|
云计算与企业自身安全策略结合到一起云计算、大数据及移动化是大势所趋,也的确能大大降低企业的成本和提高企业的效率,改变企业的运营方式和思维方式,所以,很多企业在考虑向云计算迁移,但又顾虑重重,考虑最多的是安全问题。 二、步步为营有的放矢保障云计算安全之策略 充分认识了云计算的安全风险和不安全因素之后,就可以步步为营,有针对性地逐一制定安全策略,有的放矢,保障云计算安全。下面列出了一些让云计算更安全的方法和策略。供大家参考,并欢迎补充。 在向云计算迁移之前,做好充分地准备,进行充分地调查和评估。 通过可靠的安全标准对云服务提供商进行安全评估。规模最大且参与者众多的安全标准机构是CSA(CloudSecurityAlliance),即云安全联盟。 当对云服务提供商进行评估时,如果云服务提供商能够保证一个审计标准,这样要好于只听供应商一面之词。 评估云服务提供商时,不要把重点放在SAS70认证上。 在对云服务提供商进行评估时,要对基于云的系统进行安全评估和审计,这个过程必须包括:网络和系统漏洞评估、服务器/工作站/移动设备合规性评估、云/管理程序基础设施评估。 企业用户需要确保在服务水平协议中云服务提供商有自己的业务连续性、备份和灾难恢复计划,并确保该协议涵盖恢复时间目标/恢复点目标(RTO/RPO)以及性能和带宽基线要求。 在向云计算迁移之前,企业用户需要考虑的因素有:企业用户希望迁移到云中的应用程序的关键程度、合规问题、必需的服务水平、负载的使用模式,以及应用程序与其它企业功能的集成程度。 企业需要全面调查云服务供应商的安全技术和过程,并检查云服务供应商如何保障企业数据及他们自己的基础架构的安全。企业尤其需要关注如下方面: 应用程序和数据的可移植性:供应商是否允许企业将现有的应用程序、数据和过程导出到云中?能轻松地将这些导回来吗? 数据中心的物理安全性:云服务服务供应商如何从物理上保护其数据中心?他们使用哪种类型的数据中心?他们的数据中心操作员得到过怎样的培训,有什么技能? 访问和操作的安全性:云服务供应商如何控制对物理机器的访问?谁能够访问这些机器?它们如何管理这些机器? 虚拟数据中心的安全性:云架构是效率的关键。企业应当查明独立的组件(如网络节点、存储节点等)是如何构建的,还要调查这些组件的集成和安全保障方法。 应用程序和数据的安全性:云解决方案必须支持由企业自己定义组、角色,要有精细的基于角色的访问控制,还要有正确的口令策略和数据(静态数据和传输的动态数据)加密。 通过一些问题弄清楚云服务提供商安全控制架构的具体情况,避免陷入云计算提供商们的“留客”陷阱。其中的问题包括: 企业用户发送到云服务提供商处的数据到底该归谁所有?企业用户一定要在合同中注明,由业务流程生成的所有数据在协作周期内都归用户方所有,这非常重要。 云服务提供商如何将数据返还给用户?企业用户需要在合同中明确数据应以哪类格式进行返还,而且返还的数据格式最好无论何时都能轻松使用。通过测试确保云服务供应商有能力满足合同中的约定。 企业用户能真正访问数据吗?如果数据本身经过加密,企业用户是否有权访问加密密钥?企业一定要通过测试确保自己对数据拥有访问能力。 资源访问如何处理?对于基础设施即服务(IaaS)领域,当数据成为虚拟镜像的一部分时,企业用户需要确保自己同时拥有对应用程序与底层操作系统进行管理员级访问的能力。 能否访问用户数据?如果云服务提供商打造了一套用于容纳用户信息的数据存储体系(包括用户ID、角色、权限以及身份验证信息等),企业用户自己也需要建立同样的体系,确保自己有能力将包括用户信息在内的所有备份数据重新导入服务流程,因为这部分数据很可能被单独保存在应用程序数据之外。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|