作为云计算的消费者,企业能够做许多事情改善云计算安全。事实上,当涉及到保护云计算中的企业信息安全的时候,这确实是企业的职责。如果发生安全突破事件,企业要承担责任,至少在目前是如此。
企业–云计算消费者–必须努力改善云计算的安全。大多数围绕云计算安全的讨论都把重点放在云计算提供商应该做什么。数据和应用程序服务在提供商那里。但是,企业需要记住他们承担很大的、在某种情况下要承担最大的云计算安全的责任。企业必须永远不要忘记如果发生安全突破他们将面临大多数的指责。企业毕竟是收集数据的实体。
云计算安全最好被看作是云计算提供商和企业之间共同的责任。两者之间的界限现在有一点模糊。这个界限直接取决于应用的云计算模式的类型,其范围包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)。
在这个范围的一端,SaaS接近于一个安全黑箱,应用程序安全活动对于企业来说基本上是看不见的。在这个范围的另一端是IaaS,企业在这里主要负责应用程序、数据和其它水平的基础设施栈的安全。
企业应该做什么来改善在一种云计算模式中的安全并且准备收获这种云计算的大多数好处呢?下面是要采取的六个步骤:
第一个步骤:了解你现有的内部的专有云计算以及你围绕这些简历的安全系统和流程
是的。你已经拥有内部云计算。在过去的10年里,中型和大型企业已经建立了内部云计算,尽管他们没有把这些叫做云计算。这些内部云计算经常被称作共享的服务,如身份识别服务、配置服务、数据库服务或者企业数据中心(在相当标准化的硬件和操作系统上托管的)。
第二个步骤:评估你的许多由IT实现的业务流程的风险和重要性
虽然迁移到云计算实现的节省成本的潜在回报是比较容易计算的,但是,没有第一手了解这个等式的风险方面,人们不可能进行“风险与回报”的计算。云计算提供商不能为企业进行这种分析,因为这完全取决于业务流程的业务环境。成本相对高的低级服务级协议应用程序显然是云计算的首选。作为这个风险评估的努力的一部分,好需要考虑潜在的管理法规影响,因为有些数据和服务按照管理部门的规定不允许迁移到站点以外的地方,州以外的地方或者国家以外的地方。
第三步:研究不同的云计算模式和类型
企业需要研究不同的云计算模式(公共的、专有的、混合的)以及不同的云计算类型(SaaS、PaaS和IaaS),因为它们的区别与安全控制和责任有直接的关系。
所有的企业对于在自己的机构环境中的这项云计算方法以及自己的业务风险预测有一个意见和政策。
支持这个问题和云计算的其它安全意义的一个好的信息来源可以在欧洲网络与信息安全局(ENISA)刊物最近发表的“云计算:好处、风险和信息安全建议”这篇文章中找到。法律机构在这里也扮演一个重要的角色。法律责任是这种分析的一个重要部分。
第四个步骤:把你的SOA设计和安全原则应用到云计算
大都数机构许多年以来一直在自己的应用程序开发机构中使用SOA原则。云计算不是SOA的大规模扩展吗?云计算只是面向服务采取了下一个合乎逻辑的步骤。高度分布式的安全实施的SOA安全原则与集中的安全政策管理和决策结合在一起直接应用到云计算。当你把重点从SOA转移到云计算的时候,不需要重新发明任何事情。就把这些原则转移过去就行。
第五个步骤:像云计算提供商一样思考
虽然大多数企业开始把自己作为云计算消费者,但是, 不要忘记你的机构也是这个价值链的一部分:你向你的客户和合作伙伴提供服务。如果你能够实现风险/回报的平衡,让你有利地消费云计算服务,为什么不采用同样的思维方式把自己当作进入你的生态系统中的云计算提供商呢?这将有助于你的机构更好地理解在云计算提供商中正在发生什么事情。
第六个步骤:熟悉你自己并且开始使用Web安全标准
Web安全行业很长时间以来一直研究保护和管理跨域系统。这项工作已经产生了许多有意义的已经在使用(或者应该使用)的保护云计算的安全标准。安全系统必须使用这些标准以便在连接到云计算的领域发挥作用。这些标准包括安全断言标记语言(SAML)、服务配置标记语言(SPML)、可扩展访问控制标记语言(XACML)和Web服务安全(WS-Security)。目前使用SAML鼓励企业统一浏览器进程的积极的话是:你已经扩展了你的云计算安全智商。
企业改善云计算服务安全最重要的要求之一是要保证安全专业人员被看作是云计算的合理的倡导者,而不是反对者和怀疑者。适当平衡的、业务推动的技术可以成为风险/回报对话中的一个积极的力量并且帮助提高适合自己企业的云计算安全的可能性。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
如何处理云端特权用户管理?
很多企业正在试图保护员工使用的各种云应用和服务中的用户账户,这样做是因为:攻击者越来越多地通过钓鱼攻击和路过式下载等方式获取云账户和登录凭证,以试图获取对企业IT环境的访问权限。
-
就怕贼惦记:DNS SaaS提供商Dyn遭遇大规模DDoS攻击
DNS提供商Dyn发公告称一场大规模DDoS攻击正持续对美国东海岸地区造成影响,躺枪的站点都是叫的上来名的:Twitter、Reddit、Spotify、Github以及纽约时报等,且攻击火力迅速扩张,已从东海岸弥散至整个美国。
-
新一年,你该如何调整企业安全方案?
在大多数信息安全会议上,安全研究人员都会展示他们可如何绕过你企业中使用的关键安全控制,这些研究人员通常会展示他们如何利用漏洞或概念证明攻击来控制你整个企业。
-
构建安全应用程序架构必须考虑的十二问
应用程序的架构检查是指检查应用程序架构中当前的安全控制。这种检查有助于用户在早期确认潜在的安全漏洞,并在开始开发之前就极大地减少漏洞。