|
云计算与企业自身安全策略结合到一起云计算、大数据及移动化是大势所趋,也的确能大大降低企业的成本和提高企业的效率,改变企业的运营方式和思维方式,所以,很多企业在考虑向云计算迁移,但又顾虑重重,考虑最多的是安全问题。 参考其他客户的评价和意见。 对云服务进行反复测试。 选用适当的云模式。 企业用户需要将数据恢复时间、恢复点内容以及数据完整性评估方法都列入服务水平协议中,并明确列出惩罚措施。 与云服务提供商签订的安全条款内容应尽可能详细,将防止未授权访问、安全标准年度认证以及定期的漏洞测试等内容都以明文的方式列入合同。 将云安全与企业自身的安全策略结合到一起。 在为云计算修改安全策略时,企业需要考虑的因素有:数据存储在哪里、如何保护数据、谁可以访问数据、合规问题、服务等级约定(SLA)等。 分析云API的安全性。通过云服务提供商的API文档,确定其API安全性;通过安全的渠道保护传输的安全,如SSL/TLS或IPSec;进行身份验证与授权,可以通过提问一些问题来验证,如:API可以管理用户名和密码的加密吗?可以管理双因素身份认证属性吗?可以创建并维护细粒度的授权策略吗?内部身份管理系统和属性之间具有连续性吗?以及内部身份管理系统和云提供商提供的API扩展属性之间具有连续性吗?向云服务提供商提出要求,能够对API进行渗透测试和漏洞评估。 许多云服务提供商为客户提供利用API的访问和身份验证机制的加密密钥,保护这些密钥至关重要。 企业用户必须确定数据的重要程度,并检查用于数据传输的加密工具是否成熟。 采取集中存储数据,让有权限的人可以访问它,无论员工是否离开公司。 避免将机密数据存储在云端,关键性业务数据及规则性信息最好把握在自己手中。 对静态的、使用中的和传输的数据进行加密。 企业应使用最强健的加密密钥技术,如同态密钥管理来强化密钥的安全,并保护好密钥以及做好定期的备份。 在云加密问题上,企业必须负起责任,关键是定义哪些团队应为数据的安全负责。 对于已经实施了强加密的数据来说,企业应该仅允许有工作需要的员工访问,而且要培训这些员工如何访问加密数据,可以从什么地方访问,并要求他们遵循安全规程。 IT部门需要提供简单易用的工具来替代员工使用的不安全的共享工具来操作数据。 如果企业期望基于云的应用更多地通过共有Wi-Fi热点访问,SSL加密应该能够保护整个信息流。 使用公共密钥存储服务或者技术时,要确保密钥永远不会用应用代码或者数据存储在云端。 将云存储、数据加密和网站安全手段结合起来,可以为企业防御网络威胁构建强健的安全阵线。 每年对云服务提供商提供的服务进行第三方安全审计和认证,如果出现数据泄露事故,用户有权终止云服务合同。 确定双方的安全责任。 在云服务提供商由于失误造成企业用户的安全损失后,确定云服务提供商应该承担什么责任。 云服务提供商会尽量避免在云服务合同中承担任何赔偿责任,顶多是延长服务期限,在这种情况下,企业应该将抵偿的服务期限延长到24-36个月,而不是常见的12个月。 责编:李玉琴 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|