定义

以下是 CSA 在其材料中使用的关键术语：

• 组织是CSP 中最高级别的结构。

• 组代表部署的集合。

• 部署指的是，是 CSP 中的一个孤立环境。

所有主要的 IaaS 提供商都提供了一种创建组织层次结构的方法 。表 4-1是一个实际示例。

表 4-1. CSP 组织层次结构

CSP	组织	集团	部署
AWS	组织	组织单位 (OU)	账户
微软 Azure	租户	管理组	订阅
谷歌云	组织机构	文件夹	项目

组织结构

利用多个部署是 CSA 和所有主要 IaaS 提供商推荐的一种战略方法，可减少不利事件或漏洞的影响，遵守 CSP 规定的服务限制，并促进不同技术堆栈的逻辑分离。我知道这说来话长，所以让我们把它细分一下。请记住，部署是一个孤立的环境。使用多个部署意味着你正在实施一个坚硬的安全边界。在采用这种方法架构企业云的众多好处中，我们在 CCSK 考试中主要关注的是它可以创建隔离的环境。这种隔离限制了漏洞的范围，因为其影响仅限于单一部署。反过来，这也最大限度地减少了事件响应工作，因为受影响的系统较少。

这种策略通常被称为限制爆炸半径。让我们设想这样一种场景：攻击者获得了一个管理用户账户的访问权限，并完全控制了一个 AWS 账户。如果所有应用程序都在这一个 AWS 账户中，那么一切都会面临风险。但是，如果您为每个应用程序创建一个单独的 AWS 账户，那么爆炸半径将仅限于这一个应用程序处于风险之中。这种通过使用硬安全边界（如多个 AWS 账户）来创建的分离通常被 CSP 使用并强烈推荐。例如，我曾在拥有 70 多个不同 AWS 账户的环境中工作过，其中每个应用程序都在单独的 ...