雲安全聯盟

CSA——Cloud Security Alliance

CSA和ISACA、OWASP等業界組織建立了合作關係，很多國際領袖公司成為其企業成員。

到截稿時，企業成員達到33個，名單中涵蓋了國際領先的電信運營商、IT和網路設備廠商、網路安全廠商、雲計算提供商等。值得注意的是，中國領先的專業安全公司綠盟科技成為中國、乃至亞太地區第一個企業成員。相信在不遠的將來，企業成員中還會出現越來越多的中國知名和新興企業機構的身影。

雲安全聯盟成立的目的是為了在雲計算環境下提供最佳的安全方案。

雲安全聯盟作為業界權威組織，致力於在雲計算環境下為業界提供最佳安全解決方案。商業標準公司BSI(英國標準協會)與雲安全聯盟強強聯手推出STAR認證，致力於幫助企業在日趨激烈的雲服務市場競爭中脫穎而出。

STAR認證是信息安全管理體系認證（ISO/IEC 27001）的增強版本，旨在應對與雲安全相關的特定問題。2013年9月26日，兩機構正式宣布推出STAR認證項目，BSI成為目前全球唯一可以進行STAR認證的第三方認證機構。

該項目採用中立性認證技術對雲服務供應商安全性開展縝密的第三方獨立評估，並充分運用ISO/IEC 27001:2005管理體系標準以及CSA雲控制矩陣，幫助企業滿足對安全性有特定要求的客戶需求。

2015年6月15日，C-STAR發布會在廣州中國賽寶實驗室召開。C-STAR的發布代表著廣州賽寶認證中心服務有限公司與CSA合作推出的國內首個全球認可的雲安全評估服務落地中國。

C-STAR採用雲計算安全的行業黃金標準----CSA發布的雲控制矩陣(Cloud Control Matrix)，評估過程採用國際先進的成熟度等級評價模型，同時結合國內相關法律法規和標準要求，對雲計算服務進行全方位的安全評價。

C-STAR評估將在幫助企業有效提升雲計算服務安全水平、管理策略的同時，證明安全水平領先於雲服務提供者行列，保持企業的雲服務業務持續發展和競爭優勢，維護企業的聲譽、品牌和客戶信任。

自其成立起，雲安全聯盟發布的雲安全指南及其開發成為雲計算領域令人矚目的安全活動。2009年12月17日，雲安全聯盟發布了新版的《雲安全指南》 v2.1，代表著雲計算和安全業界對於雲計算及其安全保護的認識的一次重要升級。新版安全指南有以下兩大鮮明特色：

特色1： 務實，貼近當前的最新的業界實踐。參加編寫的數十位專家橫跨學術界和各主要行業，大多在美國、歐洲、亞太和中國等的第一線工作，指南的內容較為真實地反映了最新的業界最佳實踐和觀點，提供了非常詳詳細、務實的大量建議，非常容易轉化為項目的檢查列表等形式，方便讀者參考。

特色2： 技術上面明確闡述了法律、電子證據發現（D3）以及虛擬化（D13）方面的建議指南，另外對於數據的可移植性和互操作性（D6）也是新版CSA安全指南的獨特之處。這些內容在ISO27001或者PCI-DSS中或者沒有要求，或者很少闡述。大家知道，信息安全相關法律和信息安全技術業界的相互溝通是當前國際範圍的一個趨勢和熱點。

例如，識別用戶隱私數據和適用的法律法規符合性要求是雲計算提供商的安全必修課。指南在此作出了重要的探索，將法律和電子證據發現單獨列為一個域，就雲服務用戶在服務商選擇、契約內容和簽署等過程中應該注意的相關要點做了總結建議。虛擬化是雲服務的基石技術，它給包括安全在內的各種IT流程提出了新課題。譯者相信指南將會在迅速發展的雲計算服務及其安全保護中扮演非常關鍵的角色，將會得到越來越多的企業、機構、個人的關注、研究和採納，用以指導雲計算的相關項目。

中文版項目將會有助於指南在中文讀者中的普及並提升使用效率。大家知道，此次發布的指南新版只包含D1和其它各域的摘要，除D1之外其它各域的全文將會以白皮書的形式陸續單獨發布。項目組也會繼續關注後續發布，也歡迎各位同仁專家學者加入我們。應該說，指南原版的遣詞造句對於英語非母語的讀者來說相對複雜。和大家熟悉的ISO標準檔案相比，不是很容易透徹理解。同時，由於多個開發小組共同開發，在術語的使用方面也沒有做到完全一致。在翻譯過程中，項目組在“信達雅”的原則下，儘量做到體現原作精髓，術語一致，符合當前大家所熟知的中文辭彙用法。

對於很難找到完全準確翻譯辭彙時，我們保留了原版的英文作為對照、或者沒有翻譯。儘管如此，我們意識到翻譯稿距離完全貼切地體現原版的專業含義還有相當距離，建議讀者儘可能地閱讀英文原版或者對照閱讀。另外，在當前中文版中，文檔中所有的圖和表都沒有來得及翻譯。

項目組：

趙糧和裘曉峰翻譯了前言、編者寄語和編者按

D1-雲計算架構框架；

焦婷翻譯了D2-治理和企業風險管理、D11-加密和密鑰管理；

郭宇翻譯了D3-法律與電子證據發現、D4-合規與審計、D6-可移植性和互操作性；

石屹嶸翻譯了D5-信息生命周期管理

聞劍峰翻譯了D7-傳統安全業務連續性和災難恢復、D8-數據中心運行、D9-應急回響通告和補救、D10-套用安全；

溫勁翻譯了D12-身份和訪問管理；

裘曉峰翻譯了D13-虛擬化。

趙糧負責總稿，裘曉峰統一審校了翻譯稿。

CSA的宗旨是：提供用戶和供應商對雲計算必要的安全需求和保證證書的同樣認識水平；促進對雲計算安全最佳實踐的獨立研究；發起正確使用雲計算和雲安全解決方案的宣傳和教育計畫；創建有關雲安全保證的問題和方針的明細表。

（1）CSA的工作組

①結構及框架工作組（Architecture and Framework），主要負責技術結構和相關框架定義的研究；

②GRC，Audit，Physical，BCM，DR工作組，主要負責管理、風險控制、適應性、審計、傳統及物理安全性、業務連續性管理和災難恢複方面的研究；

③法律及電子發現工作組（Legal and eDiscovery），主要負責法律指導、契約問題、全球法律、電子發現及相關問題的研究；

④可移植性、互操作性及套用安全工作組（Portability, Interoperability and Application Security），主要負責套用層的安全問題研究並制定促進雲服務提供商間互操作性及可移植性發展的指導意見；

⑤身份與接入管理、加密與密鑰管理工作組（Identity and Access Mgt, Encryption & Key Mgt），主要負責身份及訪問管理、密碼及密鑰管理問題的研究以及明確企業整合中出現的新問題及解決方案；

⑥數據中心運行及事故回響工作組（Data Center Operations and Incident Response），主要負責事故回響及取證問題的研究，並明確基於雲的數據中心在運行中出現的相關新問題；

⑦信息生命周期管理及存儲工作組（Information Lifecycle Management and Storage），主要負責雲數據相關問題的研究；

⑧虛擬化及技術分類工作組（Virtualization and Technology Compartmentalization），主要負責如何對技術進行分類，包括但也不局限於虛擬化技術；

⑨安全即服務工作組（Security as a Service），主要負責研究如何通過雲模式來提供安全解決方案；

⑩一致性評估工作組（Consensus Assessments Initiative），主要負責研究用於對雲服務提供商進行一致性檢驗的工具和流程。