ACSC — 面向云服务提供商的云计算安全

本文档旨在帮助评估员验证云服务的安全态势，以便为组织提供云服务提供商 (CSP) 要求的独立安全索赔保障。本文档还可以帮助 CSP 提供安全的云服务。

组织内的网络安全团队、云架构师和商务代表应参考《面向租户的云计算安全》随附文档。

由美国国家标准与技术研究院所定义的云计算可为组织提供潜在好处，如改进业务成果。规避与使用云服务相关的风险是组织（本文称为“租户”）以及包括分包商在内的云服务提供商（本文称为“CSP”）所应共同承担的责任。然而，组织对保护其数据以及确保数据的机密性、完整性和可用性负有最终责任。

组织需在使用云服务之前进行风险评估，并采取相关的缓解措施。风险因各种因素而异，例如：待存储或处理数据的敏感性和关键程度、云服务的实施和管理方式、组织对云服务的预期用途，以及与组织及时执行事件检测和响应相关的挑战。组织需要将这些风险与使用内部计算机系统进行的客观风险评估进行比较，而这些内部系统可能安全性较差、可用性不足或无法满足现代业务需求。

本文涵盖基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。它们由 CSP 作为公共云、社区云的其中一部分来提供；在较小程度上，它们还可作为混合云或外包私有云的组成部分来提供。