面對云安全 我們應有哪些疑問?
云平臺市場競爭非常激烈,初創公司不斷涌現試圖爭奪現有供應商的市場份額。這種競爭推動著云服務提供商(CSP)努力添加新功能來區分自己,而可能以犧牲云安全為代價。
提出有關云安全的正確問題
消費者很自然會基于云計算功能來評估CSP,這意味著他們通常會向潛在提供商提出這些問題:
- 如何快速構建基于云計算的產品?
- 通過利用CSP,我可以節省多少成本?
- 哪個提供商提供最好的高可用性解決方案?
這些都是選擇解決方案時的關鍵考慮因素。但是,基于最近數據泄露事故的數量,精明的客戶應該重新思考他們應該如何選擇CSP。
CSP必須能夠確保云安全,最成功的的提供商應該能夠很好地回答以下問題:
- 我的數據安全嗎?
- 如果發生云服務安全泄露事故,會怎么樣?
- 我如何知道我的云應用是否合規?
這些問題都是源于消費者對CSP如何管理關鍵業務資產缺乏認識。為了彌合這一差距,云服務提供商必須通過創建透明和開放的溝通來試圖與消費者建立信任。
合規標準
首先,云服務提供商必須獲得知名且可信的認證,例如ISO 27K。這些獨立認證標志將讓消費者確信提供商的IT安全級別。
CSP還應該考慮部署云計算合規舉措,例如云安全聯盟(CSA)安全信任和保證項目注冊(STAR)--旨在公有云服務的可信缺乏問題。
提供透明度
隨著企業越來越多地部署多云和混合模式,企業必須明確消費者、提供商及分包商的角色和責任。CSP應該采用協作的方法確保其所提供產品的整體安全性與合規性。
CSP還應該提供認證報告,例如美國注冊會計師協會(CPA)的服務組織控制(SOC)報告。他們還應該與消費者共享事件響應計劃。
審核框架
按照公認的安全標準進行時間點審計的傳統方法可幫助消費者建立對CSP安全做法的信心。然而,云服務的動態性質將驅使消費者對提供的安全狀態尋求更大的實時透明度。
CSP需要考慮提高消費者的可視性,同時,保護自己的知識產權與商業信譽。研究和云技術倡導組織定義了持續審計的框架,但這些框架需要CSP的參與才能獲得成功。
云安全是CSP的有效區分因素。隨著網絡攻擊數量和范圍不斷增加,對于CSP來說,解決客戶的顧慮并采取必要的措施建立信任將變得更加重要。
