Gartner最近的一項研究預測了所有云領(lǐng)域的業(yè)務都將持續(xù)在兩位數(shù)的增長當中��。
但將關(guān)鍵功能外包給第三方還請用戶們重點關(guān)注一下安全問題���。當企業(yè)將IT業(yè)務運行在內(nèi)部時�����,則可以進行安全協(xié)議的定義與控制���。但當依靠云服務供應商時��,你又怎么能了解到安全協(xié)議存在哪里?并且它們是怎樣執(zhí)行的呢?
為了解決這些問題,云產(chǎn)業(yè)本身也在不斷演變與調(diào)整其架構(gòu)���。通過定義云的安全標準則是最佳的解決方法——在其行業(yè)范圍內(nèi)提供一個統(tǒng)一的標準��,使其成為云服務供應商公認的認證標準���。通過貫徹與廣泛采用這類標準,潛在的云客戶將使用評估工具對云服務提供商進行安全評估���。
但是���,很多業(yè)內(nèi)的云服務提供商還未采用統(tǒng)一的標準。他們采納了自己所認可的準則�����,現(xiàn)有的各種協(xié)議則致使了迷惑性引導的產(chǎn)生��。
云安全聯(lián)盟
規(guī)模最大且參與者眾多的安全標準機構(gòu)是CSA或稱作云安全聯(lián)盟Cloud Security Alliance。其中包括亞馬遜網(wǎng)絡服務公司����、微軟、甲骨文����、紅帽、RackSpace和Salesforce公司等還包括幾十個企業(yè)��,最有前景的云服務企業(yè)都支持CSA���。
CSA已經(jīng)開發(fā)出一個合規(guī)標準�����,被稱作為CCM或云控制矩陣Cloud Control Matrix��。該標準被整理到Excel電子表格當中���,CCM涉獵十多個云基礎(chǔ)設施領(lǐng)域,包括風險管理和安全信息等����。CCM已超越了其本身安全問題的范疇��,當中還包含了政府���、法律法規(guī)和硬件架構(gòu)等合規(guī)解決措施。
CCM闡述了數(shù)百條標準��。例如��,從類別“設施安全-安全區(qū)域授權(quán)”當中���,你可以找到如下控制規(guī)范:安全區(qū)域的入口和出口應受到限制,并監(jiān)視物理訪問控制機制以確保只有經(jīng)過授權(quán)的人員才可以進入���。
顯然�����,該標準講的是云服務供應商設施的物理安全問題����。但標準并不完全支配其實施的行動��。
針對客戶對云服務供應商的評估���,如果該廠商可以向你保證一個審計標準�����,并在提供符合在本例中CCM V1.3控制規(guī)范FS-04的情況下�����,這將遠遠優(yōu)于一無所知或是簡單地聽取供應商一面之詞的境況�����。
NIST����、IEEE和ENISA
這些標準機構(gòu)向全世界分享了一個有愛的名字,它們讀起來似乎是一輪拼字游戲���。他們也正在開發(fā)自己的準則���,其中也覆蓋到了云服務安全性的問題。
NIST����,美國國家標準與技術(shù)研究所����,該機構(gòu)在去年公布了其公共云計算安全和隱私準則����。不同于CSA的CCM標準,NIST的指導方針則是針對云客戶及其相關(guān)細節(jié)的——對于潛在的云服務提供商��,客戶應考慮提出哪些咨詢問題���。
IEEE�����,電氣和電子工程師協(xié)會,已著手開發(fā)自己的云安全標準���。并稱其為P2301項目-云可移植性和互操作性指南-IEEE的標準定義主要集中在云供應商之間的互操作性上���。
雖然安全只是互操作標準的一個方面,但云客戶互操作本身就是一個關(guān)鍵���,以避免對云服務供應商產(chǎn)生潛在的依賴��。若沒有這些標準��,因此則很容易在云服務供應商之間產(chǎn)生數(shù)據(jù)的移動和流程的更改����。客戶將能夠以此卡住供應商����,這也將成為一個關(guān)于安全的法律責任標準。
為了不被冷落�����,歐洲網(wǎng)絡與信息安全局或稱作ENISA也已頒布了其速成的安全標準:云合同安全服務水平監(jiān)測指南�����。該指南面向公共云客戶����,ENISA將引導用戶向云供應商提出細節(jié)性問題,以確保云供應商能夠嚴格遵守安全協(xié)議�����。
謹防SAS 70
在這個云服務快速發(fā)展的世界中,這個SAS 70標準的光芒正在逐漸消退�����,該標準是美國會計師協(xié)會審計準則委員會所頒布的審計標準的一部分��。雖然它最初的設計是用來監(jiān)督企業(yè)遵守財務報告規(guī)則的���,但一些云服務供應商依然使用SAS 70來作為一個所謂的安全協(xié)議認證����。
包括Gartner在內(nèi)的一些批評家說����,在為客戶提供有用的安全保障下,SAS 70具備明顯的不足���。有人認為該審計標準已與云服務安全性原意相去甚遠,根本無法滿足現(xiàn)代威脅評估的需求����。此外,SAS 70已被批評為是一種瞬時標準���,它基本上是無法反應服務供應商持續(xù)表現(xiàn)的����。
高調(diào)的云服務,類似亞馬遜遇到的一些“挫折”����,雖然其技術(shù)遵從SAS 70準則,但它仍對審核標準蒙上了污點��。因此����,現(xiàn)如今當客戶評估云服務提供商時,都被警告不要把太多的重點放在SAS 70認證上��。Gartner建議用自我評估和協(xié)商過的審計程序來完善補充SAS 70標準���。
來源:機房360
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場���。版權(quán)事宜請聯(lián)系:010-65363056���。
延伸閱讀
