CCSP Domain 2 核心觀念與架構 / Cloud Data Security
版本:v1.0 | 更新日期:2024-05-14
一、Domain 定位
Domain 2 專注於 雲端資料安全 (Cloud Data Security)。考試重點在於理解資料在雲端環境中的完整生命週期、儲存架構、加密與脫敏技術、資料分類與發現,以及法律合規要求(如資料主權與保留)。
二、知識架構地圖
- 資料概念與角色 (Cloud Data Concepts)
- CIA 三要素、真實性 (Authenticity)、不可否認性 (Non-repudiation)
- 資料角色 (Owner, Processor, Custodian, Steward, Subject)
- 資料生命週期 (Create, Store, Use, Share, Archive, Destroy)
- 資料發現與分類 (Data Discovery & Classification)
- 結構化、半結構化與非結構化資料
- 標籤 (Labeling) 與標記 (Marking)
- 中繼資料 (Metadata)
- 資料安全技術 (Security Technologies)
- 加密 (Encryption) 與金鑰管理
- 遮罩 (Masking)、代碼化 (Tokenization)、匿名化 (Anonymization)
- 資料外洩防護 (DLP)
- 資訊權利管理 (IRM/DRM)
- 智慧財產權 (IP) 類型
- 存取控制模型
- 保留、刪除與封存 (Retention, Deletion & Archiving)
- 媒體銷毀等級 (Clear, Purge, Destroy)
- 加密擦除 (Cryptographic Erasure/Cryptoshredding)
- 法律保留 (Legal Hold)
三、核心概念詳解
A. 資料生命週期 (Data Life Cycle)
- Create: 產生或更新資料。
- Store: 將資料存入儲存庫(幾乎與 Create 同步)。
- Use: 資料被處理或查看。
- Share: 在用戶/系統間交換。
- Archive: 移入長期低成本儲存。
- Destroy: 徹底銷毀。
B. 資料角色 (Data Roles)
- Data Owner (Data Controller): 對資料負責,通常是雲端客戶。
- Data Processor: 代表 Owner 處理資料,通常是雲端供應商 (CSP)。
- Data Custodian: 技術負責人,負責備份、還原、安全控制。
- Data Steward: 治理負責人,負責資料品質、中繼資料與合規。
C. 資料脫敏與隱私保護 (Obfuscation & Privacy)
- Data Masking: 隱藏敏感資訊。
- Static: 永久修改副本(用於開發/測試)。
- Dynamic: 存取時即時遮蔽(依權限顯示)。
- Anonymization: 移除直接與間接識別碼。
- Tokenization: 用非敏感的 Token 取代敏感資料,原始資料存在安全的 Token Vault 中。
D. 媒體銷毀 (Media Sanitization)
- Clear: 基本邏輯擦除(防止簡單復原)。
- Purge: 物理或邏輯技術(防止實驗室復原),如 Cryptoshredding(刪除金鑰)。
- Destroy: 物理破壞媒體(如焚燒、粉碎)。
四、高頻盲點整理
- Labeling vs Marking: Label 是機器可讀的(Metadata),Marking 是人可讀的(實體標籤)。
- Steward vs Custodian: Steward 關心「資料是什麼、合不合規」,Custodian 關心「資料怎麼存、怎麼備份」。
- Tokenization vs Encryption: Tokenization 不依賴演算法解密,而是查表(Vault);Encryption 依賴金鑰。
五、考場秒殺口訣
- Steward = Governance & Quality
- Custodian = Technical & Backup
- Cryptoshredding = Cloud Deletion (No physical access)
- Tokenization = PCI-DSS compliance (Reduce scope)
- Clear < Purge < Destroy