CCSK(Certification of Cloud Security Knowledge)是由CSA 2011年推出的云安全人才认证领域最权威的认证之一。
CSA(Cloud Security Alliance)云安全联盟,是在2009年美国RSA大会上成立的非营利性国际性组织,致力于研究云计算环境下的安全问题,旨在提供云计算环境下的最优解决方案。
2、其他安全行业认证以下两个认证同样是目前国内安全行业顶级的认证,CCSK起步较晚、偏重云计算领域。
CISP:英文全称:“Certified Information Security Professional” 简称CISP。 是由中国信息安全测评中心认证的,国家对信息安全人员资质最高认可。
CISSP:英文全称:“ Certified Information Systems Security Professional” 简称CISSP,中文全称:“(ISC)²注册信息系统安全专家”。由(ISC)²组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证。
3、CCSK的前景3.1 CCSK进阶至CCSP
CCSP, 英文全称“Certification of Cloud Security Pronfessional”,这里注意,不是'思科认证资深安全工程师',是2015年CSA和(ISC)² 联合推出的CCSK的进阶版认证。
了解CCSP更多,传送门?:http://www.freebuf.com/articles/others-articles/156324.html
3.2 (ISC)²
(ISC)²® 读作:ISC-Squared,国际信息系统安全认证联盟),成立于1989年,是全球最大的网络、信息、软件与基础设施安全认证会员制非营利组织,是为信息安全专业人士职业生涯提供教育及认证服务的全球领导者,总部位于美国,区域办公室设在伦敦、香港及北京(授权中国代理办事处)。
(ISC)² 以其一流的信息安全人才教育与培养计划,(ISC)²仍为全球超过160个国家和地区的网络、信息、软件和基础设施安全从业人员提供厂商中立的教育产品、职业服务和 “金牌标准” 认证。
二、认证内容 1 知识体系1.1 CCSK 考试关键概念
C S A云计算关键领域安全指南第4版
域 1 云计算概念与架构
定义云计算
- 服务模型
- 部署模型
- 参考架构模型 - 逻辑模型
云安全范围, 责任和模型
云安全关键领域
域 2: 治理与企业风险管理
• 云治理工具
• 云中的企业风险管理
• 各种服务模型和部署模型的影响 • 云风险衡量工具
域 3: 法律问题、合同和电子发现
数据与隐私保护治理的法律框架 - 跨境数据传输
- 区域考虑
合同和供应商选择 - 合同
- 尽职调查
- 第三方审计与认证
电子发现
- 数据保管
- 数据保留
- 数据采集
- 传票或搜查令响应
域 4: 合规与审计管理
• 云合规
- 合规对云合同的影响 - 合规范围
- 合规需求分析
云审计管理
- 审计权 - 审计范围
- 审计要求
域 5: 信息治理
• 治理领域
• 数据安全生命周期的六个阶段及其关键要素 • 数据安全功能、参与者和控制
域 6: 管理平面和业务连续性
• 云业务连续性与灾难恢复 • 防失效架构
• 管理平面安全
域 7: 基础设施安全
• 云网络虚拟化
• 云网络安全变更
• 虚拟设备的挑战
• 软件定义网络(SDN)安全效益 • 微分隔和软件定义边界
• 混合云要考虑的事项
• 云计算和工作负载安全性
域 8: 虚拟化和容器
• 主要虚拟化类别 • 网络
• 存储
• 容器
域 9: 事件响应
• 事件响应生命周期
• 云对事件响应的影响
域10: 应用安全
• 机遇和挑战
• 安全软件开发生命周期SDLC
• 云对应用设计和架构的影响 • DevOps角色的兴起
域 11: 数据安全和加密
• 数据安全控制
• 云数据存储类型
• 对迁移到云数据的管理
域 12: 身份、权限和访问管理
• 云计算IAM标准 • 管理用户和身份 • 认证和凭证
• 权限和访问管理
域 13: 安全即服务
• 安全即服务潜在的收益和关注点 • 安全即服务的主要类别
域 14: 相关技术
• 大数据
• 物联网
• 移动互联网 • 无服务器计算
ENISA云计算: 信息安全收益、风险和建议
• 隔离失效
• 经济的拒绝服务
• 许可风险
• 虚机跳跃
• 所有场景中常见的五个关键法律问题 • ENISA研究中的排名靠前的风险
• 虚拟开放格式OVF
• 治理缺失的潜在漏洞
• 用户配置漏洞
• 获得云服务提供商的风险问题
• 云安全的收益
• 风险 R.1 – R.35 和潜在的漏洞
• 数据控制器与数据处理器的定义
• 在IaaS模型中, 谁负责客户系统的监控
云安全联盟-云控制矩阵
• CCM域
• CCM 控制项
• 架构相关
• 交付模型适用性 • 适用性范围
• 标准和框架映射
本课程分为6个模块,涵盖CSA指导的14个领域和ENISA云计算:信息安全的利益、风险 和建议。
模块1:云计算简介。本单元涵盖了云计算的基础知识,包括定义、构架和虚拟化的角 色。主要议题包括云计算服务模型,部署模型和基本特征。它还介绍了共享责任模型和接 近云安全的框架。
模块2:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括 云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容 器和无服务器的基础知识。
模块3:管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它 从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重 要的CSA风险工具,包括CAIQ,CCM和STAR注册表。
模块4:云计算中的数据安全。云安全中最大的问题之一是数据保护。该模块涵盖了云 的信息生命周期管理以及如何应用安全控制,重点关注公共云。主题包括数据安全生命周 期、云存储模型、不同交付模型的数据安全问题以及管理云中的加密,包括客户托管的密 码(BYOK))。
模块5:保护云应用和用户。该模块涵盖了云部署的身份管理和应用程序安全。主题包 括结成同盟身份和不同的IAM应用程序、安全开发以及管理云中的应用程序安全。
模块6:云安全运行。本模块涵盖评估、选择和管理云计算提供商时的关键注意事项。 我们还会讨论服务提供商的安全角色以及对云应急响应的影响。
2、适宜人群1、云供应商和信息安全服务公司。获得云安全证书,可以成为竞争优势, 员工持有 CSA 认证可以为他们的潜在客户增强信心,能够给未来的项目带来必 要的支持。
2、政府监管部门及第三方评估机构。员工拥有 CSA 认证,帮助他们建立 一个客观、一致的云安全知识水平和掌握良好的实践技能。
3、云服务用户。客户面临着越来越多的可供选择的云服务供应商,获得 CSA 认证特别有助于建立最佳实践的安全基线,范围从云治理到技术安全控制 配置等多个方面。
4、提供审计或认证服务的企业。随着越来越多的系统迁移到云端,未来可 以通过一个全球公认的认证来扩展业务。
5、信息部门主管或 IT 负责人、CIO、CTO、企业信息系统管理人员、IT人 员、IT 审计人员、云计算信息化咨询顾问、云计算服务提供商系统管理和维护 人员、云计算安全厂商开发人员与产品经理、云安全服务提供商售前与售后服 务工程人员、云系统开发人员与架构师、系统运维服务人员、
3、课程收益1)云计算领域的安全可信的标志获得 CSA 颁发的认证有助于确认您作为 一名已认证授权的云安全专家资格。
2)获得全球顶尖云安全领域的最佳实践精髓知识学习 CSA 提供的云安全 培训课程,可以全面掌握全球先进的云安全开发、建设、运维、审计、评估和 治理方面最佳实践经验与知识。
3)庞大的雇主会员单位与行业专家资源庞大的全球 CSA 会员单位与行业专 家人脉资源,为你云计算领域的安全职业生涯提供无限可能。
三、认证考试 1 报考途径安全牛在线培训及考试,《5分钟了解CCSK》https://www.aqniu.com/activity-meeting/32286.html
CSA中国 有提供在线培训和在线考试,可以通过微信公众号搜索“云安全联盟CSA”
2 费用构成市场标准价格:课时16小时,培训费用4500元/人;考试认证费2480元/人。
3 考试概况CCSK 是限时考试,题型为单选题和判断题,共60道题,必须在90分钟内完成. 考生获得80%以上的成绩才能通过考试。
其中,87%的考题基于 CSA 云安全指南 v4 , 7%基于 CSA的云控制矩阵CCM 3.0.1, 6%基 于 ENISA 报告. 准备CCSK最好的办法是彻底阅读并理解这三个文件。
考试入口:https://exam.c-csa.cn
模拟题购买,限时特价1元/两次。
4有效期及续费目前了解到没有维持的费用,后续因知识体系更新,按需重新考取。
四、延展阅读 4.1 CSA 云安全联盟 4.2 云计算关键领域的安全指南
简称“云安全指南”,英文全称“Security Guidance for Critical Areas of Focus in Cloud Computing ”
《云安全指南V4.0》中文版下载地址:中文版的报告下载地址:http://www.c-csa.cn/wenxianxiazai.html
https://pan.baidu.com/s/1c2LArPQ ---- 来自 Sec朔方 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/SecSF/article/details/78353122?utm_source=copy
4.3 ENISA 风险报告2009年,欧洲网络与信息安全机构(ENISA)公布的最新报告显示,云计算有利也有弊。这份123页厚的报告标题为《云计算:利益、风险与信息安全建议》,建议企业若是把数据交给云计算服务厂商托管时,该如何做才能把风险降到最低。 CCSK知识体系主要基于此风险报告进行论述。
4.4 其他云计算安全威胁报告
除了CSA和ENISA,Gartner等机构也发布过多篇关于云计算的安全威胁报告,后续有机会单独收录和整理。附上简要信息如下:
《云计算安全风险评估》http://www.sohu.com/a/229739568_210640 Gartner 2008年 搜狐科技
《云计算面临九大安全威胁》http://netsecurity.51cto.com/art/201305/396528.htm CSA 2013年 51CTO社区
《2018年要考虑的12大云安全威胁》 https://news.zoneidc.com/796.html Gartner 2017年 云资讯社区
来自CSA官方分享链接:《CCSK介绍&学习材料》
链接:https://pan.baidu.com/s/1FIeMAyKpueIBRHo_0JIzPQ 提取码:3kq1