看懂供应商云安全评估字里行间之意

认证是评估云提供商的安全性的一个很好的起点,但如果用户想了解其中有多大的风险,就不能只是简单的照本宣科,必须进行更深一步的了解。

云安全评估和认证旨在帮助企业了解提供商采取了哪些步骤来保护机密信息。不过,虽然安全认证可以给于用户一定程度的信心,但只靠它们来保证信息安全往往是不够的。

数据安全仍然是公有云的一大死穴。“紧随价格之后,供应商提供什么程度的安全性是所有企业在检验公有云服务时首先要问的问题之一,”Dan Blum,一家总部设在华盛顿特区的咨询公司,Security Architects LLC的管理合伙人及首席顾问说道。

组织经常会对于将敏感信息从自己的数据中心移到第三方提供商时感到不安。为了缓和这种感觉,企业会先确认供应商已经完成了某种程度的云安全评估,或持有某些认证。这些云安全认证通常由两部分组成。首先,由一个特设专家小组开发一个框架,概述应该执行哪些检查来确保护数据的安全。然后,由第三方负责开发具体的流程,以确保这些检查工作落到实处。

IT安全认证基准

IT安全性是很复杂的,因此,这些年来,来自许多不同的组织开发的框架便应运而生。当企业想评估云提供商的安全性时,往往会从审核业务标准16的报表开始,据Pete Lindstrom,总部设在马萨诸塞州Framingham的分析公司,IDC的安全研究副总裁表示。

美国注册会计师研究所制定了该规范,它定义了服务提供商应该如何部署安全控制。该规范产生三份报表:服务组织控制(SOC)1侧重于财务报告;SOC 2报表则评估安全性,可用性,过程完整性,厂商内部系统的保密性和隐私性;而SOC3报表所描述的信息与SOC2相同,但是旨在面向一般受众,而不是特定方。

国际标准化组织(ISO)和国际电工委员会(IEC)两大组织共同合作,制定了第二个标准。ISO 27001规范侧重于信息安全管理体系而ISO 27002描述了系统控制。

云安全评估和认证

前面所提的标准没有针对云和传统本地系统的安全性进行区别对待,但是,近来专为云所设计的安全评估和认证开始崛起。例如,国家标准和技术研究所特别出版物-500的规范概括了云计算在美国联邦政府中的作用。该文件涉及了云运营、管理和安全问题。

垂直标准初具规模

除了水平的标准之外,在评估云服务提供商时,还可以了解以下行业认证:

健康保险可移植性和责任法案是用来保护个人医疗信息,主要是在美国。

PCI-DSS保障消费者信用卡付款信息。

FedRAMP监控政府数据并提供了标准的方法来进行安全评估,授权和云服务的不间断监测。

信息保障框架是由欧洲网络信息和安全局开发的,目的是关闭网络和信息安全漏洞。

成立于2008年12月,云安全联盟(CSA)是为采用云计算的企业提供指导的联盟。该组织的云控制矩阵包括了能帮助未来云用户评估云提供商整体安全风险的原则。该组织的安全,信任和保证注册(STAR)的评估和认证过程提供三个等级的云安全认证:1级是由供应商进行自我评估;2级是由第三方所做的供应商评估;而3级则是基于持续不断的安全检测,而不仅仅是一次性的检查。

买家当心

云供应商所持有的各种标准和认证常常附带一些额外条件。首先,他们无法提供一些企业所想要的牢不可破的保证;而认证只提供了提供商在安全检查方面的高层次概述。

第二,这些规范本身只在高层次起作用。例如,某认证可能要求企业部署强大的身份认证系统,但却不强制该组织使用生物识别技术。

第三,这些标准经常有重叠的部分。例如CSA STAR 1级认证的一部分,是基于SOC2的要求,而CSA的2级认证则使用了部分ISO/IEC 27001的标准。

最后,认证的过程是费时和昂贵的。因此,旧的认证便在云服务提供商之间得到越来越广泛的采纳。“许多大型云服务提供商都通过了流行的认证,”Lindstrom说道。

部分认证接受度低

新的云安全认证的数量还很少;只有大约20家云供应商已经公开声明,他们完成了CSA STAR的自我评估,30家第三方厂商可以提供2级认证,根据Jim Reavis,CSA的联合创始人兼CEO表示。

小型,利基市场或初创云提供商可能缺乏认证。“客户必须确定他们对于所提供服务的需求胜过任何潜在的安全风险,”Blum说道。

请记住,云安全评估和认证并不是一个供应商安全态势的完整体现。Blum表示,想要充分了解你的供应商如何实现其安全流程,以及这些流程是否足够,企业需要仔细阅读各种报告。这些报告通常不会在一个云提供商的网站上发布,所以用户必须做一些功课才能找到这些信息。

本文转自d1net(转载)

时间: 2024-10-14 23:25:39

看懂供应商云安全评估字里行间之意的相关文章

看懂SqlServer查询计划

原文:看懂SqlServer查询计划 对于SQL Server的优化来说,优化查询可能是很常见的事情.由于数据库的优化,本身也是一个涉及面比较的广的话题, 因此本文只谈优化查询时如何看懂SQL Server查询计划.毕竟我对SQL Server的认识有限,如有错误,也恳请您在发现后及时批评指正. 首先,打开[SQL Server Management Studio],输入一个查询语句看看SQL Server是如何显示查询计划的吧. 说明:本文所演示的数据库,是我为一个演示程序专用准备的数据库,

如何看懂oracle 直方图

转自:http://czmmiao.iteye.com/blog/1484298 直方图概述:在Oracle中直方图是一种对数据分布质量情况进行描述的工具.它会按照某一列不同值出现数量多少,以及出现的频率高低来绘制数据的分布情况,以便能够指导优化器根据数据的分布做出正确的选择. 在某些情况下,表的列中的数值分布将会影响优化器使用索引还是执行全表扫描的决策.当where 子句的值具有不成比例数量的数值时,将出现这种情况,使得全表扫描比索引访问的成本更低.这种情况下如果where 子句的过滤谓词列之

安防人 这篇文章你能看懂多少?

安防人 这篇文章你能看懂多少? 在互联网技术高速发展的今天,因网络的开放性.隐蔽性.跨地域性等特性,许多安全问题亟待解决,比如在过去的2015年,全球便发生了多起网络安全事件,如美国人事管理局OPM数据泄露,规模达2570万,直接导致主管引咎辞职:英宽带运营商TalkTalk被反复攻击,400余万用户隐私数据终泄露:摩根士丹利35万客户信息涉嫌被员工盗取:日本养老金系统遭网络攻击,上百万份个人信息泄露等. 虽然这些数据我们时常耳闻,但安防行业人士仍然会认为网络安全问题距离我们仍很遥远甚至无关,但

深入浅出看懂AlphaGo Zero - PaperWeekly 第51期

AlphaGo Zero = 启发式搜索 + 强化学习 + 深度神经网络,你中有我,我中有你,互相对抗,不断自我进化.使用深度神经网络的训练作为策略改善,蒙特卡洛搜索树作为策略评价的强化学习算法. 1. 论文正文内容详细解析 先上干货论文:Mastering the Game of Go without Human Knowledge [1],之后会主要以翻译论文为主,在语言上尽量易懂,避免翻译腔. AlphaGo Zero,从本质上来说完全不同于打败樊麾和李世石的版本. 算法上,自对弈强化学习

十分钟看懂图像语义分割技术

大多数人接触 "语义" 都是在和文字相关的领域,或语音识别,期望机器能够识别你发出去的消息或简短的语音,然后给予你适当的反馈和回复.嗯,看到这里你应该已经猜到了,图像领域也是存在 "语义" 的. 今天是 AI 大热年,很多人都关注与机器人的语音交互,可是有没有想过,将来的机器人如果不能通过图像来识别主人,家里的物品.宠物,那该多没意思.说近一些,假如扫地机器人能够机智地绕开你丢在地上的臭袜子而扫走旁边的纸屑,一定能为你的生活解决不少麻烦. 没错,图像语义分割是 AI

Navigate 2017看懂新华三的新IT战略:三大一云

ZD至顶网网络频道 04月08日 杭州: 今日,新华三在杭州国际博览中心召开首届Navigate 2017领航者峰会,近8000名各界精英和IT专业人士到场,这也成为新华三集团成立以来举办的最大规模的IT峰会. Navigate 2017对"数字经济"进行了深入探讨,大会的主题正是围绕"新IT,新经济"展开,华夏新供给经济学研究院首席经济学家贾康关于"新经济与供给侧改革"的主题发言引发现场观众的共鸣.Navigate 2017后面的议题和论坛则对

教你如何看懂SQL Server查询计划_MsSql

对于SQL Server的优化来说,优化查询可能是很常见的事情.由于数据库的优化,本身也是一个涉及面比较的广的话题,因此本文只谈优化查询时如何看懂SQL Server查询计划.毕竟我对SQL Server的认识有限,如有错误,也恳请您在发现后及时批评指正. 首先,打开[SQL Server Management Studio],输入一个查询语句看看SQL Server是如何显示查询计划的吧. 说明:本文所演示的数据库,是我为一个演示程序专用准备的数据库,可以在此网页中下载. select v.O

【重磅】一图看懂阿里云两个新大脑:ET 医疗大脑和 ET 工业大脑

3月27日至29日,阿里云2017年第一场云栖大会在深圳拉开帷幕.29日上午的主题演讲由阿里巴巴副总裁.阿里云总裁胡晓明带来.在题为<通往智能之路>的演讲中,他与现场数百名开发者.媒体和合作伙伴分享了阿里云.阿里巴巴集团一年来的变化. 一分钱 VS 一个亿?胡晓明怼上马化腾   胡晓明在演讲中提到一件值得关注的事:腾讯本月以一分钱的报价成为厦门市政务云外网云服务提供商.他认为这是对行业的破坏. 他说:"我要对马化腾说:随着云计算已经越来越多地成为大企业选择的时候,我们要想如何为用户提

教你如何看懂SQL Server查询计划

对于SQL Server的优化来说,优化查询可能是很常见的事情.由于数据库的优化,本身也是一个涉及面比较的广的话题,因此本文只谈优化查询时如何看懂SQL Server查询计划.毕竟我对SQL Server的认识有限,如有错误,也恳请您在发现后及时批评指正. 首先,打开[SQL Server Management Studio],输入一个查询语句看看SQL Server是如何显示查询计划的吧. 说明:本文所演示的数据库,是我为一个演示程序专用准备的数据库,可以在此网页中下载. select v.O