迈克尔·佩尔蒂埃2014年11月13日|
当与企业谈论云计算时,它有很多好处,包括表面弹性、敏捷性和成本节约。但也出现了一些担忧,安全问题通常是最重要的。
尽管在云计算环境中质疑安全性并不是不合理的,但确保审查集中在正确的组件上是很重要的。人们需要知道他们存储在云中的重要信息是安全的,不会受到外界的伤害。
与购买任何软件或服务一样,应该有一个审查过程,以确定给定的云供应商是否满足组织的需求。关于安全性,实际上有几个方面需要评估和考虑。事实是这样的:根据组织的规模,数据中心的安全性很可能低于许多云提供商现有的安全性。
云安全要领
也就是说,不是所有的云提供商都是平等的。以下是确保云安全的一些最关键的重点领域:
卓越的设计和运作
安全性的总体设计和方法应该处于提供者操作的最前沿。安全应该是组织内持续改进的重点,而不是事后才考虑的问题。还应该通过深入防御方法和针对基础设施各层的攻击的内部模拟来普遍假定存在漏洞。
基础设施保护
无论是全天候监控设施的物理安全,监控和记录系统本身,还是监控入侵企图,都需要一套全面的监控服务。组织有责任在发生违约时通知其客户,而一个全面的监控解决方案使这成为可能。
网络保护
在云提供商内部应该有一个网络基础设施,允许您的本地资产安全地连接到您的云资产。同样,应该使用防火墙、分区的局域网和后端服务器与面向公众的服务器的物理隔离来阻止通向数据中心和数据中心内部的未经授权的通信。虚拟网络、加密通信和网络隔离是关键功能。
身份和访问
围绕用户、应用程序访问和安全的治理是云计算平台的关键组成部分。监视和记录访问、提供多因素身份验证以及与现有的本地目录基础设施进行单点登录集成的能力是成功云部署的重要组件。
数据保护
保护传输中的数据是我们已经习惯使用的方法。SSL在任何在线事务中都无处不在。也就是说,静止的数据呢?组织应该有能力加密存储在云服务器上的数据。此外,尽管大多数云服务是多租户的,但提供者应该在客户之间使用数据的逻辑隔离。最后,应该定义一个数据销毁实践,以便当组织停止使用某个云供应商的服务时,他们的数据在被重用之前会从资源中物理地删除/销毁。
隐私
在评估云供应商的安全性时,隐私是需要考虑的最重要因素之一。首先是合同。应该有非常具体的隐私声明,对保护客户数据做出强有力的承诺。对于一些客户来说,了解并控制数据的物理位置也很重要。最后,只有在支持客户时才能访问数据;默认情况下应该拒绝访问,并且应该只在受控和记录的活动的上下文中授予访问权。它当然不应该被用于广告和相关服务。
合规
最后,对遵从性的需求因组织而异,特定的行业通常在规定需要什么方面扮演关键角色。也就是说,服务提供商至少应该获得ISO 27001认证,并对SOC 1 Type 2和SOC 2 Type 2进行审核。其他相关的行业特定认证包括PCI-DSS、美国FedRAMP JAB、IL2、HIPAA和HITECH。
一个组织的云安全涉及很多方面,需要根据该组织的需求、风险承受能力和行业规则对其进行调整。事实证明,将某些工作负载转移到云上,而将其他工作负载留在本地的混合方法非常有效,它为组织提供了云计算的好处和风险之间的良好平衡。
