是最成熟的，基本绝大部分可以开发的东西都能找到工具实现，可以自主开发的不多，主要的工作集中在云业务自身的安全上了。

云安全的工作实际过程符合正常的工作思路：

●先是对现有云服务进行评估，搞清楚为什么做云安全；

●接着提出规划、建设指南、方案等，这是如何做；

●后面对云安全中心、WAF、HIDS进行选型，这是在做什么；

●最后申请预算，进行等保三级评测（等保三级为兄弟单位负责评测）；

●等到云安全职责重回的时候，重心放在了云合规以及云业务安全上。

本章不按照实际经历实践写，理由是在物端的安全建设过程写了三种安全建设思路：解决问题、技术领先、投入产出。第四种思路是以安全合规为主调的建设思路，由于缺乏在智能汽车上的经验，所以无法写。在云安全上却可以这样的，因为有等保作为安全合规的权威标准。

找到新领域所对应权威标准，就能很快切入新领域，这是个很好的套路。

先假设没有多少云安全经验，那么要写云安全，套路逻辑如下。

●首先是对云安全的概况做一个简单的回顾，特别是经常听到的三保一评。从中可得到一定程度的云服务，等保是必须做的。（3.2）

●既然是以安全合规为主调来写，那么就需深入解析等保，才能对其深刻理解。合规是合等保三级的规，包括以下四个方面。

■从 1.0 到 2.0 的进化：如何从“信息安全”进化为“网络安全”的，有何不同。（3.3.2）

■从一级到四级的强化：等保的每一级要求有什么不同，都增强了什么。（3.3.3）

■从通用到扩展的变化：应用到云计算、移动互联、物联网、工业控制等领域的不同变化。（3.3.4）

■从准则到要求的演化：如何从准则GB17859 演化为等保要求的。（3.3.5）

●接着就需要把权威标准转化为适合业务可以执行的标准。这需要：

■提前了解常用的云端安全工具的原理；（3.4.2）

■对每个级别进行演化，内化为自身标准。（3.4.3—3.4.6）

■标准包括四级要求：用于内部网站的要求、用于对外网站的要求、用于核心网站的要求、用于金融网站的要求。

■每个要求分别包括：目标、要求、参考方案、投入测算、落地例子。这一节是本章的核心。

●然后还需要两个两个规范：（3.5）

■运维安全配置基线；（3.5.2）

■平台安全设计要点。（3.5.3）

●通过虚拟一个简要的立项报告作为过度；（3.6）

实际的实施细节就很难写出来了，因为太多实际操作的内容，零碎而又敏感；从头推导的方案不一定都能有实施细节；有很多书籍或资料有这些内容；本人在云端安全的认知确实有限，这里只能算抛砖引玉。

最后云安全建设效果就可以通过三方等保测评看出来；实际上也可以窥探出一些落地细节。（3.7） 66uABWlbgIyE5E45H1p3LNopf3BoUwRQph8+uUpOOu11+Pww/v/o8fIKcxGaNY+2