云計(jì)算部署應(yīng)關(guān)注十大安全問題

責(zé)任編輯:zsheng

2018-09-08 10:28:12

摘自:西部數(shù)碼

圍繞云計(jì)算的喧囂可能會(huì)讓你以為,明天就會(huì)發(fā)生大規(guī)模采納云計(jì)算的事情。然而,來自多方面的研究已經(jīng)表明,安全是阻礙大規(guī)模采納云計(jì)算的最大障礙?,F(xiàn)實(shí)的情況是,云計(jì)算不過是沿著主機(jī)、客戶機(jī) 服務(wù)器和Web應(yīng)用等技術(shù)演變路徑自然而然的又一階段而已,所以它也和其他所有階段一樣,都有它自己的安全問

圍繞云計(jì)算的喧囂可能會(huì)讓你以為,明天就會(huì)發(fā)生大規(guī)模采納云計(jì)算的事情。然而,來自多方面的研究已經(jīng)表明,安全是阻礙大規(guī)模采納云計(jì)算的最大障礙?,F(xiàn)實(shí)的情況是,云計(jì)算不過是沿著主機(jī)、客戶機(jī)/服務(wù)器和Web應(yīng)用等技術(shù)演變路徑自然而然的又一階段而已,所以它也和其他所有階段一樣,都有它自己的安全問題。

當(dāng)然,對(duì)安全的擔(dān)憂并不能阻止對(duì)這些技術(shù)的使用,也不能阻止對(duì)于能夠解決實(shí)際業(yè)務(wù)需求的云應(yīng)用的采納。為了確保云是安全的,需要將其作為技術(shù)的下一步進(jìn)化來對(duì)待,而不是將其視為一次需要徹底改變安全模式的革命。安全的策略和程序需要針對(duì)云模式進(jìn)行調(diào)整,以便對(duì)云服務(wù)的采用做好準(zhǔn)備。和其他的技術(shù)一樣,我們看到一些早期用戶通過帶頭部署私有云或者在公用云中試驗(yàn)一些非關(guān)鍵性的應(yīng)用而逐步打消了人們對(duì)于云模式的不信任。

企業(yè)和組織會(huì)詢問很多問題,并權(quán)衡使用云計(jì)算解決方案的利與弊。安全性、可用性和可管理性都是需要考慮的因素。本文所說的是組織應(yīng)該考慮的10個(gè)和安全相關(guān)的問題,回答這些問題有助于企業(yè)和組織能夠?qū)κ欠裥枰渴鹪谱鞒鰶Q定,而且,如果需要部署的話,究竟應(yīng)該采用哪種云模式——私有云、公用云還是混合云?

1.云部署會(huì)如何改變企業(yè)的風(fēng)險(xiǎn)管理?

部署云計(jì)算——無論是私有云還是公用云——都意味著你不再能夠完全控制環(huán)境、數(shù)據(jù)或者人員??刂粕系淖兓瘯?huì)帶來風(fēng)險(xiǎn)管理上的變化——在某些情況下風(fēng)險(xiǎn)會(huì)增加,而在另一些情況下風(fēng)險(xiǎn)可能會(huì)降低。某些云應(yīng)用對(duì)你來說會(huì)完全透明,而且能提供高級(jí)報(bào)表功能,并且能夠與企業(yè)現(xiàn)有的系統(tǒng)進(jìn)行集成。此類應(yīng)用會(huì)降低企業(yè)的風(fēng)險(xiǎn)。而另外一些云應(yīng)用或許無法改進(jìn)其安全配置,無法與企業(yè)現(xiàn)有的安全措施相匹配,因此有可能使安全風(fēng)險(xiǎn)變大??偠灾?,企業(yè)的數(shù)據(jù)及其敏感級(jí)別將會(huì)最終決定應(yīng)采取哪類云模式才是合理的。

2.需要做些什么才能確?,F(xiàn)有的安全策略能夠接納云模式?

向云模式的遷移是改進(jìn)企業(yè)整體安全狀況和安全策略的一個(gè)機(jī)會(huì)。云應(yīng)用的早期用戶將會(huì)發(fā)揮影響作用,幫助推動(dòng)由云提供商實(shí)施的安全模式。企業(yè)不必為了云而去創(chuàng) 建新的安全策略,而是應(yīng)該擴(kuò)展現(xiàn)有的安全策略去容納新增加的云平臺(tái)。為了部署云而去修改安全策略,需要考慮的其實(shí)是一些和以前一樣的因素:數(shù)據(jù)存放在哪兒,如何保護(hù)數(shù)據(jù),誰能夠訪問數(shù)據(jù),遵從哪些監(jiān)管條例,以及服務(wù)等級(jí)協(xié)議等等。

3.云部署會(huì)損害企業(yè)的法規(guī)遵從能力嗎?

云部署會(huì)改變企業(yè)的風(fēng)險(xiǎn)狀況,因而可能會(huì)影響到企業(yè)適應(yīng)各種法規(guī)遵從的能力。這就要求在合規(guī)性需要與云部署相關(guān)聯(lián)時(shí),需要重新評(píng)估合規(guī)性需要。有些云應(yīng)用有很強(qiáng)的報(bào)表功能,可加以剪裁以適應(yīng)特殊的合規(guī)性需要,而有些應(yīng)用比較通用,不太可能或者不能適應(yīng)詳細(xì)的合規(guī)性需要。舉例說,如果某個(gè)國(guó)家的法規(guī)規(guī)定,企業(yè)的數(shù)據(jù)不得存放在國(guó)境之外,然而有些云提供商由于其數(shù)據(jù)中心的位置有可能無法滿足這一法規(guī)的規(guī)定。

4. 云提供商是否在使用某種安全標(biāo)準(zhǔn)(SAML、WS-Trust、ISO或其他)?

在云計(jì)算中,標(biāo)準(zhǔn)發(fā)揮著非常重要的作用,因?yàn)楦鞣N云服務(wù)之間的互操作性對(duì)于確保云不會(huì)陷入專利的安全孤島來說是至關(guān)重要的。有不少的組織已經(jīng)創(chuàng)建并擴(kuò)展了支持云的各種標(biāo)準(zhǔn)倡議。Cloud-standards.Org列出了和云計(jì)算有關(guān)的大多數(shù)標(biāo)準(zhǔn)組織,其中也有和云安全標(biāo)準(zhǔn)相關(guān)的組織。

5. 如果發(fā)生數(shù)據(jù)泄漏該如何處理?

當(dāng)企業(yè)在規(guī)劃云安全時(shí),必須要正確地制定好防止數(shù)據(jù)泄漏和數(shù)據(jù)損失的規(guī)劃。這一點(diǎn)在企業(yè)與云服務(wù)提供商簽署整體協(xié)議時(shí)是至關(guān)重要的一點(diǎn)。云提供商和企業(yè)雙方都應(yīng)該制定數(shù)據(jù)泄漏告知政策或者必須遵從的監(jiān)管規(guī)則。企業(yè)必須敦促云提供商在一旦有需要時(shí)能夠支持企業(yè)的告知需要。

6. 在保障企業(yè)數(shù)據(jù)的安全時(shí),誰是責(zé)任方?或者誰應(yīng)被視為責(zé)任主體?

在實(shí)際情況中,安全責(zé)任將是雙方共擔(dān)的。然而在公眾輿論的法庭看來(至少今天是如此),是企業(yè)而不是云提供商負(fù)責(zé)收集數(shù)據(jù),因此只有企業(yè)應(yīng)被視為信息安全的最終責(zé)任人。如果企業(yè)與云提供商之間的協(xié)議簽的滴水不漏,或許企業(yè)可以少負(fù)些責(zé)任,和云提供商責(zé)任共擔(dān),但是從企業(yè)客戶的角度來看,企業(yè)仍然會(huì)被認(rèn)為是最終責(zé)任人。

7. 如何保證只有適當(dāng)?shù)臄?shù)據(jù)存入云中?

企業(yè)必須清楚哪些數(shù)據(jù)時(shí)敏感數(shù)據(jù),依據(jù)數(shù)據(jù)和應(yīng)用的關(guān)鍵與否來構(gòu)建適當(dāng)?shù)陌踩J?,這對(duì)于了解哪些數(shù)據(jù)可以存入云中是非常重要的。這個(gè)過程應(yīng)在考慮云部署之前很久就開始著手,因?yàn)檫@是良好的安全行為的關(guān)鍵部分。很多企業(yè)使用數(shù)據(jù)泄漏防范技術(shù)來分類和標(biāo)記數(shù)據(jù)。

8. 如何保證只有經(jīng)過授權(quán)的員工、合作伙伴和客戶才能訪問數(shù)據(jù)與應(yīng)用?

身份管理和訪問管理是早已存在的安全挑戰(zhàn),這種挑戰(zhàn)在云部署中會(huì)被放大一些技術(shù)性功能,如聯(lián)邦制、安全虛擬化系統(tǒng)和預(yù)配置等都在云安全中發(fā)揮著作用,就像它們?cè)诮裉斓腎T平臺(tái)上發(fā)揮的作用一樣。擴(kuò)展并補(bǔ)充企業(yè)的現(xiàn)有環(huán)境去支持云部署,將有助于解決這一問題。

9. 如何托管企業(yè)的數(shù)據(jù)與應(yīng)用,怎樣的安全技術(shù)才是適當(dāng)?shù)?

云提供商應(yīng)當(dāng)提供這方面的信息,因?yàn)樗鼤?huì)直接影響到一個(gè)組織遵從法規(guī)的能力。透明是重要和必須的,因?yàn)檫@可以讓企業(yè)基于對(duì)情況的了解而做出決策。

10. 企業(yè)可通過哪些因素去了解和信任云提供商?

在評(píng)估一家云提供商的信任等級(jí)時(shí),有很多的因素可以考慮。這其中有很多因素和企業(yè)在考慮外包合同時(shí)所考慮的因素是相通的,比如:提供商及其服務(wù)是否成熟;合同的類別,SLA、漏洞程序和安全策略;提供商的業(yè)績(jī)記錄;是否具有前瞻性的戰(zhàn)略等等。

向一種新的計(jì)算平臺(tái)的遷移絕非一件不加慎重考慮便能做決定的事情。對(duì)這些問題的答案是復(fù)雜的,通常還會(huì)引出更多的問題。本文也只是觸及了再考慮云平臺(tái)時(shí)的一些有關(guān)安全的淺層次問題而已。

另外,企業(yè)還應(yīng)當(dāng)了解到,他們有能力去推動(dòng)云中所用的安全技術(shù)的發(fā)展。應(yīng)當(dāng)明了,云的消費(fèi)者可以、應(yīng)該,并且會(huì)期待著他們負(fù)起安全責(zé)任來,從而使云成為一個(gè)真正能夠節(jié)約成本,提高生產(chǎn)率的安全的平臺(tái)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)