将夜猫腻小说,小说,盗墓笔记txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

云供應商安全評估：小心落入陷阱

認證是評估云提供商的安全性的一個很好的起點，但如果用戶想了解其中有多大的風險，就不能只是簡單的照本宣科，必須進行更深一步的了解。

云安全評估和認證旨在幫助企業(yè)了解提供商采取了哪些步驟來保護機密信息。不過，雖然安全認證可以給于用戶一定程度的信心，但只靠它們來保證信息安全往往是不夠的。

數(shù)據(jù)安全仍然是公有云的一大死穴?！熬o隨價格之后，供應商提供什么程度的安全性是所有企業(yè)在檢驗公有云服務時首先要問的問題之一，”Dan Blum，一家總部設在華盛頓特區(qū)的咨詢公司，Security Architects LLC的管理合伙人及***顧問說道。

組織經(jīng)常會對于將敏感信息從自己的數(shù)據(jù)中心移到第三方提供商時感到不安。為了緩和這種感覺，企業(yè)會先確認供應商已經(jīng)完成了某種程度的云安全評估，或持有某些認證。這些云安全認證通常由兩部分組成。首先，由一個特設專家小組開發(fā)一個框架，概述應該執(zhí)行哪些檢查來確保護數(shù)據(jù)的安全。然后，由第三方負責開發(fā)具體的流程，以確保這些檢查工作落到實處。

IT安全認證基準

IT安全性是很復雜的，因此，這些年來，來自許多不同的組織開發(fā)的框架便應運而生。當企業(yè)想評估云提供商的安全性時，往往會從審核業(yè)務標準16的報表開始，據(jù)Pete Lindstrom，總部設在馬薩諸塞州Framingham的分析公司，IDC的安全研究副總裁表示。

美國注冊會計師研究所制定了該規(guī)范，它定義了服務提供商應該如何部署安全控制。該規(guī)范產(chǎn)生三份報表：服務組織控制(SOC)1側重于財務報告;SOC 2報表則評估安全性，可用性，過程完整性，廠商內(nèi)部系統(tǒng)的保密性和隱私性;而SOC3報表所描述的信息與SOC2相同，但是旨在面向一般受眾，而不是特定方。

國際標準化組織(ISO)和國際電工委員會(IEC)兩大組織共同合作，制定了第二個標準。ISO 27001規(guī)范側重于信息安全管理體系而ISO 27002描述了系統(tǒng)控制。

云安全評估和認證

前面所提的標準沒有針對云和傳統(tǒng)本地系統(tǒng)的安全性進行區(qū)別對待，但是，近來專為云所設計的安全評估和認證開始崛起。例如，國家標準和技術研究所特別出版物-500的規(guī)范概括了云計算在美國聯(lián)邦政府中的作用。該文件涉及了云運營、管理和安全問題。

垂直標準初具規(guī)模

除了水平的標準之外，在評估云服務提供商時，還可以了解以下行業(yè)認證：

健康保險可移植性和責任法案是用來保護個人醫(yī)療信息，主要是在美國。
PCI-DSS保障消費者信用卡付款信息。
FedRAMP監(jiān)控政府數(shù)據(jù)并提供了標準的方法來進行安全評估，授權和云服務的不間斷監(jiān)測。

信息保障框架是由歐洲網(wǎng)絡信息和安全局開發(fā)的，目的是關閉網(wǎng)絡和信息安全漏洞。

成立于2008年12月，云安全聯(lián)盟(CSA)是為采用云計算的企業(yè)提供指導的聯(lián)盟。該組織的云控制矩陣包括了能幫助未來云用戶評估云提供商整體安全風險的原則。該組織的安全，信任和保證注冊(STAR)的評估和認證過程提供三個等級的云安全認證：1級是由供應商進行自我評估;2級是由第三方所做的供應商評估;而3級則是基于持續(xù)不斷的安全檢測，而不僅僅是一次性的檢查。

買家當心

云供應商所持有的各種標準和認證常常附帶一些額外條件。首先，他們無法提供一些企業(yè)所想要的牢不可破的保證;而認證只提供了提供商在安全檢查方面的高層次概述。

第二，這些規(guī)范本身只在高層次起作用。例如，某認證可能要求企業(yè)部署強大的身份認證系統(tǒng)，但卻不強制該組織使用生物識別技術。

第三，這些標準經(jīng)常有重疊的部分。例如CSA STAR 1級認證的一部分，是基于SOC2的要求，而CSA的2級認證則使用了部分ISO/IEC 27001的標準。

***，認證的過程是費時和昂貴的。因此，舊的認證便在云服務提供商之間得到越來越廣泛的采納?！霸S多大型云服務提供商都通過了流行的認證，”Lindstrom說道。

部分認證接受度低

新的云安全認證的數(shù)量還很少;只有大約20家云供應商已經(jīng)公開聲明，他們完成了CSA STAR的自我評估，30家第三方廠商可以提供2級認證，根據(jù)Jim Reavis，CSA的聯(lián)合創(chuàng)始人兼CEO表示。

小型，利基市場或初創(chuàng)云提供商可能缺乏認證?！翱蛻舯仨毚_定他們對于所提供服務的需求勝過任何潛在的安全風險，”Blum說道。

請記住，云安全評估和認證并不是一個供應商安全態(tài)勢的完整體現(xiàn)。Blum表示，想要充分了解你的供應商如何實現(xiàn)其安全流程，以及這些流程是否足夠，企業(yè)需要仔細閱讀各種報告。這些報告通常不會在一個云提供商的網(wǎng)站上發(fā)布，所以用戶必須做一些功課才能找到這些信息。

分享名稱：云供應商安全評估：小心落入陷阱
本文路徑：http://m.fisionsoft.com.cn/article/dpeisjj.html

新聞中心

其他資訊