选择外部数据中心:云安全十问

迁移到云上需要在合同方面与供应商仔细商谈。以前,一般是由网络团队来完全控制云环境;然而,迁移到云上要求组织机构放弃一些控制权,并且转交给云提供商。这种转变要求网络人员的思维方式向前发展,不要只停留在数据包处理上,这样才能真正把握云计算。企业必须考虑各种潜在的威胁,然后才能迁移到云模型上。在这个方面,云提供商应该在合同上写明会提供你所要求的安全级别。下面是10个应该注意的云安全问题:

企业必须考虑各种潜在的威胁,然后才能迁移到云模型上。在这个方面,云提供商应该在合同上写明会提供你所要求的安全级别。下面是10个应该注意的云安全问题:

谁有访问权限?

访问控制确实是一个问题。云身份认证是如何管理的?内部人员攻击是一种持续威胁。任何获得云平台访问权限的人都有可能成为潜在的问题。举一个例子:有一名员工可能离职或被辞退,结果他或她是唯一有访问密码的人。或者说,或许这一名员工是唯一一位负责给云提供商支付费用的人。你必须知道谁有访问权限,他或她是如何交接工作的,以及访问权限是如何中止的?

你有哪些法规要求?

美国、加拿大或欧盟国家的企业都必须遵守各种法规要求,其中包括ISO/IEC27002、EU-U.S.Privacy Shield Framework(欧美隐私保护框架)、ITInfrastructure Library(IT基础架构库)和COBIT.你需要确定一个双方均认可的框架,如ISO27001.此外,你还必须保证云提供商能够满足这些规定的要求,并且愿意接受认证、鉴定和审查。

你是否有审计权限?

这个问题并不是小问题,相反是其中一个最重要的云安全问题。云提供商可能同意在书面上遵守一个审计标准,如SSAE16.但是,对于审计人员和评估人员而言,想要评估云计算是否符合法规要求,已经被证明是一件越来越难完成和验证的工作。在IT要面对的诸多法规中,几乎没有专门针对云计算的。审计人员和评估人员可能还不熟悉云计算,也不熟悉某个特定的云服务。

云提供商给员工提供了哪一些培训?

这确实是一个非常值得注意的问题,因为人们在安全面前总是弱势群体。了解云提供商给员工提供了哪些培训,是一项要认真审查的重要项目。大多数攻击都同时包含技术因素和社会因素。提供商应该采用措施处理各种来源的社会工程攻击,包括电子邮件、恶意链接、电话及其他方式,它们都应该在出现在培训和认知项目中。

提供商使用了哪一种数据分类系统?

这个方面要关心的问题包括用于分类数据的标准,以及提供商是否支持这些标准。令牌技术现在越来越多地替代加密手段,它有助于保证企业符合各种法规要求,如Health Insurance Portability and Accountability Act(医疗保障可移植性和可审计性法案)、Payment Card Industry Data Security Standard(支付卡行业数据安全标准)、Gramm-Leach-Bliley Act(美国金融服务法案)和欧洲数据保持法规等。

是否使用了加密手段?

加密手段也应该在考虑范围内。原始数据是否允许离开企业,或者它们应该留在内部,才能符合法规要求?数据在静止和/或移动过程中,是否会使用加密措施?此外,你还应该了解其中所使用的加密类型。例如,DES和AES就有一些重要差别。另外,要保证自己知道是谁在维护密钥,然后再签合约。加密手段一定要出现在云安全问题清单中。

你的数据与其他人的数据是如何分隔的?

数据位于一台共享服务器还是一个专用系统中?如果使用一个专用服务器,则意味着服务器上只有你的信息。如果在一台共享服务器上,则磁盘空间、处理能力、带宽等资源都是有限的,因为还有其他人一起共享这个设备。你需要确定自己是需要私有云还是公有云,以及谁在托管服务器。如果是共享服务器,那么数据就有可能和其他数据混在一起。

提供商的长期可用性体现有什么保障?

云提供商开展这个业务有多长时间了?它过往的业务表现如何?如果它在这个业务上出现问题,你的数据会面临什么问题?你的数据是否会以原始格式交回给你?

如果出现安全漏洞会有什么应对措施?

如果发生了安全事故,你可以从云提供商获得哪些支持?虽然许多提供商都宣称自己的服务是万无一失的,但是基于云的服务是极其容易受到黑客攻击的。侧向通道、会话劫持、跨站脚本和分布式拒绝服务等攻击都是云数据经常遇到的攻击方式。

灾难恢复和业务持续计划是什么?

虽然你可能不知道服务的物理位置,但是它们最终都位于某一个物理位置。所有物理位置都会面临火灾、风暴、自然灾害和断电等威胁。如果出现这些意外事件,云提供商将有什么的响应措施,他们将如何保证自己承诺的不间断服务?

根据思科的预测,未来三年有80%以上的数据中心流量将来自云服务。这意味着,即使你现在还没有做好云迁移,那么到2020年前你也会这样做的。所以,要用这一段时间保证自己采用正确的迁移方法。要提前定义合同要求,然后不能只是复制原来用于本地环境的安全策略。相反,要从迁移的角度去改进它。

作者:佚名

来源:51CTO

时间: 2024-09-29 03:36:26

选择外部数据中心:云安全十问的相关文章

企业级大数据备份:十问重复数据删除技术

仅仅在几年以前,重复数据删除还是一个独立的功能,重复数据删除为企业备份和归档部门的存储系统提供另一种选择.同时也在云端网关找到了新的用途,当数据进入阵列或虚拟磁带库之前过滤掉不必要的数据块.现在,它已经成为统一计算系统预先集成的功能.而了解如何更有效的使用这项技术成为一种需求.于此同时IT经理应该重新审视存储问题并询问为其提供存储的供应商. 1. 重复数据删除技术对备份性能将产生什么影响? 对于业务成倍增长的大型企业来说高性能是至关重要的.同时企业还需在有限的备份环境内确保海量数据备份环境的安全

考虑采用超融合数据中心的十大理由

目前,采用超融合数据中心似乎在企业中风靡一时.但并非所有企业都在采用,除非有这10大理由满足其需求.超融合的数据中心为传统的服务器.存储阵列和网络设置和运行提供了许多好处. 企业的业务依靠IT创新来满足他们的战略目标,可能会导致一个稳定新需求,而这对现有的数据中心资源拓展有所限制,当考虑对数据中心管理者需求的动态特性时,其面临的挑战变得更加明显.而超融合.计算和存储的本地安装.采用虚拟化和管理软件.网络化节点无处不在,其技术与产品迅速成熟,以满足企业管理者对规模和管理的需求. IT企业选择一个超

选择可靠的数据中心供应商的七大关键成功因素

今天,在各个行业都有越来越多具有前瞻性的公司都在寻求可靠的数据中心服务. 随着企业组织努力寻求降低成本,集中信息技术(IT)资源,扩展其服务覆盖面以满足全球市场的需求,他们迫切需要将其服务器存储在安全.放心和良好连接的环境中. 一家可靠的数据中心供应商能够提供企业客户所需的电源和冷却,确保服务器持续的正常运行,24/7全天侯的正常连接,以确保企业客户的应用程序和数据能够随时为所需要的用户提供,并同时提供多层的安全保障,以确保关键型任务数据的安全性. 但并不是所有的数据中心在其安全性方面都是一样的

2015年推动数据中心领域变革的十大趋势

近日召开的加特纳集团IT运营战略和解决方案峰会上,分析师DavidJ.Cappuccio概述了有望在明年及之后影响数据中心的十大IT趋势. 数据中心技术正以惊人的速度不断涌现和不断变化.只要想想像虚拟化这样的新兴概念如何在短短几年内变成一项必不可少的基础设施技术,或者想想固态硬盘在高性能存储缓存和虚拟存储区域网(SAN)部署环境中扮演越来越广泛的角色. IT专业人员需要密切关注新动向,并考虑那些产品或项目给数据中心以及公司业务可能带来的影响.在近日召开的加特纳集团IT运营战略和解决方案峰会上,分

数据中心领域最热门的十大技能

在经济低迷时期,IT部门的员工拥有哪些技能才能"立于不败之地"呢?今天,企业的数据中心已经成为企业的关注中心.如果您向投身与数据中心相关的技术与管理领域,有一些技能是必须拥有的.日前,美国<Network World>列出了数据中心领域十大热门技能.随着向新一代数据中心转型步伐的加快,这些技能将成为IT专业人士职场生涯的必需品. 1.虚拟化 作为一种先进的IT基础设施的基础技术,虚拟化技能的重要性不言而喻.今天,熟练掌握虚拟化技术的人在工作选择上拥有很大的空间.这样的情况将

怎样选择适合的数据中心架构

在不同类型数据中心的应用和结构体系上,面临着不同的挑战,所选择的数据中心架构也不尽相同.而选择这些标准的差异,是根据数据中心的发展规模,日益增加的业务需求以及用户的要求来确定的. 不同的数据中心架构当前支持特定商业模式的数据中心架构有三种,分别对应自己的业务目标,这是三个完全不同的数据中心架构:企业数据中心托管数据中心或IaaS门户网站或Web 2.0数据中心当然还会有其他因素导致数据中心的不同,这些因素包括:流量是主要停留在数据中心内部(东西向),还是主要导向客户(南北向),又或者是两者综合处

企业选择数据中心的五个重要因素

企业选择合适的数据中心,是企业重大事项的决策之一.一个合适的数据中心选择将会对业务的运行产生极其重大的影响.本文整理出下面的五个方面的考虑因素,相信可以帮助到一个企业明智地选择数据中心. 1. 可靠性因素 一旦企业发生计划外的数据中心停电事故所造成的损失代价或将会是极其惨痛的.那么即使仅仅一分钟的停机中断也会构成大问题. 所以,Tier IV级数据中心是最为强大的选择,较之Tiers I级至III级数据中心(Tier I数据中心是最简单的服务于小型企业的数据中心),Tier IV级数据中心也不容

企业选择数据中心的五大贴士

选择合适的数据中心可以,而且应该是您所在企业最为重大的决策之一.毕竟,您将就此充分信任另一处基础设施的安全性和可靠性,以保持您企业最重要的数据和关键任务信息的安全.这对于包括金融服务机构.政府机构.石油和天然气以及顶级电子商务公司在内的大型内容提供商而言尤其重要,合适的数据中心选择对这些机构组织的业务的健康良性运行将会产生及其重大的影响.而为了让您有信心,并充分了解这其中所涉及到的相关知识,进而为您企业的业务做出重要决定,借鉴和参考本文如下所介绍的五个方面的考虑因素,相信可以帮助到您企业明智地选

成功选择数据中心的五大属性

当人们购买一台新电脑时可能会有一些压力,但这很可能不是一个对其生活产生长期影响的决定,然而,购买一个新的数据中心时,通常需要进行深入的研究和战略选择. 同样,投资于IT基础设施需要仔细考虑.规划和研究,以确保做出正确的选择.企业选择一个数据中心提供全面的解决方案,满足其业务势在必行,提供无与伦比的客户服务,并在先进的网络中加强传统的托管产品,提供与云计算相混合的网络托管解决方案. 在做出选择之前一定要记往,成功的数据中心将保持以下五个特点: (1)空间和容量规划的效率 最好的数据中心的设计是达到