CCSP Domain 1 快速速查表 / Quick Reference
1. Domain 1 在考什麼
核心不是技術深度,而是:
- 雲端概念、角色責任、服務模型、部署模型
- shared responsibility、portability / lock-in
- governance 與雲端特性影響
2. 角色責任秒殺
- Data Owner:定義需求 (classification, retention, access, encryption)。
- Custodian:執行與維護 (依 owner 要求執行控制)。
- CSP:提供服務能力 (不等於定義業務安全需求)。
- Partner:提供協助 (整合、顧問、評估)。
- Administrator:日常管理 (多雲中重點常是 consistent governance)。
口訣:Owner 定義,Custodian 執行,Provider 提供,Partner 協助。
3. 服務模型秒殺 (SaaS / PaaS / IaaS)
- SaaS:用軟體。客戶管最少,優勢是降低維運與更新負擔。
- PaaS:寫程式。中間型,客戶管 app / data / 部分 config。
- IaaS:管系統。客戶管最多,包括 OS、app、data。
題目問「最重要考量」:先想 security responsibility 怎麼分。
Patching 記法:
- SaaS:provider 最多
- PaaS:共享
- IaaS:customer 最多
4. 部署模型秒殺
- Public:敏捷、快速部署、DevOps。
- Private:控制、客製、嚴格治理。
- Hybrid:混合需求 (敏感留內部 + 非敏感上公雲)。
- Community:共同需求群體 (同產業/任務)。
口訣:要敏捷 → Public,要控制 → Private,兩種都要 → Hybrid。
5. Shared Responsibility 秒殺
- 大原則:工作可外包,責任不能完全外包。
- 判斷方式:問「哪一層」由「誰」管。
- 常見考法:SaaS 客戶責任最少,但 data / access 仍由客戶負責。
6. Vendor lock-in / Portability 秒殺
- 正確方向:cloud-agnostic architecture、標準資料格式、解耦。
- Containerization:增加 portability / consistency,但不是自動安全。
口訣:避免 lock-in 靠標準化,不靠專屬化。
7. 雲端特性秒殺 (NIST)
- Broad Network Access:多種 client,endpoint 複雜,troubleshooting 難。
- Rapid Elasticity:自動擴縮,架構要 stateless / loosely coupled。
- Resource Pooling:多租戶共享,隔離很重要。
- Measured Service:用量計量,計費可追蹤。
8. Governance / Accountability 秒殺
- Accountability 最強證據:audit trail / log (不是 policy 文件本身)。
- 分散環境 (混合/多雲/邊緣):優先找 consistent governance / policy enforcement。
- SaaS adoption 對 IT 影響:角色轉向 vendor management 與 integration。
9. 標準與框架秒殺
- CSA CCM:雲端控制矩陣,用於評估與對照標準。
- ISO/IEC 27017:雲端安全控制指引。
- FIPS 140-2:加密模組驗證 (高 level = 強 tamper resistance)。
10. 考場秒殺總結
- Owner 定義,Custodian 執行
- SaaS 最少自管,IaaS 最多自管
- 混合需求先想 Hybrid
- 避免 lock-in 靠標準化
- Rapid elasticity 要靠 stateless
- Policy 是宣告,audit trail 才是證據
- 多雲/混合雲題,優先想 governance consistency