CobiNet(寧波)推薦文章:
認(rèn)證是評估云提供商的安全性的一個(gè)很好的起點(diǎn)���,但如果用戶想了解其中有多大的風(fēng)險(xiǎn)��,就不能只是簡單的照本宣科����,必須進(jìn)行更深一步的了解����。
評估和認(rèn)證旨在幫助企業(yè)了解提供商采取了哪些步驟來保護(hù)機(jī)密信息。不過���,雖然安全認(rèn)證可以給于用戶一定程度的信心���,但只靠它們來保證信息安全往往是不夠的���。
數(shù)據(jù)安全仍然是公有云的一大死穴。 緊隨價(jià)格之后���,供應(yīng)商提供什么程度的安全性是所有企業(yè)在檢驗(yàn)公有云服務(wù)時(shí)首先要問的問題之一��, Dan Blum���,一家總部設(shè)在華盛頓特區(qū)的咨詢公司,Security Architects LLC的管理合伙人及首席顧問說道��。
組織經(jīng)常會(huì)對于將敏感信息從自己的數(shù)據(jù)中心移到第三方提供商時(shí)感到不安��。為了緩和這種感覺���,企業(yè)會(huì)先確認(rèn)供應(yīng)商已經(jīng)完成了某種程度的云安全評估��,或持有某些認(rèn)證�����。這些云安全認(rèn)證通常由兩部分組成���。首先���,由一個(gè)特設(shè)專家小組開發(fā)一個(gè)框架,概述應(yīng)該執(zhí)行哪些檢查來確保護(hù)數(shù)據(jù)的安全�。然后,由第三方負(fù)責(zé)開發(fā)具體的流程��,以確保這些檢查工作落到實(shí)處����。
IT安全認(rèn)證基準(zhǔn)
安全性是很復(fù)雜的,因此�,這些年來�����,來自許多不同的組織開發(fā)的框架便應(yīng)運(yùn)而生�����。當(dāng)企業(yè)想評估云提供商的安全性時(shí)����,往往會(huì)從審核業(yè)務(wù)標(biāo)準(zhǔn)16的報(bào)表開始��,據(jù)Pete Lindstrom����,總部設(shè)在馬薩諸塞州Framingham的分析公司�,IDC的安全研究副總裁表示。
美國注冊會(huì)計(jì)師研究所制定了該規(guī)范�,它定義了服務(wù)提供商應(yīng)該如何部署安全控制。該規(guī)范產(chǎn)生三份報(bào)表:服務(wù)組織控制(SOC)1側(cè)重于財(cái)務(wù)報(bào)告;SOC 2報(bào)表則評估安全性���,可用性���,過程完整性,廠商內(nèi)部系統(tǒng)的保密性和隱私性;而SOC3報(bào)表所描述的信息與SOC2相同����,但是旨在面向一般受眾,而不是特定方��。
國際標(biāo)準(zhǔn)化組織(ISO)和國際電工委員會(huì)(IEC)兩大組織共同合作��,制定了第二個(gè)標(biāo)準(zhǔn)���。ISO 27001規(guī)范側(cè)重于信息安全管理體系而ISO 27002描述了系統(tǒng)控制����。
云安全評估和認(rèn)證
前面所提的標(biāo)準(zhǔn)沒有針對云和傳統(tǒng)本地系統(tǒng)的安全性進(jìn)行區(qū)別對待,但是��,近來專為云所設(shè)計(jì)的安全評估和認(rèn)證開始崛起�����。例如����,國家標(biāo)準(zhǔn)和技術(shù)研究所特別出版物-500的規(guī)范概括了云計(jì)算在美國聯(lián)邦政府中的作用。該文件涉及了云運(yùn)營��、管理和安全問題���。
垂直標(biāo)準(zhǔn)初具規(guī)模
除了水平的標(biāo)準(zhǔn)之外,在評估云服務(wù)提供商時(shí)�,還可以了解以下行業(yè)認(rèn)證:
健康保險(xiǎn)可移植性和責(zé)任法案是用來保護(hù)個(gè)人醫(yī)療信息,主要是在美國�。
PCI-DSS保障消費(fèi)者信用卡付款信息。
FedRAMP監(jiān)控政府?dāng)?shù)據(jù)并提供了標(biāo)準(zhǔn)的方法來進(jìn)行安全評估�����,授權(quán)和云服務(wù)的不間斷監(jiān)測。
信息保障框架是由歐洲網(wǎng)絡(luò)信息和安全局開發(fā)的�����,目的是關(guān)閉網(wǎng)絡(luò)和信息安全漏洞����。
成立于2008年12月,云安全聯(lián)盟(CSA)是為采用云計(jì)算的企業(yè)提供指導(dǎo)的聯(lián)盟�����。該組織的云控制矩陣包括了能幫助未來云用戶評估云提供商整體安全風(fēng)險(xiǎn)的原則���。該組織的安全����,信任和保證注冊(STAR)的評估和認(rèn)證過程提供三個(gè)等級的云安全認(rèn)證:1級是由供應(yīng)商進(jìn)行自我評估;2級是由第三方所做的供應(yīng)商評估;而3級則是基于持續(xù)不斷的安全檢測���,而不僅僅是一次性的檢查�����。
買家當(dāng)心
云供應(yīng)商所持有的各種標(biāo)準(zhǔn)和認(rèn)證常常附帶一些額外條件�����。首先����,他們無法提供一些企業(yè)所想要的牢不可破的保證;而認(rèn)證只提供了提供商在安全檢查方面的高層次概述。
第二��,這些規(guī)范本身只在高層次起作用���。例如���,某認(rèn)證可能要求企業(yè)部署強(qiáng)大的身份認(rèn)證系統(tǒng),但卻不強(qiáng)制該組織使用生物識別技術(shù)���。
第三����,這些標(biāo)準(zhǔn)經(jīng)常有重疊的部分�。例如CSA STAR 1級認(rèn)證的一部分�����,是基于SOC2的要求,而CSA的2級認(rèn)證則使用了部分ISO/IEC 27001的標(biāo)準(zhǔn)�����。
最后��,認(rèn)證的過程是費(fèi)時(shí)和昂貴的���。因此�����,舊的認(rèn)證便在云服務(wù)提供商之間得到越來越廣泛的采納����。 許多大型云服務(wù)提供商都通過了流行的認(rèn)證����, Lindstrom說道。
部分認(rèn)證接受度低
新的云安全認(rèn)證的數(shù)量還很少;只有大約20家云供應(yīng)商已經(jīng)公開聲明�����,他們完成了CSA STAR的自我評估,30家第三方廠商可以提供2級認(rèn)證�,根據(jù)Jim Reavis,CSA的聯(lián)合創(chuàng)始人兼CEO表示��。
小型�����,利基市場或初創(chuàng)云提供商可能缺乏認(rèn)證��。 客戶必須確定他們對于所提供服務(wù)的需求勝過任何潛在的安全風(fēng)險(xiǎn)���, Blum說道����。
請記住�����,云安全評估和認(rèn)證并不是一個(gè)供應(yīng)商安全態(tài)勢的完整體現(xiàn)�����。Blum表示,想要充分了解你的供應(yīng)商如何實(shí)現(xiàn)其安全流程�,以及這些流程是否足夠,企業(yè)需要仔細(xì)閱讀各種報(bào)告����。這些報(bào)告通常不會(huì)在一個(gè)云提供商的網(wǎng)站上發(fā)布��,所以用戶必須做一些功課才能找到這些信息�。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊����,10G屏蔽模塊,屏蔽線生產(chǎn)廠家���。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn���,網(wǎng)址78867.cn
