截至目前,云安全联盟已经不止一次地发布报告,建议和督促企业采取措施,以更好地保护云服务。
云安全联盟新的报告中对云计算的定义和国际标准与技术协会(NIST)的定义一致,其它的还按需自我服务、宽带网络接入、资源共享、快速配置和可扩展性、计量使用等。
NIST还将云服务分成了三类:软件服务(SaaS),即应用程序由服务供应商提供;平台服务,即服务商提供工具和编程语言,客户来开发和部署自己的应用;基础设施服务,即服务商提供带网络的硬件平台供客户使用。
“在云计算V2.1版本的指导意见中安全是需要注重的关键领域。”在早期的一些草案审议议题简缩版本就提及了云安全的重要性,这些安全议题分布在13个领域的76页文件中,每个议题还包括了更加具体的建议。
文件建议云服务商采用ISO/IEC 27001信息安全标准来构建信息安全管理系统。客户应该认真核实供应商的资质认证,同时还要看他们制定的计划是否按照认证标准和要求来做的。至少,供应商应该向客户展示他们的做法是参照ISO 27002国际标准来制定的。
报告指出,客户需要清楚地认识到,在他们所购买的云服务类型中,他们需要为数据的安全和应用程序的管理承担怎样的责任,服务商又承担怎样的责任。
例如,亚马逊的EC2基础设施作为一个服务实体的地址,提供的是环境和虚拟化的安全,而不是虚拟的情况下操作系统、应用程序和数据本身的安全。通过Salesforce.com的客户关系管理软件(CRM)提供的云服务,服务商就必须负责一切的安全,包括应用程序和数据。
企业一定要充分了解供应商的安全措施,否则就要冒着危及他们数据安全的风险。“除非云提供商乐意向客户披露他们的安全控制,以及它们所实施的范围和程度,消费者才会知道哪些控制对于保持其信息安全是必须的,否则就会导致客户做出错误的决定,并存在很大的风险。”报告说。
报告指出,一般来说,云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估,并让供应商提供相关的证明。“对于任何涉及安全的方面,企业应采取以规避风险为主的方式转移到云计算环境,并选择安全的方式。”报告说。
为此,报告建议采取以下步骤:
- 仔细考虑和确定什么样的数据或功能运行在云环境中;
- 评估该数据或功能对企业的重要性;
- 确定采取哪种云:公有云,私有云,社区,混合云;
- 评估现有的控制措施对风险的减少程度;
- 画出进出“云”的数据流图,以确定风险的暴露点。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
华为云全球首家通过C-STAR云安全认证
2015年6月15日,云安全联盟与广州赛宝认证中心服务有限公司合作推出的国内首个全球认可的云安全评估服务“C-STAR”落地中国。华为云成为全球首家通过该认证的公有云服务商。
-
企业云计算合规性如何实现
企业必须符合广泛的且不断变化的规则清单,处在高度管制行业的企业更是如此。如果公司的信息安全策略和IT系统没有遵守这些方针政策,那么,企业将面临罚款和其他处罚。
-
衡量云性能测试:十大问题搞定云供应商
随着越来越多的企业都使用了云服务,企业的安全团队已开始逐渐认识到云供应商们将取代他们而承担起大量传统的安全控制和程序所担负的责任。
-
云API安全隐患:如何评估云服务提供商API
云安全联盟(CSA)的最新报告《云计算面临的主要威胁》中,提出了一些新出现的风险,并对已经存在的风险进行了修改和重新排序。