云計算一道坎:如何保證云數(shù)據(jù)安全
截至目前,云安全聯(lián)盟已經(jīng)不止一次地發(fā)布報告,建議和督促企業(yè)采取措施,以更好地保護(hù)云服務(wù)。
云安全聯(lián)盟新的報告中對云計算的定義和國際標(biāo)準(zhǔn)與技術(shù)協(xié)會(NIST)的定義一致,其它的還按需自我服務(wù)、寬帶網(wǎng)絡(luò)接入、資源共享、快速配置和可擴(kuò)展性、計量使用等。
NIST還將云服務(wù)分成了三類:軟件服務(wù)(SaaS),即應(yīng)用程序由服務(wù)供應(yīng)商提供;平臺服務(wù),即服務(wù)商提供工具和編程語言,客戶來開發(fā)和部署自己的應(yīng)用;基礎(chǔ)設(shè)施服務(wù),即服務(wù)商提供帶網(wǎng)絡(luò)的硬件平臺供客戶使用。
“在云計算V2.1版本的指導(dǎo)意見中安全是需要注重的關(guān)鍵領(lǐng)域。”在早期的一些草案審議議題簡縮版本就提及了云安全的重要性,這些安全議題分布在13個領(lǐng)域的76頁文件中,每個議題還包括了更加具體的建議。
文件建議云服務(wù)商采用ISO/IEC 27001信息安全標(biāo)準(zhǔn)來構(gòu)建信息安全管理系統(tǒng)。客戶應(yīng)該認(rèn)真核實供應(yīng)商的資質(zhì)認(rèn)證,同時還要看他們制定的計劃是否按照認(rèn)證標(biāo)準(zhǔn)和要求來做的。至少,供應(yīng)商應(yīng)該向客戶展示他們的做法是參照ISO 27002國際標(biāo)準(zhǔn)來制定的。
報告指出,客戶需要清楚地認(rèn)識到,在他們所購買的云服務(wù)類型中,他們需要為數(shù)據(jù)的安全和應(yīng)用程序的管理承擔(dān)怎樣的責(zé)任,服務(wù)商又承擔(dān)怎樣的責(zé)任。
例如,亞馬遜的EC2基礎(chǔ)設(shè)施作為一個服務(wù)實體的地址,提供的是環(huán)境和虛擬化的安全,而不是虛擬的情況下操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)本身的安全。通過Salesforce.com的客戶關(guān)系管理軟件(CRM)提供的云服務(wù),服務(wù)商就必須負(fù)責(zé)一切的安全,包括應(yīng)用程序和數(shù)據(jù)。
企業(yè)一定要充分了解供應(yīng)商的安全措施,否則就要冒著危及他們數(shù)據(jù)安全的風(fēng)險。“除非云提供商樂意向客戶披露他們的安全控制,以及它們所實施的范圍和程度,消費者才會知道哪些控制對于保持其信息安全是必須的,否則就會導(dǎo)致客戶做出錯誤的決定,并存在很大的風(fēng)險。”報告說。
報告指出,一般來說,云服務(wù)的潛在用戶需要針對數(shù)據(jù)的重要性以及業(yè)務(wù)安全做風(fēng)險評估,并讓供應(yīng)商提供相關(guān)的證明。“對于任何涉及安全的方面,企業(yè)應(yīng)采取以規(guī)避風(fēng)險為主的方式轉(zhuǎn)移到云計算環(huán)境,并選擇安全的方式。”報告說。
為此,報告建議采取以下步驟:
1、仔細(xì)考慮和確定什么樣的數(shù)據(jù)或功能運行在云環(huán)境中;
2、評估該數(shù)據(jù)或功能對企業(yè)的重要性;
3、確定采取哪種云:公有云,私有云,社區(qū),混合云;
4、評估現(xiàn)有的控制措施對風(fēng)險的減少程度;
5、畫出進(jìn)出“云”的數(shù)據(jù)流圖,以確定風(fēng)險的暴露點。
【編輯推薦】
