概述
雲端計算使得商業或消費類IT服務能夠通過網際網路, 以一種靈活地, 成本較低的方式。 無論使用者使用什麼裝置在什麼地點, 程式, 應用以及服務都能夠快速部署和擴充套件。 因此, 雲端計算可以幫助各類組織提供服務水平, 更好地進行IT管理, 更好滿足內部不斷變化的對IT支援的需求。 此外, 雲端計算還可以同時支援核心業務的要求, 為業務創新創造條件。
目前採用的雲端計算模式有公共雲模式, 私有云模式以及兩種模式共存的混合模式。 公有云模式下, 任何人通過網際網路, 都可以按需購買或者按固定費用租用服務。 私有云是某個組織擁有並使用。 它提供了與公有云一樣的很多便利, 同時使所有者有更大的靈活性和控制力。
雲端計算的好處是顯而易見的。 而在雲端計算實施中的安全性問題也必須重視。 採用雲端計算方式而忽略安全性無疑會使整個IT設施暴露於風險之下。 雲端計算導致了新一個層面的風險。 由於雲端計算模式下, 大量服務外包給第三方,使得保證資料真實性和隱私性, 資料和服務的可靠性,以及保證合規性方面變得更加困難。 儘管IT服務已經轉移到雲端, 使用者依然需要保證合規性以及資料安全。 因此, 使用者必須與他們的雲端計算合作伙伴之間建立信任關係, 理解公共雲或者私有云環境帶來的風險。
雲端計算帶來的安全挑戰
雲端計算安全與傳統IT安全最重要的不同之一來自於大規模的基礎設施共享。 來自於不同公司, 不同安全信任水平的人員長期共享同一套計算資源。 對於公有云服務由一大批服務商所提供, 資料儲存和處理都在外部環境中完成。
就算在雲內部, 也很難具體定位資料的儲存位置。 傳統的可見安全過程被抽象層所遮蔽。 這種不可見性會導致資料安全, 服務可靠性, 合規性, SLA保障以及整體安全管理的一系列問題。
安全過程的可見性對於合規要求尤其重要, 無論是薩班斯法案, 美國的醫療保險責任法案(HIPAA)歐盟關於隱私方面的法律, 以及其他很多國家的法律都對系統的可審計性提出要求。 而很多公共雲對於使用者來說就是一個黑盒子, 這樣的話, 使用者很難證明自身系統的合規性。 (私有云和混合雲模式通過一定程度的配置, 可以滿足這類合規性的要求)。
此外, 雲服務商會被要求提供第三方審計功能,或者提供對電子取證的支援。 這樣就使的安全的可見性變得尤其重要。 如果資料沒有被正確的隔離, 那麼對某個使用者的資料取證可能會影響到其他使用者的資料安全。 這就意味著, 一些敏感資料不適合存放在雲環境中。
考慮採用雲服務的組織必須理解雲服務相關的風險以及保持安全可見性的重要。 對於雲安全的實施, 可以重點從以下幾個方面入手:
- ● 建立安全程式
- ● 保護資料安全
- ● 強化訪問與鑑權
- ● 應用的配置與解除
- ● 審計管理
- ● 漏洞管理
- ● 測試與驗證
由於雲服務有多種不同的模式, 每一種模式對應了不同級別的安全管理。 引入可信的第三方可能可以幫助企業或組織根據他們的商業要求, 採用適合他們的最好的雲安全方案。
制訂雲安全戰略
在雲安全方面, 沒有一個放之四海皆準的模式。 因為不同的企業或組織有不同的業務需要轉型雲服務或者通過雲提供服務, 這樣就產生了不同的安全管理的需求。 在雲端計算戰略規劃時, 需要認真評估雲端計算模式的風險。
以下是第三方安全服務所採用的雲端計算風險評估的框架:
定義商業和IT戰略
進行雲端計算風險評估的第一步就是分析商業和IT戰略。 通過雲進行儲存, 訪問和傳輸的資料的價值有多大? 是不是商業的敏感或者保密資料? 有沒有合規性的要求? 同時, 也需要考慮資料的可用性的要求。 通過對商業IT戰略以及資料的分析, 才能進行風險評估, 確定採用何種雲端計算模式。
分析風險
每一種雲端計算模式(公有云, 私有云或者混合模式)都有不同級別的IT安全風險。 需要針對不同的模式, 分析漏洞和威脅的風險。 設計安全機制來控制風險, 並且要設計維護和測試的過程來保證系統執行後的風險控制。
制訂雲安全計劃
需要制訂一個雲安全戰略計劃的路線圖。 確定需要轉型雲端計算的業務或者應用, 以及所需要的法律, 法規以及安全方面的要求。 需要計劃好對風險的控制。 包括對鑑權和訪問控制管理, 以及如何在安全控制方面平衡服務商與使用者之間的關係等等。
報告原文:http://vdisk.weibo.com/s/5rhEx
Via:IT經理網http://www.ctocio.com/cloud/6256.html