改善企业云计算安全模式的六个步骤
围绕云计算安全的讨论主要集中在云供应商应该做的安全措施方面,毕竟数据和应用程序服务是云供应商在管理。但是企业需要记住,企业承担着大部分的云安全责任,某些情况下,他们甚至是最大的责任人。企业千万不要忘记,如果发生安全泄漏事故,企业将受到直接的影响,毕竟,他们是数据所有人。
通常大家都认为云供应商和企业需要共同承担云计算的责任,而这两者之间的责任分割线目前是有点模糊。责任分割线直接取决于云计算安全的模式,范围从软件即服务(SAAS)到平台即服务(PAAS),再到基础设施即服务(IAAS)。
SAAS方式更像是安全的黑盒子,应用程序安全是企业看不到的。而IAAS,企业承担应用程序、数据及其他基础设施安全的主要责任。
企业应该如何改善云计算安全的模式性并从中获得最大利益呢?可以参照以下六个步骤:
第一步:从现有企业内部私有云计算及围绕云计算构建的安全系统和程序中学习
在过去十年中,大中型企业就已经建立了内部云计算,虽然他们并没有称其为云计算,而是称为共享服务,例如认证服务、供应服务、数据库服务或者企业数据中心(构建在相对规范的硬件和操作系统中。)
第二步:对很多IT业务流程的风险和重要性进行评估
迁移到云计算所节省的成本可能会比较容易计算,但是在计算机风险和成本的算术前,我们要先弄清楚风险究竟有多少。云供应商不会为企业做这方面的分析,因为这完全取决于业务流程的业务范围。成本相对较高的低服务水平协议(SLA)应用程序毫无疑问是云计算安全风险评估首先要评估的对象,另外,潜在的合规影响也需要考虑,因为监管机构规定有些数据和服务不能转移到公司外部或者国家外。
第三步:学习不同类型的云计算模型和类别
企业需要研究不同类型的云模型(公共、私有、混合)以及不同类别(SAAS、PAAS、IAAS),因为这些不同类型的云模型的差异性与安全控制和责任有直接关联。
所以企业必须对这些云模型有自己的见解,从企业自身和企业风险评估的角度来分析。
另外,法律组织在这方面也发挥着重要的作用,因为保修和责任也将是重要的组成部分。
第四步:将企业的面向服务架构(SOA)设计和安全原则运用到云计算中
大多数企业近年来都在他们的应用开发部门运用了面向服务原则,云计算不就是面向服务么?云计算只是逻辑化的面向服务。高度分布安全实施的SOA安全原则,与集中云计算安全原则管理和抉择,可以直接应用到云计算中。在云计算中使用SOA的原则不需要重新制定原则,而只要做些许转换。
第五步:把自己当作云供应商
虽然大多数企业从开始就会将自己当作云消费者,但是不要忘记企业也是服务供应商:企业向客户和合作伙伴提供服务。把自己当作云供应商来思考问题,能够帮助企业更好的了解云计算供应商。
第六步:从现在开始熟悉并开始使用Web安全标准
Web安全行业长期以来都致力于对保护和管理跨域系统方面的研究,从而也产生了很多有用的安全标准来确保云服务的安全性。只有运用这些标准,安全系统在云世界中才能有效运用。这些标准包括安全断言标记语言(SAML),服务供应标记语言(SPML),可扩展访问控制标记语言(XACML)以及web服务安全(WS-Security)。
企业改善云计算安全最重要的要求之一就是确保安全专业人士被看做是云计算理性的倡议者,而不是反对者或者怀疑者。技术人员也可以作为风险/回报评估分析的主要力量,以帮助企业最大限度获取云计算带来的利益。
以上就是本文对改善企业云计算安全模式的六个步骤的介绍,希望本文对大家会有些许的帮助。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。