CobiNet(寧波)推薦文章:
認證是評估云提供商的安全性的一個很好的起點,但如果用戶想了解其中有多大的風(fēng)險��,就不能只是簡單的照本宣科�,必須進行更深一步的了解。
評估和認證旨在幫助企業(yè)了解提供商采取了哪些步驟來保護機密信息��。不過�,雖然安全認證可以給于用戶一定程度的信心,但只靠它們來保證信息安全往往是不夠的���。
數(shù)據(jù)安全仍然是公有云的一大死穴�����。 緊隨價格之后�����,供應(yīng)商提供什么程度的安全性是所有企業(yè)在檢驗公有云服務(wù)時首先要問的問題之一�, Dan Blum,一家總部設(shè)在華盛頓特區(qū)的咨詢公司���,Security Architects LLC的管理合伙人及首席顧問說道����。
組織經(jīng)常會對于將敏感信息從自己的數(shù)據(jù)中心移到第三方提供商時感到不安�����。為了緩和這種感覺��,企業(yè)會先確認供應(yīng)商已經(jīng)完成了某種程度的云安全評估��,或持有某些認證����。這些云安全認證通常由兩部分組成。首先����,由一個特設(shè)專家小組開發(fā)一個框架,概述應(yīng)該執(zhí)行哪些檢查來確保護數(shù)據(jù)的安全�����。然后����,由第三方負責(zé)開發(fā)具體的流程,以確保這些檢查工作落到實處��。
IT安全認證基準
安全性是很復(fù)雜的�,因此,這些年來���,來自許多不同的組織開發(fā)的框架便應(yīng)運而生�。當(dāng)企業(yè)想評估云提供商的安全性時����,往往會從審核業(yè)務(wù)標準16的報表開始,據(jù)Pete Lindstrom��,總部設(shè)在馬薩諸塞州Framingham的分析公司���,IDC的安全研究副總裁表示����。
美國注冊會計師研究所制定了該規(guī)范,它定義了服務(wù)提供商應(yīng)該如何部署安全控制����。該規(guī)范產(chǎn)生三份報表:服務(wù)組織控制(SOC)1側(cè)重于財務(wù)報告;SOC 2報表則評估安全性,可用性��,過程完整性���,廠商內(nèi)部系統(tǒng)的保密性和隱私性;而SOC3報表所描述的信息與SOC2相同�,但是旨在面向一般受眾���,而不是特定方��。
國際標準化組織(ISO)和國際電工委員會(IEC)兩大組織共同合作����,制定了第二個標準���。ISO 27001規(guī)范側(cè)重于信息安全管理體系而ISO 27002描述了系統(tǒng)控制����。
云安全評估和認證
前面所提的標準沒有針對云和傳統(tǒng)本地系統(tǒng)的安全性進行區(qū)別對待�����,但是�,近來專為云所設(shè)計的安全評估和認證開始崛起。例如��,國家標準和技術(shù)研究所特別出版物-500的規(guī)范概括了云計算在美國聯(lián)邦政府中的作用���。該文件涉及了云運營���、管理和安全問題。
垂直標準初具規(guī)模
除了水平的標準之外�����,在評估云服務(wù)提供商時����,還可以了解以下行業(yè)認證:
健康保險可移植性和責(zé)任法案是用來保護個人醫(yī)療信息,主要是在美國�����。
PCI-DSS保障消費者信用卡付款信息。
FedRAMP監(jiān)控政府?dāng)?shù)據(jù)并提供了標準的方法來進行安全評估�����,授權(quán)和云服務(wù)的不間斷監(jiān)測�。
信息保障框架是由歐洲網(wǎng)絡(luò)信息和安全局開發(fā)的,目的是關(guān)閉網(wǎng)絡(luò)和信息安全漏洞��。
成立于2008年12月����,云安全聯(lián)盟(CSA)是為采用云計算的企業(yè)提供指導(dǎo)的聯(lián)盟。該組織的云控制矩陣包括了能幫助未來云用戶評估云提供商整體安全風(fēng)險的原則�����。該組織的安全��,信任和保證注冊(STAR)的評估和認證過程提供三個等級的云安全認證:1級是由供應(yīng)商進行自我評估;2級是由第三方所做的供應(yīng)商評估;而3級則是基于持續(xù)不斷的安全檢測����,而不僅僅是一次性的檢查。
買家當(dāng)心
云供應(yīng)商所持有的各種標準和認證常常附帶一些額外條件�����。首先,他們無法提供一些企業(yè)所想要的牢不可破的保證;而認證只提供了提供商在安全檢查方面的高層次概述�。
第二,這些規(guī)范本身只在高層次起作用���。例如,某認證可能要求企業(yè)部署強大的身份認證系統(tǒng)����,但卻不強制該組織使用生物識別技術(shù)。
第三�����,這些標準經(jīng)常有重疊的部分�。例如CSA STAR 1級認證的一部分,是基于SOC2的要求�����,而CSA的2級認證則使用了部分ISO/IEC 27001的標準���。
最后�����,認證的過程是費時和昂貴的�����。因此��,舊的認證便在云服務(wù)提供商之間得到越來越廣泛的采納���。 許多大型云服務(wù)提供商都通過了流行的認證��, Lindstrom說道�。
部分認證接受度低
新的云安全認證的數(shù)量還很少;只有大約20家云供應(yīng)商已經(jīng)公開聲明�,他們完成了CSA STAR的自我評估,30家第三方廠商可以提供2級認證���,根據(jù)Jim Reavis�,CSA的聯(lián)合創(chuàng)始人兼CEO表示���。
小型����,利基市場或初創(chuàng)云提供商可能缺乏認證。 客戶必須確定他們對于所提供服務(wù)的需求勝過任何潛在的安全風(fēng)險���, Blum說道����。
請記住��,云安全評估和認證并不是一個供應(yīng)商安全態(tài)勢的完整體現(xiàn)���。Blum表示,想要充分了解你的供應(yīng)商如何實現(xiàn)其安全流程��,以及這些流程是否足夠���,企業(yè)需要仔細閱讀各種報告�����。這些報告通常不會在一個云提供商的網(wǎng)站上發(fā)布���,所以用戶必須做一些功課才能找到這些信息。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類���,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊�����,10G屏蔽模塊�,屏蔽線生產(chǎn)廠家。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn����,網(wǎng)址m.czchengbang.com
