您现在的位置:融合网首页 > 云计算 > 标准 >

安全使用云计算的八个步骤

来源:中国软件资讯网 作者:封美丽 责任编辑:admin 发表时间:2011-06-13 16:22 
核心提示:Savvis负责安全服务的副总裁Chris Richter领导一个云计算安全小组。他说,审计人员的任务是让企业保持一个定义良好的标准。这些安全标准不仅仅是为云计算环境存在的。因此,审计人员要慎之又慎。

Interop会议的参加者本周四听说,如果你认为满足安全审计要求是很难的,如果你要把你的数据放在云计算中,你要设法通过这种审计。

Savvis负责安全服务的副总裁Chris Richter领导一个云计算安全小组。他说,审计人员的任务是让企业保持一个定义良好的标准。这些安全标准不仅仅是为云计算环境存在的。因此,审计人员要慎之又慎。他们需要非常严格,因为对于审计没有明确的政策。

这些规则应该与时俱进。但是,这些规则目前还不存在。因此,企业需要谨慎对待他们要提交给云计算的数据类型,要保证数据符合遵守法规的标准,例如,保证在这些标准中能够可验证地处理HIPAA、PCI和Sarbanes-Oxley等法规要求的事情。

Richter说,审计人员要看到云计算的内部情况。这是许多云计算提供商不允许的。许多云计算提供商对于自己的物理架构、政策、安全、虚拟局域网架构和其它重要的因素都是保密的。如果你看不到数据是如何流动的,虚拟局域网是如何分段的,看不到你的数据是如何与其他人的数据分开的,你就不要允许做这个事情。

Richter说,使这个问题变得复杂的是身份识别和访问管理是如何处理的,这样,非授权用户就不能进入企业云计算中。他说,我还不知道任何人在云计算中实现了真正有效的身份识别和访问管理。

这就是说,他认为对于最敏感的信息使用专有云计算是可能的。他说,我知道最强大的专有的云计算。我有信心把我的最有价值的数据放在那里。这样做的部分原因是企业在专用云计算中能够保留对数据、应用程序和基础设施的控制水平。你可以更相信你做的事情。

无论一项云计算是否得到企业的信任和是否能够得到审计人员的批准,保护数据的责任仍在企业身上。外部应用程序、平台或者基础设施并不能把责任外包出去。

如果一个云计算提供商被人们普遍认为是遵守安全标准的,这并不意味着使用这个云计算服务的个别企业也会符合标准。正式你的最终用户要为遵守法规负责,而不是服务提供商承担责任。

Richter为计划使用某种形式的云计算的企业制定了8个步骤,让他们按照这些步骤从专有的传统的基础设施安全地过渡到云计算:

1.评估你的应用程序。有些应用程序与你的企业系统关系非常密切,不适用于云计算。

2.分类数据。确定什么是敏感的数据,什么不是敏感的数据。这个结果可以决定你选择什么类型的云计算。

3.确定最适合你的云计算类型:软件即服务、平台即服务还是基础设施即服务。

4.选择交付方式。专有的云计算、自己管理的云计算、管理的或者外部的云计算、公共云计算、企业从高云计算、混合云计算。

5.指定平台架构。这应该包括计算、存储、备份、网络路由、虚拟化与专用硬件等技术规范。

6.指定安全控制。这应该包括防火墙、入侵检测/预防系统、记录管理、应用程序保护、数据损失保护、身份和访问控制、加密与安全漏洞扫描等。

7.政策要求。查看云计算提供商的政策,保证他们的政策符合你的要求。“相信我,每一个提供商的政策都是有很大区别的。”

8.查看服务提供商本身。服务提供商在地理上是不是分散的?用户能自动配置吗?服务提供商是否有足够的容量满足突然增长的需求?他们是否能够监视所有的用户通讯以避免一个用户不慎对云计算实施拒绝服务攻击?服务级协议是什么?这个提供商的财务状况稳定吗?

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    今日头条

    更多>>

    新闻点评

    热门关键字

    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号