云计算部署应关注十大安全问题

围绕云计算的喧嚣可能会让你以为,明天就会发生大规模采纳云计算的事情。然而,来自多方面的研究已经表明,安全是阻碍大规模采纳云计算的最大障碍。现实的情况是,云计算不过是沿着主机、客户机/服务器和Web应用等技术演变路径自然而然的又一阶段而已,所以它也和其他所有阶段一样,都有它自己的安全问题。

当然,对安全的担忧并不能阻止对这些技术的使用,也不能阻止对于能够解决实际业务需求的云应用的采纳。为了确保云是安全的,需要将其作为技术的下一步进化来对待,而不是将其视为一次需要彻底改变安全模式的革命。安全的策略和程序需要针对云模式进行调整,以便对云服务的采用做好准备。和其他的技术一样,我们看到一些早期用户通过带头部署私有云或者在公用云中试验一些非关键性的应用而逐步打消了人们对于云模式的不信任。

企业和组织会询问很多问题,并权衡使用云计算解决方案的利与弊。安全性、可用性和可管理性都是需要考虑的因素。本文所说的是组织应该考虑的10个和安全相关的问题,回答这些问题有助于企业和组织能够对是否需要部署云作出决定,而且,如果需要部署的话,究竟应该采用哪种云模式——私有云、公用云还是混合云?

1.云部署会如何改变企业的风险管理?

部署云计算——无论是私有云还是公用云——都意味着你不再能够完全控制环境、数据或者人员。控制上的变化会带来风险管理上的变化——在某些情况下风险会增加,而在另一些情况下风险可能会降低。某些云应用对你来说会完全透明,而且能提供高级报表功能,并且能够与企业现有的系统进行集成。此类应用会降低企业的风险。而另外一些云应用或许无法改进其安全配置,无法与企业现有的安全措施相匹配,因此有可能使安全风险变大。总而言之,企业的数据及其敏感级别将会最终决定应采取哪类云模式才是合理的。

2.需要做些什么才能确保现有的安全策略能够接纳云模式?

向云模式的迁移是改进企业整体安全状况和安全策略的一个机会。云应用的早期用户将会发挥影响作用,帮助推动由云提供商实施的安全模式。企业不必为了云而去创 建新的安全策略,而是应该扩展现有的安全策略去容纳新增加的云平台。为了部署云而去修改安全策略,需要考虑的其实是一些和以前一样的因素:数据存放在哪儿,如何保护数据,谁能够访问数据,遵从哪些监管条例,以及服务等级协议等等。在数据安全方面,小鸟云为数据建立和采用符合国际标准的防护技术。采用基于文件分块的完全副本冗余方式(冗余2份,副本3份),提高数据存储持久性;并采用HTTPS安全加密传输协议,内网通信采用高强度国际加密标准,防止数据被窃取,维护数据的安全及完整性。

3.云部署会损害企业的法规遵从能力吗?

云部署会改变企业的风险状况,因而可能会影响到企业适应各种法规遵从的能力。这就要求在合规性需要与云部署相关联时,需要重新评估合规性需要。有些云应用有很强的报表功能,可加以剪裁以适应特殊的合规性需要,而有些应用比较通用,不太可能或者不能适应详细的合规性需要。举例说,如果某个国家的法规规定,企业的数据不得存放在国境之外,然而有些云提供商由于其数据中心的位置有可能无法满足这一法规的规定。

  1. 云提供商是否在使用某种安全标准(SAML、WS-Trust、ISO或其他)?

在云计算中,标准发挥着非常重要的作用,因为各种云服务之间的互操作性对于确保云不会陷入专利的安全孤岛来说是至关重要的。有不少的组织已经创建并扩展了支持云的各种标准倡议。Cloud-standards.Org列出了和云计算有关的大多数标准组织,其中也有和云安全标准相关的组织。

  1. 如果发生数据泄漏该如何处理?

当企业在规划云安全时,必须要正确地制定好防止数据泄漏和数据损失的规划。这一点在企业与云服务提供商签署整体协议时是至关重要的一点。云提供商和企业双方都应该制定数据泄漏告知政策或者必须遵从的监管规则。企业必须敦促云提供商在一旦有需要时能够支持企业的告知需要。像小鸟云具有具有完善且严苛的用户数据保密制度及措施,并承诺在任何情况下绝不会将用户数据泄露给第三方

  1. 在保障企业数据的安全时,谁是责任方?或者谁应被视为责任主体?

在实际情况中,安全责任将是双方共担的。然而在公众舆论的法庭看来(至少今天是如此),是企业而不是云提供商负责收集数据,因此只有企业应被视为信息安全的最终责任人。如果企业与云提供商之间的协议签的滴水不漏,或许企业可以少负些责任,和云提供商责任共担,但是从企业客户的角度来看,企业仍然会被认为是最终责任人。

  1. 如何保证只有适当的数据存入云中?

企业必须清楚哪些数据时敏感数据,依据数据和应用的关键与否来构建适当的安全模式,这对于了解哪些数据可以存入云中是非常重要的。这个过程应在考虑云部署之前很久就开始着手,因为这是良好的安全行为的关键部分。很多企业使用数据泄漏防范技术来分类和标记数据。

  1. 如何保证只有经过授权的员工、合作伙伴和客户才能访问数据与应用?

身份管理和访问管理是早已存在的安全挑战,这种挑战在云部署中会被放大一些技术×××,如联邦制、安全虚拟化系统和预配置等都在云安全中发挥着作用,就像它们在今天的IT平台上发挥的作用一样。扩展并补充企业的现有环境去支持云部署,将有助于解决这一问题。

  1. 如何托管企业的数据与应用,怎样的安全技术才是适当的?

云提供商应当提供这方面的信息,因为它会直接影响到一个组织遵从法规的能力。透明是重要和必须的,因为这可以让企业基于对情况的了解而做出决策。

  1. 企业可通过哪些因素去了解和信任云提供商?

在评估一家云提供商的信任等级时,有很多的因素可以考虑。这其中有很多因素和企业在考虑外包合同时所考虑的因素是相通的,比如:提供商及其服务是否成熟;合同的类别,SLA、漏洞程序和安全策略;提供商的业绩记录;是否具有前瞻性的战略等等。

向一种新的计算平台的迁移绝非一件不加慎重考虑便能做决定的事情。对这些问题的答案是复杂的,通常还会引出更多的问题。本文也只是触及了再考虑云平台时的一些有关安全的浅层次问题而已。

另外,企业还应当了解到,他们有能力去推动云中所用的安全技术的发展。应当明了,云的消费者可以、应该,并且会期待着他们负起安全责任来,从而使云成为一个真正能够节约成本,提高生产率的安全的平台。

原文地址:http://blog.51cto.com/11163677/2170866

时间: 2024-11-08 20:43:35

云计算部署应关注十大安全问题的相关文章

关于云计算的十大迷思

关于云计算的十大迷思 云计算依然被多种迷思所困扰.这些迷思可能会减缓企业的发展速度.阻碍创新并引发恐慌.尽管在过去的五年中,云计算的普及度已显著提升,但一些自云计算诞生以来就已存在的迷思一直延续至今.此外,也出现了一些新的迷思. Gartner杰出研究副总裁兼名誉院士级分析师David Smith表示:“云计算是一项以服务的形式来交付的能力.服务提供商与消费者之间存在明显的界限.” “这让大多数人觉得只要‘在云端’就会‘出现神奇的事情’.这样的环境理所当然地会充斥着各种迷思与误区.” Smith

关注2014互联网十大跨界合作大事件

2014年,"生态圈"."智能家居"."020"等成为互联网热议话题,BAT与其他大佬们为布局自己的生态体系而不惜重金砸向几乎饱和并竞争惨烈的其他产业,让做手机的和做空调.做汽车.甚至是卖牛奶的合作成为现实.马云说过:战略就像买股票一样,你的收购和兼并老太太都能看懂,那一定是有问题的.盘点2014互联网十大跨界合作,你能看懂几个? 1.谷歌和联想的软硬结合 2014年1月30日,联想集团与谷歌宣布达成协议.联想将收购摩托罗拉移动(Motorola

跟上节奏 大数据时代十大必备IT技能(转)

新的想法诞生新的技术,从而造出许多新词,云计算.大数据.BYOD.社交媒体……在互联网时代,各种新词层出不穷,让人应接不暇.这些新的技术,这些新兴应用和对应的IT发展趋势,使得IT人必须了解甚至掌握最新的IT技能. 新的想法诞生新的技术,从而造出许多新词,云计算.大数据.BYOD.社交媒体.3D打印机.物联网……在互联网时代,各种新词层出不穷,让人应接不暇.这些新的技术,这些新兴应用和对应的IT发展趋势,使得IT人必须了解甚至掌握最新的IT技能.另一方面,云计算和大数据乃至其他助推各个行业发展的

跟上节奏 大数据时代十大必备IT技能

新的想法诞生新的技术,从而造出许多新词,云计算.大数据.BYOD.社交媒体……在互联网时代,各种新词层出不穷,让人应接不暇.这些新的技术,这些新兴应用和对应的IT发展趋势,使得IT人必须了解甚至掌握最新的IT技能. 新的想法诞生新的技术,从而造出许多新词,云计算.大数据.BYOD.社交媒体.3D打印机.物联网……在互联网时代,各种新词层出不穷,让人应接不暇.这些新的技术,这些新兴应用和对应的IT发展趋势,使得IT人必须了解甚至掌握最新的IT技能.另一方面,云计算和大数据乃至其他助推各个行业发展的

做BI项目管理的朋友,应关注什么

做BI项目管理的朋友,应关注什么呢?BI项目其实也是it项目的一种,一些it项目管理需要注意的事情,同样是需要做BI项目管理的朋友关注的.但是,对于BI项目来说,也尤其独有的一些管理细节需要做BI项目管理的朋友好好关注.注意这些细节,并且把这些方面的管理做到位,能够减少很多麻烦事情哦. 1.项目范畴制定和管理 很多人会自然地把这个步骤理解为用户需求的收集和制定.其实用户需求只是这个过程中的一个手段和结果.不管是自主开发,还是集成商为商业用户开放的项目,最终目的都是为用户解决工作中的问题,同时提高

十大企业级Linux服务器安全防护要点

随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务.数据库服务.集群服务等等. 因此,Linux的安全性就成为了企业构筑安全应用的一个基础,是重中之重,如何对其进行安全防护是企业需要解决的一个基础性问题,基于此,本文将给出十大企业级Linux服务器安全防护的要点. 1.强化:密码管理 设定登录密码是一项非常重要的安全措施,如果用户的密码设定不合适,就很容易被破译,尤其是拥有超级用户使用权限的用户,如果没有良好的密码,将给系统造成很大

Gartner:2016年十大信息安全技术(含解读)

在刚刚结束的2016年Gartner安全与风险管理峰会上,发布了2016年十大信息安全技术(http://www.gartner.com/newsroom/id/3347717).这里提及的10大技术基本上都在以往的报告中详细阐述过.这10大技术分别是: 1)云访问安全代理(CASB):CASB相当于一个应用代理安全网关,安全地连接起用户与多个云服务商,属于云安全身份管理的范畴.这是Gartner在云计算安全领域力推的技术,有多份专门报告,也是Hype Cycle的常客,这里就不多说了.[注:C

网络安全的未来——WAF应当具备的十大特性

概述 据Forrester统计,2013年有超过半数的企业的Web应用被泄露,其中不少因此遭到严重的财务损失.近年来,企业安全事件屡见报端:2011年,多家公司和政府网站被黑客攻击;2012年的DDoS攻击令众多美国银行网站瘫痪;更不用提那些造成数百万用户信用卡信息泄露的网络安全事故了.传统的网络安全防护体系已无法招架如今的黑客们了. 今天,网络罪犯已不仅仅把目光锁定在知名大公司上,每一个存在漏洞的网站都可能成为被攻击的目标.黑客们的攻击方式一般可以分为以下三种:技术性Web攻击.业务逻辑处理攻

十大网络安全趋势:企业管理的新焦点

网络安全不仅是IT和企业安全领域的一部分,以下十个网络安全趋势更将会成为企业管理的新焦点: 1.网络安全将成为非常重要的企业话题:根据过去数月对在中国和其他地区有关网络攻击的观察,我们预计企业将需要更多资源来评估网络安全的风险.去年,PaloAltoNetworks的专家发现在各类企业档案中提到网络安全为风险因素的次数超过一倍,显示出网络安全对企业日益重要. 2.资深黑客将转移目标到移动设备:移动设备在亚洲已非常普及,而员工自携设备上班的情况亦日益增加.因此,它们已成为恶意软件的目标,并成为新威