云计算一道坎:如何保证云数据安全

安全
截至目前,云安全联盟已经不止一次地发布报告,建议和督促企业采取措施,以更好地保护云服务。

截至目前,云安全联盟已经不止一次地发布报告,建议和督促企业采取措施,以更好地保护云服务。

云安全联盟新的报告中对云计算的定义和国际标准与技术协会(NIST)的定义一致,其它的还按需自我服务、宽带网络接入、资源共享、快速配置和可扩展性、计量使用等。

NIST还将云服务分成了三类:软件服务(SaaS),即应用程序由服务供应商提供;平台服务,即服务商提供工具和编程语言,客户来开发和部署自己的应用;基础设施服务,即服务商提供带网络的硬件平台供客户使用。

“在云计算V2.1版本的指导意见中安全是需要注重的关键领域。”在早期的一些草案审议议题简缩版本就提及了云安全的重要性,这些安全议题分布在13个领域的76页文件中,每个议题还包括了更加具体的建议。

文件建议云服务商采用ISO/IEC 27001信息安全标准来构建信息安全管理系统。客户应该认真核实供应商的资质认证,同时还要看他们制定的计划是否按照认证标准和要求来做的。至少,供应商应该向客户展示他们的做法是参照ISO 27002国际标准来制定的。

报告指出,客户需要清楚地认识到,在他们所购买的云服务类型中,他们需要为数据的安全和应用程序的管理承担怎样的责任,服务商又承担怎样的责任。

例如,亚马逊的EC2基础设施作为一个服务实体的地址,提供的是环境和虚拟化的安全,而不是虚拟的情况下操作系统、应用程序和数据本身的安全。通过Salesforce.com的客户关系管理软件(CRM)提供的云服务,服务商就必须负责一切的安全,包括应用程序和数据。

企业一定要充分了解供应商的安全措施,否则就要冒着危及他们数据安全的风险。“除非云提供商乐意向客户披露他们的安全控制,以及它们所实施的范围和程度,消费者才会知道哪些控制对于保持其信息安全是必须的,否则就会导致客户做出错误的决定,并存在很大的风险。”报告说。

报告指出,一般来说,云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估,并让供应商提供相关的证明。“对于任何涉及安全的方面,企业应采取以规避风险为主的方式转移到云计算环境,并选择安全的方式。”报告说。

为此,报告建议采取以下步骤:

1、仔细考虑和确定什么样的数据或功能运行在云环境中;

2、评估该数据或功能对企业的重要性;

3、确定采取哪种云:公有云,私有云,社区,混合云;

4、评估现有的控制措施对风险的减少程度;

5、画出进出“云”的数据流图,以确定风险的暴露点。

【编辑推荐】

  1. 云计算安全保护不足会有何后果?
  2. 2010网络安全趋势预测:黑客也云计算
  3. “云计算安全风险评估” 列出7大风险
责任编辑:赵宁宁 来源: IT168
相关推荐

2022-03-16 16:13:50

数据仓库云供应商

2021-11-11 11:26:43

云计算数据安全云安全

2012-05-10 09:50:53

云计算安全

2012-07-06 15:00:38

云安全密钥

2010-06-30 14:03:50

私有云部署

2018-06-25 09:48:00

数据安全云服务

2014-06-11 09:36:36

云存储数据安全

2022-04-08 14:50:37

存储零信任安全

2024-03-18 13:32:11

2010-04-01 13:42:09

云计算

2018-09-10 21:14:48

2024-05-11 11:41:03

2017-09-11 14:48:47

5G毫米波宽带

2022-12-29 09:51:36

2021-07-20 09:44:34

云原生应用程序安全云安全

2011-12-08 10:29:25

2010-03-29 21:25:15

数据安全云计算安全网络安全

2018-03-19 09:59:24

数据保护大数据云计算

2011-08-18 09:33:23

2023-08-07 06:55:56

点赞
收藏

51CTO技术栈公众号