您的位置: 网界网 > 周报全文 > 正文

[周报全文]评估云服务商安全措施的五个要素

2013年09月10日 17:14:25 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:在考虑将企业的某些系统迁移到云端时,如果对云服务的安全性有所顾虑,不妨从以下的五个要素出发,对其加以考量。

标签
云计算
云服务商
风险评估
云计算解决方案

现在,一些企业并不放心把应用迁移到云中,因为这意味着他们的业务数据可能会被放到其他地方,而不是企业自己的数据中心内。对于某些企业来说,这是很难接受的概念,特别是那些25年以来一直在企业内部保存系统和数据的企业。显然,如果云计算[注]提供商没有为其客户提供强大的安全管理能力,他们是很难在市场立足的。而现实的情况是,很多领先的云计算解决方案提供的一些安全功能甚至超过了大多数企业自己能够部署的功能。

在本文中,我们将了解领先云服务商在安全性保障方面的做法,并为考虑部署云计算解决方案的企业提出几个应该考虑的问题。

云计算解决方案是否有风险评估过程来评估信息资产所面临的风险?

确保有效安全控制的起点是确定云服务商的信息安全风险。应该通过执行风险评估来确定各种来源的信息,以及这些信息可能如何被泄露。现在有很多不同的风险评估模式,云服务商已经有一个过程来识别信息风险。在识别风险后,企业随后应该通过部署控制来缓解这些风险。

云计算解决方案是否部署了安全性策略和规程?

根据风险评估过程确定的风险,云服务商应该制定一套安全性策略和配套规程来部署必要的控制,以解决其安全风险。特定的策略和程序,或者没有被云服务商记录在案和部署的策略,都应该因此受到重视。此外,企业还应该部署高级的安全性策略和规程来确立企业的安全管理实践,并最终为实现控制目标建立问责制。

云计算解决方案是否执行了安全漏洞或渗透测试?

渗透测试或者漏洞测试是对企业的基础设施进行扫描(+微信关注网络世界),从而确定是否存在任何的安全漏洞(例如,如果关键系统补丁没有修复,攻击者则可能利用这个漏洞)。这种类型测试的目的是确定系统是否可能受到内部或外部攻击,以及确定企业可以采取哪些措施来抵御或者消除这些威胁。具有良好安全管理习惯的企业都会定期执行这些类型的测试,并采取行动来应对这些识别出来的安全威胁。

云计算解决方案采取了哪些措施物理保护其数据中心?

保护云计算系统的关键在于物理地保护这些数据中心。云服务商应该能够为这些数据中心提供有限制的访问,以及足够的物理屏障,以防止未经授权的访问。受到良好保护的数据中心可能会非常昂贵,很多企业还无法提供像云服务商这种水平的安全保护。

云计算解决方案经过了什么类型的第三方审计?

云服务商有很多第三方审计可供选择。第三方审计为云服务商的各种操作提供独立的保障。在云计算行业比较常见的报告包括SOC1、SOC2,在某些情况下还有SOC3。这是由职业审计师执行和签署的“服务组织控制”(Service Organization Controls)报告。这些报告涵盖了云服务商不同类型的控制,能够为企业提供关于云服务商有价值的信息来源。(邹铮编译,更多内容详见: http://www.cnw.com.cn/P/5141

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]