支招:改善企业云计算安全的六个步骤

作为云计算的消费者,企业能够做许多事情改善云计算安全。事实上,当涉及到保护云计算中的企业信息安全的时候,这确实是企业的职责。如果发生安全突破事件,企业要承担责任,至少在目前是如此。

  企业--云计算消费者--必须努力改善云计算的安全。大多数围绕云计算安全的讨论都把重点放在云计算提供商应该做什么。数据和应用程序服务在提供商那里。但是,企业需要记住他们承担很大的、在某种情况下要承担最大的云计算安全的责任。企业必须永远不要忘记如果发生安全突破他们将面临大多数的指责。企业毕竟是收集数据的实体。

  云计算安全最好被看作是云计算提供商和企业之间共同的责任。两者之间的界限现在有一点模糊。这个界限直接取决于应用的云计算模式的类型,其范围包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。

  在这个范围的一端,SaaS接近于一个安全黑箱,应用程序安全活动对于企业来说基本上是看不见的。在这个范围的另一端是IaaS,企业在这里主要负责应用程序、数据和其它水平的基础设施栈的安全。

  企业应该做什么来改善在一种云计算模式中的安全并且准备收获这种云计算的大多数好处呢?下面是要采取的六个步骤:

  第一个步骤:了解你现有的内部的专有云计算以及你围绕这些简历的安全系统和流程

  是的。你已经拥有内部云计算。在过去的10年里,中型和大型企业已经建立了内部云计算,尽管他们没有把这些叫做云计算。这些内部云计算经常被称作共享的服务,如身份识别服务、配置服务、数据库服务或者企业数据中心(在相当标准化的硬件和操作系统上托管的)。

  第二个步骤:评估你的许多由IT实现的业务流程的风险和重要性

  虽然迁移到云计算实现的节省成本的潜在回报是比较容易计算的,但是,没有第一手了解这个等式的风险方面,人们不可能进行“风险与回报”的计算。云计算提供商不能为企业进行这种分析,因为这完全取决于业务流程的业务环境。成本相对高的低级服务级协议应用程序显然是云计算的首选。作为这个风险评估的努力的一部分,好需要考虑潜在的管理法规影响,因为有些数据和服务按照管理部门的规定不允许迁移到站点以外的地方,州以外的地方或者国家以外的地方。

  第三步:研究不同的云计算模式和类型

  企业需要研究不同的云计算模式(公共的、专有的、混合的)以及不同的云计算类型(SaaS、PaaS和IaaS),因为它们的区别与安全控制和责任有直接的关系。

  所有的企业对于在自己的机构环境中的这项云计算方法以及自己的业务风险预测有一个意见和政策。

  支持这个问题和云计算的其它安全意义的一个好的信息来源可以在欧洲网络与信息安全局(ENISA)刊物最近发表的“云计算:好处、风险和信息安全建议”这篇文章中找到。法律机构在这里也扮演一个重要的角色。法律责任是这种分析的一个重要部分。

  第四个步骤:把你的SOA设计和安全原则应用到云计算

  大都数机构许多年以来一直在自己的应用程序开发机构中使用SOA原则。云计算不是SOA的大规模扩展吗?云计算只是面向服务采取了下一个合乎逻辑的步骤。高度分布式的安全实施的SOA安全原则与集中的安全政策管理和决策结合在一起直接应用到云计算。当你把重点从SOA转移到云计算的时候,不需要重新发明任何事情。就把这些原则转移过去就行。

  第五个步骤:像云计算提供商一样思考

  虽然大多数企业开始把自己作为云计算消费者,但是, 不要忘记你的机构也是这个价值链的一部分:你向你的客户和合作伙伴提供服务。如果你能够实现风险/回报的平衡,让你有利地消费云计算服务,为什么不采用同样的思维方式把自己当作进入你的生态系统中的云计算提供商呢?这将有助于你的机构更好地理解在云计算提供商中正在发生什么事情。

  第六个步骤:熟悉你自己并且开始使用Web安全标准

  Web安全行业很长时间以来一直研究保护和管理跨域系统。这项工作已经产生了许多有意义的已经在使用(或者应该使用)的保护云计算的安全标准。安全系统必须使用这些标准以便在连接到云计算的领域发挥作用。这些标准包括安全断言标记语言(SAML)、服务配置标记语言(SPML)、可扩展访问控制标记语言(XACML)和Web服务安全(WS-Security)。目前使用SAML鼓励企业统一浏览器进程的积极的话是:你已经扩展了你的云计算安全智商。

  企业改善云计算服务安全最重要的要求之一是要保证安全专业人员被看作是云计算的合理的倡导者,而不是反对者和怀疑者。适当平衡的、业务推动的技术可以成为风险/回报对话中的一个积极的力量并且帮助提高适合自己企业的云计算安全的可能性。

时间: 2024-11-10 13:27:31

支招:改善企业云计算安全的六个步骤的相关文章

瑞星支招:让企业网络远离ARP攻击

瑞星支招:让企业网络远离ARP攻击 近年来,很多中小型企业都经常会遭受这样的现象:网络时断时续,而且每隔几分钟就会断一次,但找宽带服务商又无法解决问题,让员工苦不堪言.经常性的断网,使得企业中那些需要进行网络沟通.传输文件的工作根本无法正常进行.同时,这还给企业带来了机密文件被盗的风险.    根据瑞星安全专家解释,其实这就是典型的ARP断网攻击.ARP攻击的主要表现形式就是网络瘫痪,即便马上进行修复,短时间内还会再度爆发.而经过瑞星反病毒实验室分析,ARP攻击多数来自于ARP病毒,这些病毒一般

专家急开四剂药方支招沪企业

2011年春节刚过,沪上各行业即出现"用工荒"现象. 作者 早报记者 李伟 用工荒成常态 专家急开"四剂药方"支招沪上企业 企业应加强对农民工技术培训:适当提高农民工的工资:从生活.精神等各方面关心农民工:利用为农民工规划职业发展等方法来留住人吸引人 去年年底,杭州市长板巷的一家家政服务部门口,张贴着"急聘保姆,薪水给力"的招牌,负责人杨长友正为年关保姆的供不应求而犯愁.相似的情景还发生在全国很多地方,上海年初和年末经常出现的"保姆荒&

专家支招解决云计算迫在眉睫的五大安全难题(1)

当企业不断加快云技术的落地步伐,采用基础设施即服务(IaaS)或软件即服务(SaaS)等新技术时, 它们 寻找解决方案在云架构当中实现安全访问和可靠操作的需求也日益凸显.目前看来,由于企业数据保存在不同的设备当中,这些设备是由不同的提供商或合作伙伴提供,因此企业必须监控和保护全 新的"安全边界". 同样,仔细权衡如何保护 基于云计算的数据也应该作为企业 整体安全策略的一部分纳入到企业的考虑范围.而保护应用免受分布式拒绝服务(DDoS)攻击的影响则是 最值得关注的事.498)this.w

发改委官员刘健钧支招企业设创投基金三步走

在VC/PE于中国发展的近几年历程中,实业企业集团资本背景的VC/PE的地位已经逐步凸显出来,成为这个领域中的重要力量之一.不过,该领域却很少被业界所重点关注.在日前召开的以产融结合为主题的某内部研讨会上,国家发改委财金司处长刘建钧表示,企业集团设立创业投资基金具有诸多优势,并具有重大的战略意义.他还为企业集团设立创投基金在设立步骤和治理结构设计上"支招". 目前,我国成立设立创投基金的实业集团不少.比如,联想集团旗下有联想投资,浙江万向集团旗下有通联创投,云南红塔集团旗下有红塔创投.

邓中翰支招企业走出去的四大瓶颈

邓中翰博士是"星光中国芯工程"总指挥.中星微电子公司创始人,董事局主席.首席科学家.邓中翰博士毕业于美国加州大学伯克利分校,获电子工程学博士.物理学硕士.经济管理学硕士学位,是该校建校130年来第一位横跨理.工.商三科的学生. 1999年邓中翰博士应邀回国,创建了中星微电子,负责"星光"系列数字多媒体芯片的研发和产业化工作.9年来,"星光"系列数字多媒体芯片实现了七大核心技术突破,截至2008年6月,共申请了1300多项国内外技术专利,实现了研发

RSA总裁亚瑟科维洛访华 为反击网络威胁支招

2009年6月12日,EMC信息安全事业部RSA全球总裁亚瑟•科维洛(Arthur W. Coviello)先生在北京举行记者见面会.作为全球信息安全的领袖人物,科维洛针对当前的经济发展环境.信息安全形势和企业安全行为提出了两个观点. 一是全社会协同作战,以应对网络犯罪分子日益强大的"生态链".协作的方式包括:共同制定行业标准.实现技术共享.在基础架构中直接技术集成和嵌入安全控制. 二是企业要安全先行.很多企业日益成长为"超级扩展型"企业,它们比以往任何时候,以更丰

企业云计算是有别于互联网云 应用是关键

云计算正在"误入歧途",炙手可热的云计算产业遭遇企业CIO的冷遇? 由互联网公司所引发的云计算热潮,实际上并没有回答企业信息化建设的实质问题,导致了云计算炒作成分较多且难以在企业落地.笔者认为,企业云计算是有别于互联网云的.基于互联网的云计算,其成功更多地取决于商业模式的创新.而企业云的落地与成功的真正核心在于企业的管理创新.IT治理,本质上是企业信息化建设的新模式. 何谓云计算 云计算这个全球关注度最高的IT词汇,业界对其有着不同的定义和阐述,但仁者见仁智者见智的表述依然令人们不知所

马云给岳云鹏的网店支招……透露小目标,要做“五个全球”

2004年,马云率先提出"网商"概念,并在杭州举办首届网商大会.至2012年,连续九届.时隔五年,2017,网商大会再次出发! 2017天下网商大会Made in Internet 马云:Made in Internet 7月11日,在阿里巴巴集团主办的2017天下网商大会上,马云透露了一个小目标:阿里要做到"五个全球",即全球买.全球卖,全球付.全球运.全球游.阿里巴巴想做五件事情,帮助中小企业.帮助年轻人.帮助女性,实现这"五个全球". &q

编程-我希望通过c++实现这样的功能,求大神支招

问题描述 我希望通过c++实现这样的功能,求大神支招 运行程序,然后我输入一个函数表达式,如f(x)=......, 然后我再输入一个数作为x的值,然后程序输出f(x)的值. 解决方案 就是表达式计算.解析表达式,求值.其中x就是当作一个常数. 数据结构课本中关于堆栈一章就有例子.不求算法本身,直接google,搜索表达式求值 C++也有代码. 解决方案二: 比较繁琐.需要先通过字符串操作把函数表达式解析正确,再计算输出结果 解决方案三: 看看数据结构上的栈那章,有详细解释 解决方案四: 这种程