安全團隊和開(kāi)發(fā)人員可以發(fā)現難以掌握基于云計算的控制概念。但實(shí)際上,放棄其廣域網(wǎng)中光纖和銅纜的所有權也是類(lèi)似的情況:電信運營(yíng)商擁有物理基礎設施,但數據仍由客戶(hù)擁有和控制。這一切都與描述安全責任有關(guān)。一旦定義了切換點(diǎn),企業(yè)就會(huì )知道除此之外,其云計算服務(wù)提供商負責安全性。
最重要的是,企業(yè)應該與云計算提供商合作,以確保對更高程度的邏輯隔離進(jìn)行加密。空閑和傳輸中的數據加密通常被視為在公共云平臺上另一種保護和隔離數據的方式。雖然任何人都不可能闖入公共云數據中心,并物理竊取包含數據的磁盤(pán)驅動(dòng)器,但強烈建議企業(yè)考慮使用空閑數據加密。
加強監督并重新調整審計目標
隨著(zhù)監管環(huán)境越來(lái)越復雜,越來(lái)越多地要求使用云計算的組織展示其強大的治理。企業(yè)已將某些控制權委托給其云計算服務(wù)供應商,這一事實(shí)意味著(zhù)企業(yè)必須證明治理程序已到位并且正在遵循。
為此,企業(yè)應該尋求與提供安全性和合規性監控和報告的云計算服務(wù)提供商合作。并且采用必要的方法和合規性證明,可確保企業(yè)云計算工作負載能夠滿(mǎn)足審核時(shí)間的要求。
比較企業(yè)的安全需求,并根據SLA衡量云計算服務(wù)商的性能
另一個(gè)需要密切關(guān)注的是合同條款,它約束了云計算服務(wù)商在保護客戶(hù)數據和隱私方面的作用。與超大規模云計算提供商簽訂的合同往往絕大多數都會(huì )保護這些云計算服務(wù)商,但是可以與一些云計算服務(wù)商合作,就更有利于客戶(hù)的條款達成協(xié)議。
最終的影響和建議是圍繞云計算服務(wù)提供商合同和服務(wù)等級協(xié)議(SLA)。許多云計算服務(wù)商,特別是超大規模的提供商,在其SLA上可能非常嚴格,并且在被要求更改它們時(shí)可能非常不靈活。了解云計算服務(wù)提供商在合規性的不同方面的立場(chǎng)非常重要。但他們能夠分享認證和證明嗎?他們的SLA對可用性等主題有多大的靈活性?如果SLA不提供服務(wù),他們會(huì )支付服務(wù)信用嗎?在開(kāi)始使用云計算服務(wù)提供商的服務(wù)之前,這些是企業(yè)需要獲得這些問(wèn)題的答案。在此提出的另一條建議是將外部托管數據的安全要求與風(fēng)險偏好背景下的云計算服務(wù)提供商功能進(jìn)行比較。
總而言之,隨著(zhù)安全風(fēng)險和合規性法規的不斷增加,以及云計算服務(wù)的采用,理解云計算安全方面的共同責任非常重要。在云中放棄和保留控制之間取得適當的平衡,將使企業(yè)能夠安全地利用云計算服務(wù)的諸多優(yōu)勢。控制云計算并不意味著(zhù)企業(yè)應該管理云計算的每一個(gè)方面,但要確保知道應該負責什么職責,并獲得正確的控制。
