D1安全即服务(security-as-a-service)提供商提供安全云服务。 　　

　　

　　需要满足提供安全产品和服务的标准。其服务必须满足美国国家标准与技术研究所(NIS)在领域1中提到的云计算的基本特征。云计算的优势。人员配备和专业知识智能共享的优势。灵活部署。客户不知道扩展成本。能见度不足。法规差异得到处理。监管数据泄露被改变。供应商迁移到Scaas提供的安全性和服务分类，以及授权管理服务策略实施点PEP即服务策略决策点PDP即服务策略接入点PAP即服务为实体提供身份服务、属性服务和信誉服务。联合身份代理fedrated identity brokers在云南应用广泛。联合身份代理在组织内的不同服务之间建立IAM，并允许它们进行基于web的单点登录SSO。 　　

　　

　　强认证服务组织身份提供商的主机目录服务器云访问安全代理(CASB，也称为云安全网关)这类产品通过API拦截直接连接或连接到云服务的通信，从而监控活动、执行策略、检测和/或预防安全问题。 　　

　　

　　根据该组织现在讨论的“CASB ”,该术语有时也用于包括联合身份代理。 　　

　　

　　Web网关应用程序授权管理可以为WEB应用程序提供更细粒度的上下文安全实施机制。 　　

　　

　　电子邮件安全可防止网络钓鱼、恶意附件和垃圾邮件。 　　

　　

　　安全评估对云中部署的资产(例如虚拟机/实例的补丁和漏洞)或本地化部署的传统安全/漏洞评估进行分类。应用安全评估，包括SAST、DAST和RASP的管理。DAST:动态应用安全测试技术在测试或运行阶段分析应用的动态运行状态。它模拟黑客动态攻击应用程序的行为，分析应用程序的反应，从而判断Web应用程序是否存在漏洞。SAST:静态应用安全测试技术通常分析语法、结构、流程、接口等。以发现程序代码的安全漏洞。IAST:交互式应用安全测试是Gartner在2012年提出的一种新的应用安全测试方案。它通过代理、VPN或在服务器上部署代理程序，在运行时收集和监控Web应用的功能执行和数据传输。并与扫描器实时交互，高效准确地识别安全缺陷和漏洞，同时准确确定漏洞所在的代码文件、行、函数和参数。IAST相当于结合了DAST和SAST的一种相互关联的运行时安全检测技术。Rasp(运行时应用程序自我保护)在运行时应用自我保护。1.洞察DAST、SAST、IAST-Web应用安全测试技术比较AQNIU的RASP技术介绍与实现。COM(seebug.org)一个通过API直接连接云服务的云平台评估工具，不仅可以评估部署在云端的资产，还可以评估云配置。WEB应用防火墙WAF入侵检测/防御(IDS/IPS)安全事件和时间管理(SIEM)是通过云而不是客户收集的。 　　

　　

　　加密密钥管理、业务连续性和灾难恢复安全管理、终端保护、代理管理、网络安全和移动设备管理。 　　

　　

　　分布式拒绝服务保护特别关注受管制数据的处理，如PII。 　　

　　

　　D14相关技术依托云端大数据大数据包括一套用于解决传统数据处理工具无法处理的超大型数据集的技术。它不是任何单一的技术，而是通常指一个分布式的收集、存储和数据处理框架。 　　

　　

　　Gartner将其定义为：“大数据是一种信息资产，需要新的处理模式，以具备更强的决策、洞察和流程优化能力，以适应海量、高增长率和多样化。 　　

　　

　　高海量化的特点：记录或属性的数据量非常大且快：数据的快速生成和处理，如实时数据或流数据。高多样性：结构化、半结构化或非结构化数据组件。分布式数据采集：摄取大量数据的机制，通常是流媒体性质的分布式存储：google文件系统、Hadoop分布式文件系统或nosql数据库分布式处理3360是分析大规模、快速变化的数据集的工具，无法由单一来源处理，具有分布式处理作业的能力，MapReduce、Spark物联网示例供应链的数字跟踪市场的物理物流管理的数字跟踪， 零售和客户关系为员工或客户提供相关的健康和生命安全问题数据收集和清理api用于安全的设备注册、验证和授权从设备到云服务基础架构的链接安全的加密通信设备的自适应修补和更新移动设备设备注册、验证应用程序API无服务计算应用程序对象存储 　　

　　

　　云负载平衡器 　　

　　

　　云数据库 　　

　　

　　机器学习 　　

　　

　　信息排队 　　

　　

　　通知服务 　　

　　

　　代码执行循环 　　

境(这些通常是受限制的容器，用户可以在其中运行上传的应用程序代码。)

　　

api 网关

　　

web 服务器

　　

关键问题 无服务器给云服务提供商带来了更高的安全负担。选择好您的云服务提供商并理解好 安全性 SLA 和能力是非常重要的。

　　

使用无服务器的云用户将无法访问常用的监视和日志记录级别，例如服务器或网络日志。应用程序需要集成更多的日志记录，云服务提供商应该提供必要的日志以满足核心安全和合规性需求。

　　

尽管提供者的服务可以通过认证或测试来满足不同的合规性

　　

需求不一定是每个服务都能匹配每个潜在的规则。提供者需要保持最新的合规性映射， 并且客户需要确保他们只在他们的合规范围内使用服务。

　　

由于这是集成和使用无服务器能力的唯一方法，所以对云服务提供商的管理层的访问 将会非常高。

　　

无服务器可以显著减少攻击的表面和路径，集成无服务器组件可能是在攻击链中断开 链接的一种很好的方式，即使整个应用程序堆栈不是没有服务器的。

　　

任何漏洞评估或其他安全测试都必须符合提供者的服务条款。云消费者可能不再有能力直接测试应用程序，或者必须用更少的范围进行测试，因为提供者的基础架构现在 已经承载了所有的东西，并且不能区分合法的测试和攻击。

　　

事件响应可能也很复杂，并且肯定需要在过程和工具上进行更改，以管理基于服务器的事件