云等保2.0、CSA云安全指南4.0、Gartner Hype Cycle关系剖析

1 架构介绍

目前云等保标准2.0已进入送审稿阶段，未来将对云安全技术和能力要求产生很大的影响。2017年7月底CSA发布了第四版云安全指南，最新版本《云安全指南4.0》的发布集成了云、安全性和支持技术方面的进展，反映了现实世界的云安全实践，集成了最新的云安全联盟研究项目，并为相关技术提供了指导。同期，Gartner发布了2017年云安全Hype Cycle（每一个关键技术的总结描述请参考附录一），指出了云安全产品和技术的最新发展趋势和成熟度。本文从框架关系的角度剖析三者之间的关联性，希望能给大家带来一些启示。

下面两幅图是各自体系的总体架构，从图1中可以看出CSA云安全指南4.0与云等保2.0的架构都分为两大部分，分别是管理领域和技术领域，但是二者分类的维度及内容侧重点不一致，云等保标准要求延续老等保的思路，基本从合规性角度设计考虑，对技术发展热点和趋势跟进不及时。

CSA指南除了参考欧美的合规标准以外，还考虑了近年围绕云计算及安全技术发展的热点和趋势提出了很多技术方向的细节建议，而Gartner则更偏重市场上产品的使用情况和技术发展阶段来呈现相关的技术成熟度指数，在欧美市场很受重视和推崇。

图1 CSA和云等保架构

图2 Gartner Hype Cycle技术方向

图3 2017年Gartner技术成熟度曲线

2 云等保2.0 与Gartner Hype Cycle对比分析

在下面的表中列举了云等保三级基本要求能与Gartner技术成熟度曲线相对应的关系，其中很多Gartner的技术方向在云等保的要求中没有覆盖。

表1 云等保三级要求与Gartner技术方向对照表

上表展示了Gartner技术方向对云等保标准的适用度，同时我们可以从另一个维度看一下Gartner技术方向的活跃度，其细分方向对应频次排序表如下： 

表2 Gartner技术方向对云等保标准覆盖频次表

在这里，我们可以清晰的看出有几个热门的Gartner技术范围能覆盖云等保不同层次的技术安全要求，其中排名靠前的几个方向如下：

1. 云安全访问代理技术方向涵盖范围较广，能满足7个云等保二级条款要求；

2. 云工作负载防护、云安全评估能满足5个云等保二级条款要求；

3. 身份认证和访问控制即服务、身份和访问控制管理服务、微隔离均能覆盖3个云等保二级条款要求；

4. 软件定义边界、开放认证连接等17个技术方向覆盖了1个云等保二级条款要求。

3 CSA云安全指南4.0 与 Gartner Hype Cycle对比分析

CSA云安全指南技术运行域共有9个安全域，其各个安全域的推荐技术方向可以与Gartner技术方向做相对应的关系分析，Gartner定义的方向除了数字业务安全无技术对应外，其余均能找到相近的技术维度。表3即为关系对照表。

表3 CSA云安全指南与Gartner技术方向对照表

Gartner技术方向对CSA指南安全域的覆盖频次和范围相对更高，原因是其都比较关注新技术的发展和采用，具体对应频次就不再分析了。

同时，CSA在云安全指南4.0中给出了现阶段安全即服务的多个具体方向，其中Web 应用程序防火墙（WAF）、入侵检测/防御（IDS / IPS）等方向Gartner没有对应项，主要原因是这些服务的技术已经比较成熟，只不过是以SaaS的模式进行交付。

此外，CSA指南给出了4个与云相关的新兴技术方向的安全建议，在其原文报告中这部分内容过于简单和表面，有画蛇添足之感。

4 云等保2.0与 CSA云安全指南4.0对比分析

如前所述，云等保标准2.0的设计维度是有继承性和扩展性的，相关的条款要求有目标描述而无技术指导和细化推荐；CSA指南的安全域设计和划分没有特别清晰的逻辑，各域内及域间的关联关系较为松散，考虑了不同系统的技术多样性，其优点是对一些方向给出了比较具体的建议措施，可以作为技术思路和方案设计的参考内容。附件3给出了笔者在阅读报告时重点部分的一些笔记。

个人认为将两者的细分技术点对应起来没有太高的价值，如想得出部分对应关系，是可以通过第二节、第三节的关联分析推论的。

总体而言，这三个不同国家、不同维度、面向不同读者人群的云安全框架体系各有特色，本文从合规框架、技术框架及关键产品技术间关系的角度进行了梳理分析，希望能对今后的技术研究、产品定义及方案设计提供参考和借鉴。

作者：郭春梅

声明：本文来自启明星辰，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。