云計算需要更加完善的安全標準


時間:2013-05-13





  Gartner最近的一項研究預(yù)測了所有云領(lǐng)域的業(yè)務(wù)都將持續(xù)在兩位數(shù)的增長當中。

  但將關(guān)鍵功能外包給第三方還請用戶們重點關(guān)注一下安全問題。當企業(yè)將IT業(yè)務(wù)運行在內(nèi)部時,則可以進行安全協(xié)議的定義與控制。但當依靠云服務(wù)供應(yīng)商時,你又怎么能了解到安全協(xié)議存在哪里?并且它們是怎樣執(zhí)行的呢?

  為了解決這些問題,云產(chǎn)業(yè)本身也在不斷演變與調(diào)整其架構(gòu)。通過定義云的安全標準則是最佳的解決方法——在其行業(yè)范圍內(nèi)提供一個統(tǒng)一的標準,使其成為云服務(wù)供應(yīng)商公認的認證標準。通過貫徹與廣泛采用這類標準,潛在的云客戶將使用評估工具對云服務(wù)提供商進行安全評估。

  但是,很多業(yè)內(nèi)的云服務(wù)提供商還未采用統(tǒng)一的標準。他們采納了自己所認可的準則,現(xiàn)有的各種協(xié)議則致使了迷惑性引導(dǎo)的產(chǎn)生。

  云安全聯(lián)盟

  規(guī)模最大且參與者眾多的安全標準機構(gòu)是CSA或稱作云安全聯(lián)盟Cloud Security Alliance。其中包括亞馬遜網(wǎng)絡(luò)服務(wù)公司、微軟、甲骨文、紅帽、RackSpace和Salesforce公司等還包括幾十個企業(yè),最有前景的云服務(wù)企業(yè)都支持CSA。

  CSA已經(jīng)開發(fā)出一個合規(guī)標準,被稱作為CCM或云控制矩陣Cloud Control Matrix。該標準被整理到Excel電子表格當中,CCM涉獵十多個云基礎(chǔ)設(shè)施領(lǐng)域,包括風險管理和安全信息等。CCM已超越了其本身安全問題的范疇,當中還包含了政府、法律法規(guī)和硬件架構(gòu)等合規(guī)解決措施。

  CCM闡述了數(shù)百條標準。例如,從類別“設(shè)施安全-安全區(qū)域授權(quán)”當中,你可以找到如下控制規(guī)范:安全區(qū)域的入口和出口應(yīng)受到限制,并監(jiān)視物理訪問控制機制以確保只有經(jīng)過授權(quán)的人員才可以進入。

  顯然,該標準講的是云服務(wù)供應(yīng)商設(shè)施的物理安全問題。但標準并不完全支配其實施的行動。

  針對客戶對云服務(wù)供應(yīng)商的評估,如果該廠商可以向你保證一個審計標準,并在提供符合在本例中CCM V1.3控制規(guī)范FS-04的情況下,這將遠遠優(yōu)于一無所知或是簡單地聽取供應(yīng)商一面之詞的境況。

  NIST、IEEE和ENISA

  這些標準機構(gòu)向全世界分享了一個有愛的名字,它們讀起來似乎是一輪拼字游戲。他們也正在開發(fā)自己的準則,其中也覆蓋到了云服務(wù)安全性的問題。

  NIST,美國國家標準與技術(shù)研究所,該機構(gòu)在去年公布了其公共云計算安全和隱私準則。不同于CSA的CCM標準,NIST的指導(dǎo)方針則是針對云客戶及其相關(guān)細節(jié)的——對于潛在的云服務(wù)提供商,客戶應(yīng)考慮提出哪些咨詢問題。

  IEEE,電氣和電子工程師協(xié)會,已著手開發(fā)自己的云安全標準。并稱其為P2301項目-云可移植性和互操作性指南-IEEE的標準定義主要集中在云供應(yīng)商之間的互操作性上。

  雖然安全只是互操作標準的一個方面,但云客戶互操作本身就是一個關(guān)鍵,以避免對云服務(wù)供應(yīng)商產(chǎn)生潛在的依賴。若沒有這些標準,因此則很容易在云服務(wù)供應(yīng)商之間產(chǎn)生數(shù)據(jù)的移動和流程的更改??蛻魧⒛軌蛞源丝ㄗ」?yīng)商,這也將成為一個關(guān)于安全的法律責任標準。

  為了不被冷落,歐洲網(wǎng)絡(luò)與信息安全局或稱作ENISA也已頒布了其速成的安全標準:云合同安全服務(wù)水平監(jiān)測指南。該指南面向公共云客戶,ENISA將引導(dǎo)用戶向云供應(yīng)商提出細節(jié)性問題,以確保云供應(yīng)商能夠嚴格遵守安全協(xié)議。

  謹防SAS 70

  在這個云服務(wù)快速發(fā)展的世界中,這個SAS 70標準的光芒正在逐漸消退,該標準是美國會計師協(xié)會審計準則委員會所頒布的審計標準的一部分。雖然它最初的設(shè)計是用來監(jiān)督企業(yè)遵守財務(wù)報告規(guī)則的,但一些云服務(wù)供應(yīng)商依然使用SAS 70來作為一個所謂的安全協(xié)議認證。

  包括Gartner在內(nèi)的一些批評家說,在為客戶提供有用的安全保障下,SAS 70具備明顯的不足。有人認為該審計標準已與云服務(wù)安全性原意相去甚遠,根本無法滿足現(xiàn)代威脅評估的需求。此外,SAS 70已被批評為是一種瞬時標準,它基本上是無法反應(yīng)服務(wù)供應(yīng)商持續(xù)表現(xiàn)的。

  高調(diào)的云服務(wù),類似亞馬遜遇到的一些“挫折”,雖然其技術(shù)遵從SAS 70準則,但它仍對審核標準蒙上了污點。因此,現(xiàn)如今當客戶評估云服務(wù)提供商時,都被警告不要把太多的重點放在SAS 70認證上。Gartner建議用自我評估和協(xié)商過的審計程序來完善補充SAS 70標準。


來源:機房360



  版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。

延伸閱讀

熱點視頻

第六屆中國報業(yè)黨建工作座談會(1) 第六屆中國報業(yè)黨建工作座談會(1)

熱點新聞

熱點輿情

特色小鎮(zhèn)

版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583