即便是拥有一些到位的认证和安全软件系统,云供应商仍然需要与合作伙伴及客户进行协作以便于实施能够解决企业(如医疗保健、零售和金融等第)在不同垂直层面上托管和法规需求的技术,必须保护特定数据集。
“其关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,” Timko说。“虽然在平台本身有着内置的固有保护措施,但是我们为其量身定制了特定环境的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等等。
Mark Cavaliero是美国Carolinas IT公司的创始人兼CEO,这家公司提供私有托管云产品,业务范围涉及交付基于私有云和公共云的应用、服务器、台式机和数据存储技术。Cavaliero 表示,他的公司已经实施了一个能够满足法律和托管标准的企业级产品,它可确定如何保护数据,其中包括:
- 支付卡行业数据安全标准(PCI DSS),这是一个供企业保护信用卡信息的专用信息安全标准。
- 2002年的Sarbanes-Oxley法案(SOX),它要求对支持企业披露准确性和可靠性的数据进行保护和存储。
- 1996年的健康保险流通与责任法案(HIPAA),它规定了受保护健康电子信息的国家级安全性标准。
此外,Carolinas IT公司已经开发了标准操作流程(SOP)标准的扩展框架,它可确保其团队遵守与其所处环境相关的特定标准。该企业每年都对其相关SOP框架进行审核,该框架结合了来自多个标准、安全准则和组织的最佳实践,具体包括CSA的云控制矩阵、美国国家标准与技术研究院(NIST)、国防部(DoD)以及信息技术基础设施库(ITIL)。
该公司还拥有一支ISACA认证的信息系统审计师队伍,来满足其客户的监管要求及其自身内部的安全和合规性需求。
Cavaliero说,提供云服务的部分工作是在客户的安全运行中寻找漏洞,并提供能够让他们在纷纷攘攘的市场中脱颖而实现可持续发展的解决措施。
“作为让我们与众不同的安全类型的一个例子,我们提供了一个每次自动记录技术人员访问密码的功能。当某位技术人员离职后,我们可以立即更改他可能访问过的密码,”Cavaliero说。“我们还提供了一个定期修改密码的程序。虽然客户们可能不会过问这些安全措施,但是这些手段可以让我们有信心不辜负客户对我们的信任。”
Carolinas的IT团队也非常关注建立一个多层次的安全体系架构,它结合了周边安全、基于规则的保护、基于端口的安全、加密、高级身份验证方法、物理安全、逻辑与物理分割、威胁特征、行为分析以及深度包检查。
“我们监测着出入我们云的流量,并对流出请求使用高级的名称解析控制措施,”Cavaliero说。“我们监测流量和使用率异常,我们会主动地在各个层次打补丁,具体包括BIOS、虚拟机管理程序、操作系统和应用等层次。”
原文链接:http://www.searchcloudcomputing.com.cn/showcontent_90864.htm