云安全:在进入云之前必须所了解的10个问题

  围绕云计算的喧嚣可能会让你以为,明天就会发生大规模采纳云计算的事情。然而,来自多方面的研究已经表明,安全是阻碍大规模采纳云计算的最大障碍。现实的情况是,云计算不过是沿着主机、客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已,所以它也和其他所有阶段一样,都有它自己的安全问题。

  当然,对安全的担忧并不能阻止对这些技术的使用,也不能阻止对于能够解决实际业务需求的云应用的采纳。为了确保云是安全的,需要将其作为技术的下一步进化来对待,而不是将其视为一次需要彻底改变安全模式的革命。安全的策略和程序需要针对云模式进行调整,以便对云服务的采用做好准备。和其他的技术一样,我们看 到一些早期用户通过带头部署私有云或者在公用云中试验一些非关键性的应用而逐步打消了人们对于云模式的不信任。

  企业和组织会询问很多问题,并权衡使用云计算解决方案的利与弊。安全性、可用性和可管理性都是需要考虑的因素。本文所说的是组织应该考虑的10个和安全相关的问题,回答这些问题有助于企业和组织能够对是否需要部署云作出决定,而且,如果需要部署的话,究竟应该采用哪种云模式——私有云、公用云还是混合云?

  1.云部署会如何改变企业的风险管理?

  部署云计算——无论是私有云还是公用云——都意味着你不再能够完全控制环境、数据或者人员。控制上的变化会带来风险管理上的变化——在某些情况下风险会增加,而在另一些情况下风险可能会降低。某些云应用对你来说会完全透明,而且能提供高级报表功能,并且能够与企业现有的系统进行集成。此类应用会降低企业的风险。而另外一些云应用或许无法改进其安全配置,无法与企业现有的安全措施相匹配,因此有可能使安全风险变大。总而言之,企业的数据及其敏感级别将会最终决定应采取哪类云模式才是合理的。

  2.需要做些什么才能确保现有的安全策略能够接纳云模式?

  向云模式的迁移是改进企业整体安全状况和安全策略的一个机会。云应用的早期用户将会发挥影响作用,帮助推动由云提供商实施的安全模式。企业不必为了云而去创 建新的安全策略,而是应该扩展现有的安全策略去容纳新增加的云平台。为了部署云而去修改安全策略,需要考虑的其实是一些和以前一样的因素:数据存放在哪儿,如何保护数据,谁能够访问数据,遵从哪些监管条例,以及服务等级协议等等。

  3.云部署会损害企业的法规遵从能力吗?

  云部署会改变企业的风险状况,因而可能会影响到企业适应各种法规遵从的能力。这就要求在合规性需要与云部署相关联时,需要重新评估合规性需要。有些云应用有很强的报表功能,可加以剪裁以适应特殊的合规性需要,而有些应用比较通用,不太可能或者不能适应详细的合规性需要。举例说,如果某个国家的法规规定,企业的数据不得存放在国境之外,然而有些云提供商由于其数据中心的位置有可能无法满足这一法规的规定。

  4. 云提供商是否在使用某种安全标准(SAML、WS-Trust、ISO或其他)?

  在云计算中,标准发挥着非常重要的作用,因为各种云服务之间的互操作性对于确保云不会陷入专利的安全孤岛来说是至关重要的。有不少的组织已经创建并扩展了支持云的各种标准倡议。Cloud-standards.Org列出了和云计算有关的大多数标准组织,其中也有和云安全标准相关的组织。

  5. 如果发生数据泄漏该如何处理?

  当企业在规划云安全时,必须要正确地制定好防止数据泄漏和数据损失的规划。这一点在企业与云服务提供商签署整体协议时是至关重要的一点。云提供商和企业双方都应该制定数据泄漏告知政策或者必须遵从的监管规则。企业必须敦促云提供商在一旦有需要时能够支持企业的告知需要。

  6. 在保障企业数据的安全时,谁是责任方?或者谁应被视为责任主体?

  在实际情况中,安全责任将是双方共担的。然而在公众舆论的法庭看来(至少今天是如此),是企业而不是云提供商负责收集数据,因此只有企业应被视为信息安全的最终责任人。如果企业与云提供商之间的协议签的滴水不漏,或许企业可以少负些责任,和云提供商责任共担,但是从企业客户的角度来看,企业仍然会被认为是最终责任人。

  7. 如何保证只有适当的数据存入云中?

  企业必须清楚哪些数据时敏感数据,依据数据和应用的关键与否来构建适当的安全模式,这对于了解哪些数据可以存入云中是非常重要的。这个过程应在考虑云部署之前很久就开始着手,因为这是良好的安全行为的关键部分。很多企业使用数据泄漏防范技术来分类和标记数据。

  8. 如何保证只有经过授权的员工、合作伙伴和客户才能访问数据与应用?

  身份管理和访问管理是早已存在的安全挑战,这种挑战在云部署中会被放大一些技术性功能,如联邦制、安全虚拟化系统和预配置等都在云安全中发挥着作用,就像它们在今天的IT平台上发挥的作用一样。扩展并补充企业的现有环境去支持云部署,将有助于解决这一问题。

  9. 如何托管企业的数据与应用,怎样的安全技术才是适当的?

  云提供商应当提供这方面的信息,因为它会直接影响到一个组织遵从法规的能力。透明是重要和必须的,因为这可以让企业基于对情况的了解而做出决策。

  10. 企业可通过哪些因素去了解和信任云提供商?

  在评估一家云提供商的信任等级时,有很多的因素可以考虑。这其中有很多因素和企业在考虑外包合同时所考虑的因素是相通的,比如:提供商及其服务是否成熟;合同的类别、SLA、漏洞程序和安全策略;提供商的业绩记录;是否具有前瞻性的战略等等。

  向一种新的计算平台的迁移绝非一件不加慎重考虑便能做决定的事情。对这些问题的答案是复杂的,通常还会引出更多的问题。本文也只是触及了再考虑云平台时的一些有关安全的浅层次问题而已。

  另外,企业还应当了解到,他们有能力去推动云中所用的安全技术的发展。应当明了,云的消费者可以、应该,并且会期待着他们负起安全责任来,从而使云成为一个真正能够节约成本,提高生产率的安全的平台。

时间: 2024-09-20 11:37:11

云安全:在进入云之前必须所了解的10个问题的相关文章

金融安全资讯精选 2017年第八期:Equifax数据泄露事件本周五个进展,企业用户如何使用SOC 2 报告来评估CSP安全性,Alert Logic发布云安全报告:云上发生安全事件数更少

   [金融安全动态] Equifax数据泄露事件本周五个进展.点击查看原文 点评:上周我们提到,Equifax泄露的信息包括用户社会安全码.驾照信息.生日信息.信用卡数据等.据SEC(U.S. Securities and Exchange Commission)的文件,三位Euifax董事已经售出了"一小部分"所持股票.和Equifax可能受到的处罚(链接).   从上周三到今天,Equifax事件有5个新披露的进展.   首先,CIO辞职.Equifax首席安全官员Susan M

从云安全到安全云 途隆云10年攻防练就“抗打”本领

2017年中"暗云"风暴肆虐,根据途隆云监测,单点DDoS攻击最高达到901G.这是一个标志性事件,意味着大流量DDoS攻击已经来临,并且有成为流量攻击的普遍趋势,且这种攻击是针对单点的. 这代表着流量攻击越来越大的同时,攻击手法也在升级,原来黑客只针对域名攻击,云防护系统通常也会对域名进行流量分担.后来黑客选择针对单点IP攻击,一个IP的攻击达到数百G,直至将IP"打死",然后再对域名下的其他IP进行逐一攻击,最终将整个域名拖垮.这时基于域名指向的云防系统的多点流

云安全非100% 云用户数据安保举措

云计算是2011的IT宠儿,搭载云的产品也层出不穷.服务器也不例外,于是云服务器随之热火,其上的云数据中心议论纷纷;接受"云服务"用户更是络绎不绝.凭什么"云"走在潮流前线呢?便捷.灵活.定制化.低功耗.低成本.高容量--理由可谓数不尽.然而,云落地为用户服务的结果如何?是值得深思的问题.用户接受"云服务"就可以高枕无忧吗?请大家一起回忆一些定格的2011云服务器宕机历史瞬间. ★ 2011年3月,最早提出云计算服务的谷歌爆发大规模用户数据泄露事

云安全:进入云之前必须弄清的10个问题(1)

围绕云计算的喧嚣可能会让你以为,明天就会发生大规模采纳云计算的事情.然而,来自多方面的研究已经表明,安全是阻碍大规模采纳云计算的最大障碍.现实的情况是,云计算 不过是沿着主机.客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已, 所以它也和其他所有阶段一样,都有它自己的安全问题.当然,对安全的担忧并不能阻止对这些技术的使用,也不能阻止对于能够解决实际业务需求的云应用的采纳.为了确保云是安全的,需要将其作为技术的下一步进化来对待,而不是将其视为一次需要彻底改变安全模式的革命.安全的策略

趋势科技云安全3.0 – 云安全,安全云

趋势科技云安全3.0 – 云安全,安全云为各种云计算平台.企业数据中心.应用服务系统提供全面保护 随着信息技术发展,近几年各种类型的云计算和云服务平台越来越多地出现在人们的视野,比如邮件.搜索.地图.在线交易.社交网站等等.由于它们本身所具备的便利性.可扩充性.节约等各种优点,这些云计算和云服务正在越来越广泛地被人们所采用. 但与此同时这些"云"也开始成为黑客或各种恶意组织和个人为某种利益而攻击的目标.比如利用大规模僵尸网络进行的拒绝服务攻击(DDoS).利用操作系统或者应用服务协议漏

确保云安全 莫把云化成冰雹

什么是真正的云?现在云概念已经吵得火热,到处都在引用云,甚至出现云社区.云旅游等等新鲜词语,是不是各个行业都跟云能沾上边呢?云计算到处是,有什么区别呢?是不是大的计算中心堆在一起就够了呢?这值得我们思考. 中 国科学院软件研究所首席研究员卿斯汉先生,引用微软比尔盖茨接班人­--微软的首席研究与战略官雷·奥兹的话:云计算必须在互联网这个级别上解决一些用单 机或者是少数计算能力不能解决的一些问题,包括服务器.虚拟机.应用等等,整体总和而成的云架构.当然要想把云计算运用到企业,首先要肯定的是对企业有

云安全:安全云备份部署用例分析

安全云备份受到越来越多人的关注,因为它可以让企业在部署异地备份的同时,将成本控制在最低水平.在本文中,我们将分析一个安全云备份的具体用例,文章中我们所描述的系统由这些部分组成:企业内部复制服务器.Porticor Cloud Security以及Amazon S3作为最终备份目的地. 安全云备份:业务需要 在这个用例中,企业正苦苦挣扎于效率低下且成本高昂的异地备份基础设施中,这个基础设施需要管理日益扩大的数据库.异地服务器场的操作和维护成本非常高,而磁带和恢复方法非常耗时间.此外,该公司在数据的

云安全:进入云之前必须弄清的十个问题

围绕云计算的喧嚣可能会让你以为,明天就会发生大规模采纳云计算的事情.然而,来自多方面的研究已经表明,云安全是阻碍大规模采纳云计算的最大障碍.现实的情况是,云计算不过是沿着主机.客户机/服务器和Web应用等http://www.aliyun.com/zixun/aggregation/6324.html">技术演变路径自然而然的又一阶段而已,所以它也和其他所有阶段一样,都有它自己的安全问题. 当然,对安全的担忧并不能阻止对这些技术的使用,也不能阻止对于能够解决实际业务需求的云应用的采纳.为了

信云管家.云安全携手世界云服务商AWS

2014 AWS中国技术峰会于12月12日在北京国际饭店举办,亚信作为AWS中国地区的首批生态链合作伙伴参加了此次峰会,并首次展出了基于AWS平台开发的SaaS云管家产品服务以及领先的云安全产品. 2014年开始,亚信携手AWS,双方已经在业务.人才培养等层面进行了诸多深入合作的探讨.亚信集团执行董事长田溯宁指出:以"云"代表的新的信息革命使我们知识变得更优秀强大.未来谁善于利用云计算和大数据,谁就掌握未来最具有创新能力最有颠覆能力的新的生产力,这样的创业刚刚开始.对于世界领先的云服务

Ribose成为全球首家获多等级云安全认证的云服务供应商

MTCS 是一项崭新的云服务安全标准(新加坡标准 SS 584:2013),也是全球首个多等级的云安全标准,由新加坡资讯通信发展管理局 (IDA) 发起.信息技术标准委员会 (ITSC) 制定,对云服务供应商提出了严格的安全和运营要求,鼓励采取健全的风险管理和安全实践.其安全认证分为三个等级,其中三级最高. MTCS 标准认证机构 BSI(英国标准协会)为Ribose进行了全面评估,推荐并授予了全球首个MTCS认证 -- Ribose 的一级 MTCS 认证. 新加坡资讯通信发展管理局助理局长孔