即便是擁有一些到位的認證和安全軟件系統,云供應商仍然需要與合作伙伴及客戶進行協作以便于實施能夠解決企業(如醫療保健、零售和金融等第)在不同垂直層面上托管和法規需求的技術,必須保護特定數據集。
“其關鍵在于首先理解客戶及其需求,并設計針對這些需求的解決方案,” Timko說。“雖然在平臺本身有著內置的固有保護措施,但是我們為其量身定制了特定環境的解決方案,例如全磁盤或基于文件的加密、客戶密鑰管理、入侵檢測/防御、安全信息和事件管理(SIEM)、日志分析、雙重模式身份驗證、物理隔離等等。
Mark Cavaliero是美國Carolinas IT公司的創始人兼CEO,這家公司提供私有托管云產品,業務范圍涉及交付基于私有云和公共云的應用、服務器、臺式機和數據存儲技術。Cavaliero表示,他的公司已經實施了一個能夠滿足法律和托管標準的企業級產品,它可確定如何保護數據,其中包括:
支付卡行業數據安全標準(PCI DSS),這是一個供企業保護信用卡信息的專用信息安全標準。
2002年的Sarbanes-Oxley法案(SOX),它要求對支持企業披露準確性和可靠性的數據進行保護和存儲。
1996年的健康保險流通與責任法案(HIPAA),它規定了受保護健康電子信息的國家級安全性標準。
此外,Carolinas IT公司已經開發了標準操作流程(SOP)標準的擴展框架,它可確保其團隊遵守與其所處環境相關的特定標準。該企業每年都對其相關SOP框架進行審核,該框架結合了來自多個標準、安全準則和組織的最佳實踐,具體包括CSA的云控制矩陣、美國國家標準與技術研究院(NIST)、國防部(DoD)以及信息技術基礎設施庫(ITIL)。
該公司還擁有一支ISACA認證的信息系統審計師隊伍,來滿足其客戶的監管要求及其自身內部的安全和合規性需求。
Cavaliero說,提供云服務的部分工作是在客戶的安全運行中尋找漏洞,并提供能夠讓他們在紛紛攘攘的市場中脫穎而實現可持續發展的解決措施。
“作為讓我們與眾不同的安全類型的一個例子,我們提供了一個每次自動記錄技術人員訪問密碼的功能。當某位技術人員離職后,我們可以立即更改他可能訪問過的密碼,”Cavaliero說。“我們還提供了一個定期修改密碼的程序。雖然客戶們可能不會過問這些安全措施,但是這些手段可以讓我們有信心不辜負客戶對我們的信任。”
Carolinas的IT團隊也非常關注建立一個多層次的安全體系架構,它結合了周邊安全、基于規則的保護、基于端口的安全、加密、高級身份驗證方法、物理安全、邏輯與物理分割、威脅特征、行為分析以及深度包檢查。
“我們監測著出入我們云的流量,并對流出請求使用高級的名稱解析控制措施,”Cavaliero說。“我們監測流量和使用率異常,我們會主動地在各個層次打補丁,具體包括BIOS、虛擬機管理程序、操作系統和應用等層次。”
京公網安備 11010502049343號