預計從2011年到2016年����,軟件即服務(wù)(SaaS)的復合年增長率是19.5%;而平臺即服務(wù)(PaaS)的復合年增長率是27.7%���;基礎(chǔ)設(shè)施即服務(wù)(IaaS)則為41.3%�;安全服務(wù)支出為22%���。
然而�,安全和隱私問題仍然是妨礙許多企業(yè)采用云服務(wù)最大的絆腳石����,這甚至在過去的18個月,導致了了云加密系統(tǒng)的蓬勃興起����。
雖然加密對于采用云服務(wù)的安全方面是相當重要的,但它不應(yīng)該被看作是“護身符”�����,Gartner在最近的研究報告中強調(diào)���。
分析人士建議���,企業(yè)應(yīng)首先建立一套涉及到六大安全問題的數(shù)據(jù)安全計劃。他們表示�,如果不這樣做,可能會增加企業(yè)采用云計算的成本和復雜性��,同時也不利于長期保護數(shù)據(jù)隱私�,解決好安全性和彈性方面的基本問題。他們警告稱����,著急上馬實施的加密系統(tǒng),甚至還可能干擾一些基于云的服務(wù)的正常運作���。
亟待解決的六大安全問題分別是:
·違反通知和數(shù)據(jù)駐留
·休眠時期的數(shù)據(jù)管理
·運行過程中的數(shù)據(jù)保護
·加密密鑰管理
·訪問權(quán)限控制
·長期彈性的加密系統(tǒng)
違反通知和數(shù)據(jù)駐留
并非所有的數(shù)據(jù)都需要同等的保護級別���,因此�,企業(yè)應(yīng)該對云存儲的數(shù)據(jù)進行分類�����,在數(shù)據(jù)違反通知或如果數(shù)據(jù)不得存放在其他司法管轄區(qū)時的識別有關(guān)的合規(guī)性要求����。
Gartner還建議,企業(yè)應(yīng)該設(shè)立一套企業(yè)數(shù)據(jù)安全計劃���,從政府執(zhí)法部門的角度確定業(yè)務(wù)管理訪問流程�。該計劃應(yīng)充分考慮到利益相關(guān)者���,如從法律�����、合同��、經(jīng)營單位��、安全和IT等諸多方面進行考慮����。
休眠時期的數(shù)據(jù)管理
企業(yè)應(yīng)該詢問具體的問題,以確定云服務(wù)提供商存儲數(shù)據(jù)的生命周期和安全政策���。
企業(yè)應(yīng)該搞清楚的問題包括:
·如果是使用的多租戶存儲模式,搞清楚住戶之間采用的是什么分離機理��。
·諸如標簽之類的機制是用來防止數(shù)據(jù)被復制到特定的國家或地區(qū)�����。
·用于歸檔和備份的存儲是加密的�,確保密鑰管理策略包括一套強有力的身份識別和訪問管理政策,限制在一定的司法管轄區(qū)內(nèi)��。
Gartner建議企業(yè)通過使用刪除密鑰以切碎數(shù)字數(shù)據(jù)信息�,來實現(xiàn)壽命結(jié)束的加密戰(zhàn)略,同時確保密鑰沒有妥協(xié)或被復制����。
運行過程中的數(shù)據(jù)保護
Gartner建議,作為最低要求����,企業(yè)至少要確保云服務(wù)提供商將支持安全通信協(xié)議���,如SSL/TLS瀏覽器訪問或基于VPN連接的訪問以保護他們的服務(wù)系統(tǒng)。
研究報告稱���,企業(yè)總是加密在云中運行的敏感數(shù)據(jù)���。但如果數(shù)據(jù)是未加密的,同時正在被使用或儲存���,減輕或使得企業(yè)免遭數(shù)據(jù)破壞將是義不容辭的責任����。
Gartner建議�����,在IaaS中����,企業(yè)青睞云服務(wù)提供商提供網(wǎng)絡(luò)租戶之間的分離,使一個租戶不能看到其他租戶的網(wǎng)絡(luò)流量���。
加密密鑰管理
Gartner表示�����,企業(yè)應(yīng)始終瞄準管理加密密鑰����。但如果這是由一個云加密供應(yīng)商所提供的,他們必須確保訪問管理控制到位�����,滿足違反通知要求和數(shù)據(jù)駐留����。
如果密鑰由云服務(wù)提供商管理���,那么企業(yè)應(yīng)該要求基于硬件的密鑰管理系統(tǒng)是在嚴格定義和管理的關(guān)鍵管理流程范圍內(nèi)��。
Gartner表示��,當密鑰是在云中管理����,當務(wù)之急是供應(yīng)商提供嚴密的控制和現(xiàn)場負載監(jiān)控��,以防止?jié)撛诘目煺辗治霁@得密鑰的風險。
訪問權(quán)限控制
Gartner建議企業(yè)要求云服務(wù)提供商支持IP子網(wǎng)訪問限制政策��,使企業(yè)可以限制已知的IP地址范圍和設(shè)備的最終用戶訪問��。
企業(yè)應(yīng)該要求加密提供者提供足夠的用戶訪問和管理控制��,更強的身份驗證��,如雙因素身份驗證�、訪問權(quán)限管理、以及分離安全管理職責�����,例如安全性��、網(wǎng)絡(luò)和維護����。
企業(yè)還應(yīng)該要求:
·對所有訪問云資源的用戶和管理員進行記錄,并以適當?shù)母袷教峁┙o企業(yè)管理日志或安全信息和事件管理系統(tǒng)��。
·云服務(wù)提供商限制訪問敏感系統(tǒng)管理工具可能帶來的“快照”現(xiàn)場工作負載�����,進行數(shù)據(jù)遷移,數(shù)據(jù)備份或恢復數(shù)據(jù)���。
·遷移或快照工具捕獲的圖像與其它敏感的企業(yè)數(shù)據(jù)享有相同的安全處理標準��。
長期彈性的加密系統(tǒng)
Gartner建議企業(yè)需要了解應(yīng)用程序和數(shù)據(jù)庫索引����、搜索和排序的影響����。他們應(yīng)該特別注意先進的搜索功能�����,如子串匹配的功能和通配符�,如“包含”或“以…結(jié)束”。
加密供應(yīng)商是否提供諸如“功能保存加密”的選項�����。例如�,保存排序規(guī)則,要求使用規(guī)范和批準的算法,或可能削弱獨立認證加密����。
來源:CIO時代網(wǎng)
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀點和立場��。版權(quán)事宜請聯(lián)系:010-65363056���。
延伸閱讀
