圍繞云計(jì)算的喧囂可能會(huì)讓你以為���,明天就會(huì)發(fā)生大規(guī)模采納云計(jì)算的事情。然而�,來自多方面的研究已經(jīng)表明,云安全是阻礙大規(guī)模采納云計(jì)算的最大障礙?���,F(xiàn)實(shí)的情況是,云計(jì)算不過是沿著主機(jī)���、客戶機(jī)/服務(wù)器和Web應(yīng)用等技術(shù)演變路徑自然而然的又一階段而已����,所以它也和其他所有階段一樣���,都有它自己的安全問題�����。
當(dāng)然�,對(duì)安全的擔(dān)憂并不能阻止對(duì)這些技術(shù)的使用����,也不能阻止對(duì)于能夠解決實(shí)際業(yè)務(wù)需求的云應(yīng)用的采納���。為了確保云是安全的,需要將其作為技術(shù)的下一步進(jìn)化來對(duì)待���,而不是將其視為一次需要徹底改變安全模式的革命。安全的策略和程序需要針對(duì)云模式進(jìn)行調(diào)整����,以便對(duì)云服務(wù)的采用做好準(zhǔn)備。和其他的技術(shù)一樣�����,我們看 到一些早期用戶通過帶頭部署私有云或者在公用云中試驗(yàn)一些非關(guān)鍵性的應(yīng)用而逐步打消了人們對(duì)于云模式的不信任����。
企業(yè)和組織會(huì)詢問很多問題,并權(quán)衡使用云計(jì)算解決方案的利與弊�。安全性、可用性和可管理性都是需要考慮的因素���。本文所說的是組織應(yīng)該考慮的10個(gè)和安全相關(guān)的問題�,回答這些問題有助于企業(yè)和組織能夠?qū)κ欠裥枰渴鹪谱鞒鰶Q定,而且�,如果需要部署的話,究竟應(yīng)該采用哪種云模式——私有云���、公用云還是混合云����?
1.云部署會(huì)如何改變企業(yè)的風(fēng)險(xiǎn)管理�����?
部署云計(jì)算——無論是私有云還是公用云——都意味著你不再能夠完全控制環(huán)境����、數(shù)據(jù)或者人員?����?刂粕系淖兓瘯?huì)帶來風(fēng)險(xiǎn)管理上的變化——在某些情況下風(fēng)險(xiǎn)會(huì)增加�����,而在另一些情況下風(fēng)險(xiǎn)可能會(huì)降低。某些云應(yīng)用對(duì)你來說會(huì)完全透明�����,而且能提供高級(jí)報(bào)表功能�����,并且能夠與企業(yè)現(xiàn)有的系統(tǒng)進(jìn)行集成�。此類應(yīng)用會(huì)降低企業(yè)的風(fēng)險(xiǎn)。而另外一些云應(yīng)用或許無法改進(jìn)其安全配置����,無法與企業(yè)現(xiàn)有的安全措施相匹配����,因此有可能使安全風(fēng)險(xiǎn)變大?��?偠灾?��,企業(yè)的數(shù)據(jù)及其敏感級(jí)別將會(huì)最終決定應(yīng)采取哪類云模式才是合理的。
2.需要做些什么才能確?���,F(xiàn)有的安全策略能夠接納云模式�����?
向云模式的遷移是改進(jìn)企業(yè)整體安全狀況和安全策略的一個(gè)機(jī)會(huì)����。云應(yīng)用的早期用戶將會(huì)發(fā)揮影響作用�����,幫助推動(dòng)由云提供商實(shí)施的安全模式�����。企業(yè)不必為了云而去創(chuàng) 建新的安全策略�,而是應(yīng)該擴(kuò)展現(xiàn)有的安全策略去容納新增加的云平臺(tái)。為了部署云而去修改安全策略�,需要考慮的其實(shí)是一些和以前一樣的因素:數(shù)據(jù)存放在哪兒,如何保護(hù)數(shù)據(jù)�,誰能夠訪問數(shù)據(jù),遵從哪些監(jiān)管條例����,以及服務(wù)等級(jí)協(xié)議等等。
3.云部署會(huì)損害企業(yè)的法規(guī)遵從能力嗎?
云部署會(huì)改變企業(yè)的風(fēng)險(xiǎn)狀況����,因而可能會(huì)影響到企業(yè)適應(yīng)各種法規(guī)遵從的能力。這就要求在合規(guī)性需要與云部署相關(guān)聯(lián)時(shí)���,需要重新評(píng)估合規(guī)性需要���。有些云應(yīng)用有很強(qiáng)的報(bào)表功能,可加以剪裁以適應(yīng)特殊的合規(guī)性需要�,而有些應(yīng)用比較通用,不太可能或者不能適應(yīng)詳細(xì)的合規(guī)性需要����。舉例說,如果某個(gè)國(guó)家的法規(guī)規(guī)定�,企業(yè)的數(shù)據(jù)不得存放在國(guó)境之外�����,然而有些云提供商由于其數(shù)據(jù)中心的位置有可能無法滿足這一法規(guī)的規(guī)定���。
4. 云提供商是否在使用某種安全標(biāo)準(zhǔn)(SAML����、WS-Trust、ISO或其他)���?
在云計(jì)算中���,標(biāo)準(zhǔn)發(fā)揮著非常重要的作用,因?yàn)楦鞣N云服務(wù)之間的互操作性對(duì)于確保云不會(huì)陷入專利的安全孤島來說是至關(guān)重要的�。有不少的組織已經(jīng)創(chuàng)建并擴(kuò)展了支持云的各種標(biāo)準(zhǔn)倡議。Cloud-standards.Org列出了和云計(jì)算有關(guān)的大多數(shù)標(biāo)準(zhǔn)組織���,其中也有和云安全標(biāo)準(zhǔn)相關(guān)的組織����。
5. 如果發(fā)生數(shù)據(jù)泄漏該如何處理����?
當(dāng)企業(yè)在規(guī)劃云安全時(shí),必須要正確地制定好防止數(shù)據(jù)泄漏和數(shù)據(jù)損失的規(guī)劃���。這一點(diǎn)在企業(yè)與云服務(wù)提供商簽署整體協(xié)議時(shí)是至關(guān)重要的一點(diǎn)���。云提供商和企業(yè)雙方都應(yīng)該制定數(shù)據(jù)泄漏告知政策或者必須遵從的監(jiān)管規(guī)則�。企業(yè)必須敦促云提供商在一旦有需要時(shí)能夠支持企業(yè)的告知需要�。
來源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
