云计算能够使用虚拟机完成业务集中化管理,因此多数企业选择云计算的初衷是节约运营成本。而云在发展的同时,围绕着它的安全环境却在不断发生变化。这对于云的安全关注点已从原来的端点安全,逐渐转移到了交付的应用程序、数据和用户体验上。这就要求我们在享有云提供的信息完整、开放、良好用户体验等优势的同时,更要保证数据的安全。若没有安全的保障,云应用的价值不仅大打折扣,反而有可能带来灾难。
那么,如何让云计算或者说云技术远离数据安全的隐患呢,要应对各种复杂多变的环境必须建立起系统化的有效防护体系。
数据防护是核心 人们对于信息安全的关注通常从设备和链路,以及防护、阻截等的角度考虑的较多。其实内容或者说数据本身的安全防护才是核心。云计算环境下尤其如此,卫护好数据本身的安全才能够真正实现安全。
基础管控是关键 将近六十个保护最重要资产的安全基础控制,是包括云环境在内的所有信息安全的关键。必须得到确认以确保云技术对您的系统、业务和操作符合安全控制。
加密应该更普遍 这里说的加密,不仅仅是终端到终端加密,而且还包括在将数据转移到云中前,能够在企业内部加密数据。云供应商需要制定强大的加密解决方案,以让企业确保其数据的安全性。
工作负载要关注 通过对设备和应用等信息工作负载的重点关注,充分考虑其独特性,制定更有针对性的安全计划,比传统的操作提供更安全的保障。
构建日志更重要 对管理访问日志保持审计是非常重要的,即有一定量的日志信息可以主动提供给所有需要追踪的企业来进行各种分析。但大多数小型云服务没有提供这种信息。
混合模式颇有效 采用与提供混合的安全服务模式,将云的服务与预置的服务混合起来,多种模式同时进行,一方面有助于减轻压力,另一方面以组合增加了防护的变量,使防护更为行之有效。
安全服务利用好 独立的安全服务咨询、托管等各类服务提供者已经逐渐发展起来,利用好这些专业化的机构或服务商,实行长效的防护乃至事前积极的监测保护,既减轻自身的压力与固定开销,也能够更加主动。
异常检测宜尽早 如果攻击者获取了账户信息,即使是机密也于事无补。所以,云供应商必须部署良好的异常检测系统,并与客户共享这些系统的信息和审计记录。使用不同的工具来确保云供应商满足客户的需求,这是一种分层的办法。
生命周期全程防 敏捷科技提出的全面、全方位、全生命周期的“三全防护”中,全面、全方位主要通过各类信息安全技术来实现,而全生命周期则需要意识、技术、制度综合到位、持续进行,有赖于勤于云技术管理和定期的安全性审查。
风险控制有计划 应制定一个正式的风险缓解计划,包括风险的文件、对这些风险的响应、教育和培训等。还应该看看弹性需求制订一个弹性计划,若想在一场灾难或攻击事件中迅速恢复的话,谨慎确保工作负载可以随时恢复,以及把业务连续性的影响降到最低,这个计划是很重要的。
安全责任要厘清 很多用户都会认为,云服务供应商应该对数据承担责任,而供应商却易责怪客户自身措施不得力。据调查显示,超过三分之一的客户仍然期望其软件即服务供应商保护应用程序和数据的安全。其实手段是重要的,如何有效地运用手段同样重要。只有供求双方各自承担起自己应尽的安全责任才是无懈可击的根本保证。
评估工作须做好 从传统互联网向云上迁移时,在获得共享性和降低成本等好处的同时也面临了更复杂的生态环境。必须对安全漏洞进行评估,确保所有控制都到位且运行正常。同时,在选择云服务供应商之前也需要做好调研工作,需要掌握该服务商传播那些与物理安全、逻辑安全、加密、更改管理和业务持续性以及灾难恢复等属于同类型控件的能力。
云安全不是短期问题,云计算想要继续和长期发展,数据安全问题绝不容小视,本文的这些方法,究其根本,数据本源的安全防护是最重要的。所以在采用云技术的同时,采用具有针对性且能灵活应对的加密技术进行核心数据防护应是一个有效的选择。 ..
|