关于云安全战略的五大贴士

2014-06-13


         当涉及到采用云计算时,安全问题仍然是企业IT部门所顾虑的一个主要障碍。而今年4月份在马萨诸塞州举行的技术领导委员会的研讨会上,这一问题被再次得到重申。
         本次研讨会围绕着确保云中数据的安全、可用性等议题,吸引了来自信息安全业界、IT业界和商界的众多大佬们的关注。
   
  尽管如此,仍然有很多机构正在考虑“云优先”战略的相关条款,包括美国联邦政府。而对于正在寻找有关云安全的指导的读者们,中国E动网将在本文中为您介绍来自本次研讨会的专家小组成员们所给出的如何在与服务提供商合作之前,尽量减少安全风险的五大提示。
  
  1、慢慢来,不要操之过急。
  充分利用免费清单、风险评估方法和相关可用的信息以充分了解云计算的安全。马萨诸塞州伯灵顿的一家软件即服务安全提供商Veracode公司的联合创始人兼首席技术官Chris Wysopal建议企业可以从云安全联盟开始。“云计算是一个新的基础设施,企业必须了解如何安全地使用它。”他说。“企业不能像使用所有传统安全技术那样来使用云计算,所以,必须对如何正确使用云计算进行很多的自我教育工作。”
  
  2、定制你的合同。
  通过提前考虑应该怎样制定服务协议以便未雨绸缪。例如,你的云服务提供商将如何应对分布式拒绝服务(DDoS)攻击?很多时候,这一问题都被忽视了。马萨诸塞州韦克菲尔德市场营销公司Epsilon的首席信息安全官Chris Ray说,“确保你企业的相关具体需求都在你的合同中有相应的规定。 ”
  
  3、将企业的工作日志集中在一处。
  专家指出,将企业所有的工作都汇集日志到一个中心位置是拥有多个网络主机相互作用的企业的最佳实践方案。“最重要的第一规则是:始终确保对数据信息的掌控。”马萨诸塞州沃尔瑟姆终端和服务器的安全提供商Bit9的首席安全官Nick Levay表示。
   
  4、保护主机。
  花更多的时间专注于您企业的主机,而非网络的安全措施,因为“企业对于网络不太可能进行尽可能多的控制。”Wysopal说。他推荐采用基于主机的入侵检测系统如Threat Stack或Tripwire “作为了解在主机层发生了什么的一种方法。”
  
  5、寻求服务验证。
  “始终通过寻找第三方来为您的服务提供商提供担保。”Wysopal说。一种方法是询问其是否有SOC 3(Service Organization Control)报告,或者最好是SOC 2报告。该文件报告来自看重安全,可用性,完整性,处理进程及企业内部的保密或隐私控制的第三方的审计师。SOC 3和SOC 2 的报告涵盖相同的内容,但SOC 2的报告内容更详细。