摘要:云计算安全就是这样一个紧迫和重要的问题,因为数据是任何现代组织的黄金和石油。各种规模的企业需要考虑他们如何防止黑客损害其云计算服务。然而,并非所有的攻击都来自组织外部。有时,他们从一个组织内或从一个服务提供商内部启动。但是,只要进行安全审计,并实现云安全原则到位,云计算环境可以是安全的,而且在许多情况下甚至比企业内部IT还要安全。
去年,英国政府内阁办公室概述了2014年8月14日公布的涉及传输中的数据保护的指导性文件构成的“云安全原则”这些原则。这些原则涉及到传输的数据保护、资产保护客户数据等,需要一定程度的秩序之间的分离,以确保不会损害客户账户,不会影响服务或其他客户的数据,人们需要开发一种治理框架,并对托管服务提供商(MSP)或云服务提供商(CSP)的工作人员进行筛选,以下列举几方面的例子。
云计算安全就是这样一个紧迫和重要的问题,因为数据是任何现代组织的黄金和石油。各种规模的企业需要考虑他们如何防止黑客损害其云计算服务。然而,并非所有的攻击都来自组织外部。有时,他们从一个组织内或从一个服务提供商内部启动。但是,只要进行安全审计,并实现云安全原则到位,云计算环境可以是安全的,而且在许多情况下甚至比企业内部IT还要安全。
云计算安全合规性
企业没有必要从头开始开发自己的云计算安全原则,因为具有有据可查的最佳实践,如英国内阁办公室的指导性文件。然而,云的安全性需要应用的水平不同,根据适用于不同的垂直行业的法律义务和监管框架有所不同。金融服务部门是一个垂直的行业领域,必须采用严格的云安全框架,以保护他们客户的个人和财务数据。出于这个原因,他们经常选择一个私有的或混合云模型。
大多数工业部门必须遵守的关键标准是ISO27001(ISO/IEC27001:2013):“使用该系列标准将帮助你的组织管理资产,如财务信息、知识产权,员工资料或由第三方托付给你的信息”,国际标准组织的网站表示,还可以考虑采用ISO/IEC27002(ISO/IEC27018:2014)标准。
还有一些标准并不局限于云计算的安全原则。云计算的相互联系意味着,他们往往涉及企业的整个IT系统。因此这是至关重要的,重要的是找到一个托管服务提供商或云服务提供商,并有所有正确的云凭据,但最薄弱的环节可能是你自己的内部IT。它需要满足管理服务提供商和电信运营商必须遵守同样的标准。
以下是最佳实践:国际标准组织(ISO)正在努力帮助企业开发和实施云安全的最佳实践。例如,云计算安全联盟(CSA)公布了一个顶级的云计算安全威胁报告。例如CSA这样的国家和国际组织,以及特定行业相关的行业,可以帮助你及时了解最新的法律规定和行业规范。这将使你知道什么是最好的做法,以及它应该如何应用。
标准的操作系统
其出发点是一个标准操作环境(SOE)。具有SOE的组织在Linux系统中实施安全和优化的可重复的流程,并建立在其整个IT领域,无论是在公司内部,物理设备,虚拟设备,以及混合云中。
企业需要一个良好的管理平台(SOEMP)执行良好的实践。使用SOEMP技术,如RedHat的Satellite服务器和Puppet服务器,系统管理员必须积极地管理标准操作环境(SOE),并确保其安全。
对于许多组织来说,答案是遵循ISO/IEC27001:2013提供的云安全原则。服务提供者将有机会获得最好的管理工具,并有非常熟悉原则,实施彻底部署的工作人员。最关键的是,这样的供应商有时与最佳安全实践相冲突,而企业内部日常面临着商业压力和职业生涯的忧虑。
小贴士:
·确保你使用的是托管服务提供商服务。
·检查是否ISO/IEC27001:2013标准和其他相关标准和法规是否为你的行业提供了指导。
·为了保证数据的安全,你所需要的最好的管理工具。
·阅读英国内阁办公室关于云安全原则的文件,并确保你的云系统和云服务保持安全。
·托管服务提供商(MSP)或云服务提供商(CSP)一起工作,以确保自己的内部系统是不是处于云计算安全链中最薄弱的环节。
====================================分割线================================
本文转自d1net(转载)