将风险边界扩展到“云”

日期: 2010-05-26 来源:TechTarget中国

  云计算是是一个很抽象的概念,一种难以名状的东西,尽管如此,我们仍然要使用到它,因为云计算可以增加商业价值,而忽略云计算的企业也会失去竞争优势。所以,我们需要了解如何安全地将这一新兴技术融入到业务流程中。

  云能给我们带来什么?

  我们将云计算定义为第三方提供的任意架构或服务,且它要支持或传输业务流程。为了最大化商业价值,云计算还应该提供点播可扩展性和改进的商业持续性。举例包括:

  1. 供应商开发并托管Web服务,并将这些服务整合到内部开发的系统中,但是用户是通过Web进行访问。

  2. 供应商通过内部人员对服务器托管的应用进行开发和管理。

  3. 将完整的系统转移到供应商托管的网页。

  随着云计算技术日趋成熟,供应商提供的服务也会随之得到改进。不过,最基本的前提是它能为大企业带来灵活性,为中小企业带来机会。

  主要问题在于风险

  从安全角度来看,评估和管理与云服务相关的风险就是对现有的风险管理进程进行调整。因此,并不需要花费大量的精力。

  如果你手头没有风险管理架构,那么必须要先创建一个。保护企业的数据起始就是依据业务需求权衡风险。与企业管理者,审计员合作的时候,有必要使用那些旨在识别,减轻和报告风险的正式流程来平衡风险。如果你手头有成文的架构,则可以直接对其进行扩展。

  图一展示了许多企业的风险界线的简单模式。IT专业人员设计并部署了内部方案后,安全分析师会对其进行风险评估。不过,托管的风险界线止步于周边防火墙。非正式的流程用来模拟连接云服务供应商时产生的风险。

  图一:内部风险界线

  如图二所示,通往安全云一体化的路径风险界线的扩展。其目标并非是将云视为“外部之物”。相反,它是另一个附加于企业之上的增值型组件。扩展风险管理边界以便包围所有服务就一个能满足业务需求的整体规划。

  图二:扩展的风险边界

  差距

  扩展风险边界并不是提出相同的问题。整合云需要额外的考虑以应对供应商。以下是我们在评估一个云服务供应商时可能面临的挑战:

  1. 供应商是否具备一个外部实体可证实其有效应对安全问题的能力(SAS70,ISO 27001等)?拥有哪些内部控件?供应商如何比较我们的内部控件?差距在哪里,这种差距是否合理?

  2. 涉及哪些数据?我们的企业提供的数据多余实际所需吗?供应商所需的最小数据要素是什么,为什么是这些要素?

  3. 供应商是否明白我们的安全期望?这些期望是否纳入了合同中?如果供应商没有遵守合同中的安全条款,将有什么制裁办法?合同是否允许我们执行自己的周期性审计(有关数据保护方面的评估审计)?这些都是要考虑的基本问题。我们是假设你已经在传输过程中保护好数据。如果没有,或许在扩展到云之前还有更大的问题需要解决。

  结语

  不要谈“云”色变,它并不是我们的敌人。问题并不是我们是否要整合云服务。真正的问题是如何管理好相关风险。是否每个供应商都值得信任?答案当然是否定的。但是,选择一个云服务供应商就如同选择一个内部软件,硬件或服务供应商。要了解自己的需求,表达出自己对安全性能的期望,然后对供应商的产品进行评估。和服务商保持良好的沟通,共同改进控件。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 如何保护无服务器应用?

    无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……

  • 云是网络攻击的潜在金矿,端到端安全成迫切需求

    为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。

  • “安全即代码”:整合安全团队和DevOps团队

    随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化……

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……