几乎在每个关于云计算的调查中,公司对采用基于云的技术犹豫不决的众多原因中,安全都排名靠前。并且确实如此,如果无法确定你的数据会被如何对待,以及是否得到充分地保护,那么盲目地采用云服务就只是有勇无谋的行为,即使云服务在经济上的利益看起来十分诱人。 那么,企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。
最值得人注意的是来自于云安全联盟(Cloud Security Alliance,CSA)的几个倡议,已经在设法帮助企业至少商定出正确的问题来询问预期的服务提供商,但这可能仍是一项缓慢且艰巨……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
几乎在每个关于云计算的调查中,公司对采用基于云的技术犹豫不决的众多原因中,安全都排名靠前。并且确实如此,如果无法确定你的数据会被如何对待,以及是否得到充分地保护,那么盲目地采用云服务就只是有勇无谋的行为,即使云服务在经济上的利益看起来十分诱人。
那么,企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。
最值得人注意的是来自于云安全联盟(Cloud Security Alliance,CSA)的几个倡议,已经在设法帮助企业至少商定出正确的问题来询问预期的服务提供商,但这可能仍是一项缓慢且艰巨的任务。并且正如我们已经注意到的,小型企业向大型的云服务提供商提交问卷只能期望很少的合作,更别提得到回答了。
但希望可能就在眼前。一个用于给云服务公司评分的新的云成熟度模型承诺为企业提供简单的指导,针对云服务公司提供的安全水平,给预期的买方及卖方都带来了好处,后者现在只需要经历一次审计过程,而用为每个顾客都进行一次。
所谓的通用保障成熟度模型(Common Assurance Maturity Model,CAMM)是Raj Samani的思想结晶,他是安全界的一名老手,曾经作为顾问在公共部门工作,现在是McAfee公司的欧洲CTO。
CAMM的形成
Samani已经从一家大型企业早期的项目中了解到,要和大量的供应商打交道是多么的困难。他恰好没有资源或财力来执行必须的检查,以确保他们正在照看着这些信息,这些是数据保护法案背景下他所要负责的信息。
然而,在和他的父亲、伦敦中心的一家旅馆拥有人的谈话中他找到了解决方案:“我的父亲正在抱怨那些想对旅馆进行详细检查的令人棘手的顾客,他说这会引起很大的麻烦”,Samani说道。“他的回答是这是一家一星级的旅馆,意味着它不是豪华而是廉价的。这就是所有那些顾客们需要知道的”。
这个事件孕育了类似的五星评分系统,后者可能应用在云计算服务上。Samani意识到如果该系统被广泛采用的话,不仅会让云计算服务的顾客们更容易找到恰当的安全级别及服务,同时也缓解了提供商们所经历的无尽的顾客审计。
这是两年前的事情,并且从那以后来自各种支持组织的志愿者们组成的团队一直在努力着,但如果CAMM有一些全职的工作人员帮助时,这种状况会很快得到改变。Samani表示,他将在二月的旧金山CSA峰会上宣布关于招聘计划的完整细节。
CAMM组件
Samani说,CAMM模型目的在于涵盖关于安全的基线控制,但已被设计和其它标准如ISO27001、COBIT及PCI DSS进行交叉映射,因为顾客们对这些标准有特定的需要。
“CAMM模型提供控制的基线级别,然后你可以在上面添加不同的模块”,Samani说道。“这意味着人们能为他们要求的安全级别进行支付。所以如果现在你需要在德国找到一家带有PCI模块的级别为3的提供商,CAMM让找到这家公司变得更容易了”。
Samani表示,CAMM模型的重要方面之一,是用于执行审计的工具和知识产权框架对任何人都是免费的。“它是爱心的劳动成果”,他补充道。
公司开始使用CAMM模型时唯一需要付费的组件是第三方保障中心(Third Party Assurance Centre,TPAC)。TPAC是关于服务提供商的信息仓库,列出他们根据一系列衡量标准得到的安全级别。TPAC将作为一个市场,旨在为顾客和提供商提供交流。顾客们会上传他们的要求,列出CAMM级别加上任他们需要的何其它模块,TPAC将立刻呈现符合他们要求的供应商的简短列表。
Samani补充道,CAMM模型会有助于安全经理们根据他们的老板能理解的东西来量化残余风险。“你走到CEO面前并且说,‘我们打算寻找一家级别为3级的公司但是那会留下一些风险’”,Samani说道。“CEO接着会询问找一家4或5级的公司要花费多少钱,然后在理解风险后做出判断。因为这种时候,你不能有同业务主管谈论安全的那种谈话”。
最近CAMM模型经历了有四个试用用户的alpha测试,一旦来自这些测试的反馈结果在二月份得到“消化”,在年底大规模启动前会进行一系列beta测试。
该项目得到150个组织的支持包括大型云服务提供商、政府团体以及行业团体诸如CSA和ISACA(信息系统审计与控制协会)。
对CAMM模型的反应
CAMM方法被普遍视为一个有价值和有前途的方法。Paul Simmonds谈到CAMM发挥了极具价值的作用,他是国际组织Jericho Forum的董事会成员、CSA的安全指导V3版本的合著者。
“CAMM模型已非常深思熟虑,我对此印象十分深刻”,Simmonds说道。“该模型在它的领域内是模块化的,因此作为云服务的用户,你能明确要求在不同的区域需要什么级别的安全。CAMM使得更容易找到潜在供应商的简短列表,并且它会继续发展为大多数公司可以自我管理的更为完善和彻底的审计方法”。
该倡议还得到了来自欧洲的有力支持,其中包括欧洲网络及信息安全机构(ENISA)的督导委员会。“我们坚信CAMM模型是帮助云计算起飞的关键所在”,ENISA在希腊Crete岛的安全服务项目经理Giles Hogben谈道。
不过Hogben提醒注意,任何新的标准应该避免给公司增加额外的费用。他补充道,按照1到5的范围来衡量成熟度“可能导致过度简化”,因此必须小心处理。
作者
相关推荐
-
如何抵御云端DDoS攻击?
随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标……
-
云服务提供商该为安全负什么责任?
随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……
-
就怕贼惦记:DNS SaaS提供商Dyn遭遇大规模DDoS攻击
DNS提供商Dyn发公告称一场大规模DDoS攻击正持续对美国东海岸地区造成影响,躺枪的站点都是叫的上来名的:Twitter、Reddit、Spotify、Github以及纽约时报等,且攻击火力迅速扩张,已从东海岸弥散至整个美国。
-
探索云数据安全
当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。那么都要考虑一些什么具体问题呢?本文和你一起探索云数据安全。