国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應用案例 網(wǎng)絡威脅 系統(tǒng)安全 應用安全 數(shù)據(jù)安全云安全
當前位置: 主頁 > 信息安全 > 云安全 >

云計較需要加倍完美的安然尺度

時間:2013-05-13 10:21來源:TuZhiJiaMi企業(yè)信息安全專家 點擊:
Gartner比來的一項研究猜想了所有云范疇的營業(yè)都將延續(xù)在兩位數(shù)的增加傍邊。 但將關頭功能外包給第三方還請用戶們重點存眷一下安然標題問題。當企業(yè)將IT營業(yè)運行在內(nèi)部時,則可以進行安
Tags云安全(761)安全標準(2)服務供應商(2)SAS(1)  

  Gartner比來的一項研究猜想了所有云范疇的營業(yè)都將延續(xù)在兩位數(shù)的增加傍邊。

  但將關頭功能外包給第三方還請用戶們重點存眷一下安然標題問題。當企業(yè)將IT營業(yè)運行在內(nèi)部時,則可以進行安然和談的定義與節(jié)制。但當依托云辦事供給商時,你又如何能體味到安然和談存在哪里?并且它們是如何履行的呢?

  為體味決這些標題問題,云財產(chǎn)本身也在不竭演變與調(diào)劑其架構。經(jīng)由過程定義云的安然尺度則是最好的解決編制——在其行業(yè)范圍內(nèi)供給一個統(tǒng)一的尺度,使其成為云辦事供給商公認的認證尺度。經(jīng)由過程貫徹與遍及采取這類尺度,暗藏的云客戶將利用評估東西對云辦事供給商進行安然評估。

  可是,良多業(yè)內(nèi)的云辦事供給商還未采取統(tǒng)一的尺度。他們采取了本身所承認的準則,現(xiàn)有的各類和談則導致了利誘性指導的產(chǎn)生。

  云安然聯(lián)盟

  范圍最大年夜且介入者浩繁的安然尺度機構是CSA或稱作云安然聯(lián)盟(Cloud Security Alliance)。此中包含亞馬遜收集辦事公司、微軟、甲骨文、紅帽、RackSpace和Salesforce公司等(還包含幾十個企業(yè)),最有前景的云辦事企業(yè)都撐持CSA。

  CSA已開辟出一個合規(guī)尺度,被稱作為CCM或云節(jié)制矩陣(Cloud Control Matrix)。該尺度被清算到Excel電子表格傍邊,CCM瀏覽十多個云根本舉措措施范疇,包含風險治理和安然信息等。CCM已超出了其本身安然標題問題標范圍,傍邊還包含了當局、法令律例和硬件架構等合規(guī)解決辦法。

  CCM闡述了數(shù)百條尺度。例如,從類別“舉措措施安然-安然區(qū)域授權”傍邊,你可以找到以下節(jié)制規(guī)范:安然區(qū)域的進口和出口應遭到限制,并監(jiān)督物理拜候節(jié)制機制以確保只有顛末授權的人員才可以進進。

  明顯,該尺度講的是云辦事供給商舉措措施的物理安然標題問題。但尺度其實不完全安排其實施的步履。

  針對客戶對云辦事供給商的評估,假定該廠商可以向你包管一個審計尺度,并在供給合適(在本例中)CCM V1.3節(jié)制規(guī)范FS-04的環(huán)境下,這將遠遠優(yōu)于全無所聞或是簡單地聽取供給商一面之詞的景況。

  NIST、IEEE和ENISA

  這些尺度機構向全球分享了一個有愛的名字,它們讀起來仿佛是一輪拼字游戲。他們也正在開辟本身的準則,此中也籠蓋到了云辦事安然性的標題問題。

  NIST,美國國度尺度與手藝研究所,該機構在往年發(fā)布了其公共云計較安然和隱私準則。不合于CSA的CCM尺度,NIST的指導方針則是針對云客戶及其相干細節(jié)的——對暗藏的云辦事供給商,客戶應考慮提出哪些咨詢標題問題。

  IEEE,電氣和電子工程師協(xié)會,已著手開辟本身的云安然尺度。并稱其為P2301項目-云可移植性和互把持性指南-IEEE的尺度定義首要集中在云供給商之間的互把持性上。

  當然安然只是互把持尺度的一個方面,但云客戶互把持本身就是一個關頭,以避免對云辦事供給商產(chǎn)生暗藏的依托。若沒有這些尺度,是以則很等閑在云辦事供給商之間產(chǎn)生數(shù)據(jù)的移動和流程的更改??蛻魧⒖梢曰蛟S以此卡住供給商,這也將成為一個關于安然的法令責任尺度。

  為了不被蕭瑟,歐洲收集與信息安然局或稱作ENISA也已發(fā)布了其速成的安然尺度:云合同安然辦事程度監(jiān)測指南。該指南面向公共云客戶,ENISA將指導用戶向云供給商提出細節(jié)性標題問題,以確保云供給商可以或許嚴格遵循安然和談。

  謹防SAS 70

  在這個云辦事快速成長的世界中,這個SAS 70尺度的光線正在逐步減退,該尺度是美國管帳師協(xié)會審計準則委員會所發(fā)布的審計尺度的一部門。當然它最初的設計是用來監(jiān)督企業(yè)遵循財務陳述法則的,但一些云辦事供給商仍然利用SAS 70來作為一個所謂的安然和談認證。

  包含Gartner在內(nèi)的一些攻訐家說,在為客戶供給有效的安然保障下,SAS 70具有較著的不足。有人覺得該審計尺度已與云辦事安然性原意相往甚遠,底子沒法知足現(xiàn)代威脅評估的需求。別的,SAS 70已被攻訐為是一種瞬時尺度,它根基上是沒法反應辦事供給商延續(xù)表示的。

  高調(diào)的云辦事,近似亞馬遜碰著的一些“挫折”,當然其手藝順從SAS 70準則,但它仍對審核尺度蒙上了污點。是以,現(xiàn)此刻當客戶評估云辦事供給商時,都被警告不要把太多的重點放在SAS 70認證上。Gartner建議用自我評估和協(xié)商過的審計法度來完美彌補SAS 70尺度。

------分隔線----------------------------

推薦內(nèi)容