云計算一道坎:如何保證云數據安全
截至目前,云安全聯盟已經不止一次地發布報告,建議和督促企業采取措施,以更好地保護云服務。
云安全聯盟新的報告中對云計算的定義和國際標準與技術協會(NIST)的定義一致,其它的還按需自我服務、寬帶網絡接入、資源共享、快速配置和可擴展性、計量使用等。
NIST還將云服務分成了三類:軟件服務(SaaS),即應用程序由服務供應商提供;平臺服務,即服務商提供工具和編程語言,客戶來開發和部署自己的應用;基礎設施服務,即服務商提供帶網絡的硬件平臺供客戶使用。
“在云計算V2.1版本的指導意見中安全是需要注重的關鍵領域。”在早期的一些草案審議議題簡縮版本就提及了云安全的重要性,這些安全議題分布在13個領域的76頁文件中,每個議題還包括了更加具體的建議。
文件建議云服務商采用ISO/IEC 27001信息安全標準來構建信息安全管理系統。客戶應該認真核實供應商的資質認證,同時還要看他們制定的計劃是否按照認證標準和要求來做的。至少,供應商應該向客戶展示他們的做法是參照ISO 27002國際標準來制定的。
報告指出,客戶需要清楚地認識到,在他們所購買的云服務類型中,他們需要為數據的安全和應用程序的管理承擔怎樣的責任,服務商又承擔怎樣的責任。
例如,亞馬遜的EC2基礎設施作為一個服務實體的地址,提供的是環境和虛擬化的安全,而不是虛擬的情況下操作系統、應用程序和數據本身的安全。通過Salesforce.com的客戶關系管理軟件(CRM)提供的云服務,服務商就必須負責一切的安全,包括應用程序和數據。
企業一定要充分了解供應商的安全措施,否則就要冒著危及他們數據安全的風險。“除非云提供商樂意向客戶披露他們的安全控制,以及它們所實施的范圍和程度,消費者才會知道哪些控制對于保持其信息安全是必須的,否則就會導致客戶做出錯誤的決定,并存在很大的風險。”報告說。
報告指出,一般來說,云服務的潛在用戶需要針對數據的重要性以及業務安全做風險評估,并讓供應商提供相關的證明。“對于任何涉及安全的方面,企業應采取以規避風險為主的方式轉移到云計算環境,并選擇安全的方式。”報告說。
為此,報告建議采取以下步驟:
1、仔細考慮和確定什么樣的數據或功能運行在云環境中;
2、評估該數據或功能對企業的重要性;
3、確定采取哪種云:公有云,私有云,社區,混合云;
4、評估現有的控制措施對風險的減少程度;
5、畫出進出“云”的數據流圖,以確定風險的暴露點。
【編輯推薦】
