云計(jì)算的誤區(qū)與現(xiàn)實(shí)

責(zé)任編輯:cres

作者:Ben Rossi 譯者:HERO

2017-11-23 11:13:12

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

當(dāng)人們審視云計(jì)算和虛擬化環(huán)境中的合規(guī)性問題的誤區(qū)和現(xiàn)實(shí)時(shí),人們必須處理和解決安全問題。事實(shí)上,云計(jì)算是一個(gè)非常適合數(shù)據(jù)保護(hù)的環(huán)境,并有適當(dāng)?shù)谋Wo(hù)措施。人們也必須糾正監(jiān)管機(jī)構(gòu)反對(duì)應(yīng)用云計(jì)算的錯(cuò)誤觀點(diǎn)。

在云計(jì)算領(lǐng)域,圍繞安全性和合規(guī)性的仍然存在許多誤區(qū)。那么現(xiàn)實(shí)是什么?
 
當(dāng)黑客襲擊美國三大信貸機(jī)構(gòu)之一Equifax公司的系統(tǒng)時(shí),他們盜取了1.43億人的個(gè)人數(shù)據(jù)資料,這意味接近美國人口一半的公眾數(shù)據(jù)泄露。
 
Equifax公司的幾位高管辭職,但其嚴(yán)重的后果依然存在。其IT團(tuán)隊(duì)沒有更新和修補(bǔ)Apache Struts,Struts是用來驅(qū)動(dòng)一個(gè)允許個(gè)人爭議機(jī)構(gòu)記錄的系統(tǒng),由于沒有進(jìn)行適當(dāng)?shù)母?,它就成為攻擊者獲得完整訪問權(quán)限的開放窗口。
 
當(dāng)人們審視云計(jì)算和虛擬化環(huán)境中的合規(guī)性問題的誤區(qū)和現(xiàn)實(shí)時(shí),人們必須處理和解決安全問題。事實(shí)上,云計(jì)算是一個(gè)非常適合數(shù)據(jù)保護(hù)的環(huán)境,并有適當(dāng)?shù)谋Wo(hù)措施。人們也必須糾正監(jiān)管機(jī)構(gòu)反對(duì)應(yīng)用云計(jì)算的錯(cuò)誤觀點(diǎn)。
 
誤區(qū)1:企業(yè)的數(shù)據(jù)中心在安全方面勝過云計(jì)算
 
這里有一些重量級(jí)人物對(duì)于這個(gè)話題的思考:“紐約時(shí)報(bào)”科技編輯Quentin Hardy指出,與傳統(tǒng)數(shù)據(jù)中心環(huán)境中存儲(chǔ)的數(shù)據(jù)相比,云端的數(shù)據(jù)可能受到更高程度的安全保護(hù)。Hardy指出,一些全球最具技能和經(jīng)驗(yàn)的計(jì)算機(jī)科學(xué)家正在努力使這些云系統(tǒng)變得堅(jiān)不可摧。
 
在行業(yè)媒體關(guān)于云安全性的觀點(diǎn)中,David Linthicum對(duì)有些人認(rèn)為云計(jì)算沒有適當(dāng)機(jī)制來創(chuàng)建真正安全或合規(guī)的環(huán)境進(jìn)行了分析。 Linthicum認(rèn)為人們應(yīng)該對(duì)自己數(shù)據(jù)中心的服務(wù)器上的任何數(shù)據(jù)都要更加謹(jǐn)慎。通過他對(duì)傳統(tǒng)和云生態(tài)系統(tǒng)的評(píng)估表明,云計(jì)算比本地?cái)?shù)據(jù)中心具有更好的安全性。
 
調(diào)研機(jī)構(gòu)Gartner的報(bào)告對(duì)那些不相信云計(jì)算的人來說可能是最具顛覆性的消息。
 
Linthicum說:“主要云提供商的安全狀態(tài)與大多數(shù)企業(yè)數(shù)據(jù)中心一樣好或者更好,安全因素不應(yīng)該被認(rèn)為是采用公共云服務(wù)的主要阻礙。”
 
換句話說,云計(jì)算是一個(gè)最強(qiáng)大、最尖端的可靠工具,比傳統(tǒng)的數(shù)據(jù)中心更具合規(guī)性。分析人士預(yù)計(jì),到2020年,基礎(chǔ)設(shè)施即服務(wù)系統(tǒng)所遭受的違規(guī)數(shù)量將比傳統(tǒng)數(shù)據(jù)中心環(huán)境至少低60%。
 
誤區(qū)2:監(jiān)管者機(jī)構(gòu)討厭云計(jì)算
 
云計(jì)算的兩個(gè)標(biāo)準(zhǔn)組織和美國聯(lián)邦政府機(jī)構(gòu)越來越接受云計(jì)算的虛擬化設(shè)計(jì),并將其視為一種可行的技術(shù)形式。例如,PCI安全標(biāo)準(zhǔn)委員會(huì)已經(jīng)發(fā)布了云計(jì)算指南。
 
衛(wèi)生和人類服務(wù)部(HHS)發(fā)布了HIPAA和云計(jì)算指南,而這與繼承或處理電子保護(hù)健康信息(ePHI)的醫(yī)療機(jī)構(gòu)和繼承人服務(wù)合作伙伴有關(guān)。這些參數(shù)特別令人感興趣,因?yàn)樗鼈儽硎臼且环N接受,在正確的保護(hù)措施到位的情況下,云計(jì)算可以符合聯(lián)邦法律嚴(yán)格的隱私和安全要求。
 
誤區(qū)3:遵從云計(jì)算并不需要企業(yè)承擔(dān)責(zé)任
 
合規(guī)性仍然是云計(jì)算服務(wù)提供商和受監(jiān)管公司之間的雙重責(zé)任。 PCI指導(dǎo)原則規(guī)定:“客戶和云計(jì)算提供商應(yīng)就所有安全要求達(dá)成一致的政策和程序,并且應(yīng)明確界定和理解每項(xiàng)要求的操作,管理和報(bào)告責(zé)任。”這種語言類似于HHS下的商業(yè)伙伴協(xié)議(BAA)的概念。這些協(xié)議對(duì)理解和描述角色和職責(zé)至關(guān)重要。
 
誤區(qū)4:虛擬化是合規(guī)性的敵對(duì)者
 
云計(jì)算是虛擬機(jī),但是在傳統(tǒng)數(shù)據(jù)中心環(huán)境中創(chuàng)建的虛擬機(jī)呢?如果企業(yè)滿足虛擬環(huán)境的特定需求,則可以完全符合云計(jì)算要求,如“PCI DSS虛擬化指南”所述。
 
例如,重要的是要特別注意虛擬機(jī)管理程序,因?yàn)樘摂M化是一個(gè)獨(dú)特的攻擊面。企業(yè)還應(yīng)該注意將不同信任級(jí)別的虛擬機(jī)混合在一起,因?yàn)槿肭终呖梢允褂冒踩刂戚^弱的虛擬機(jī)來獲得敏感數(shù)據(jù)。而虛擬的環(huán)境可以滿足所有主要的標(biāo)準(zhǔn)和規(guī)定的需求,也可以滿足物理設(shè)置的需要。
 
誤區(qū)5:合規(guī)很容易
 
事實(shí)上合規(guī)是復(fù)雜的。仔細(xì)審查所有提供商以幫助企業(yè)保護(hù)合規(guī)數(shù)據(jù)這非常重要。確保適當(dāng)?shù)谋Wo(hù)措施到位,例如加密和備份,以及對(duì)流程、責(zé)任和問責(zé)制的清晰理解也是至關(guān)重要的。
 
云計(jì)算如今正在使用兼容設(shè)置來提高安全性,這與行業(yè)專家的觀點(diǎn)一致,認(rèn)為云計(jì)算技術(shù)適用于任何組織。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)