云平臺(tái)市場(chǎng)競(jìng)爭(zhēng)非常激烈,初創(chuàng)公司不斷涌現(xiàn)試圖爭(zhēng)奪現(xiàn)有供應(yīng)商的市場(chǎng)份額。這種競(jìng)爭(zhēng)推動(dòng)著云服務(wù)提供商(CSP)努力添加新功能來(lái)區(qū)分自己,而可能以犧牲云安全為代價(jià)。
提出有關(guān)云安全的正確問(wèn)題
消費(fèi)者很自然會(huì)基于云計(jì)算功能來(lái)評(píng)估CSP,這意味著他們通常會(huì)向潛在提供商提出這些問(wèn)題:
· 如何快速構(gòu)建基于云計(jì)算的產(chǎn)品?
· 通過(guò)利用CSP,我可以節(jié)省多少成本?
· 哪個(gè)提供商提供最好的高可用性解決方案?
這些都是選擇解決方案時(shí)的關(guān)鍵考慮因素。但是,基于最近數(shù)據(jù)泄露事故的數(shù)量,精明的客戶應(yīng)該重新思考他們應(yīng)該如何選擇CSP。
CSP必須能夠確保云安全,最成功的的提供商應(yīng)該能夠很好地回答以下問(wèn)題:
· 我的數(shù)據(jù)安全嗎?
· 如果發(fā)生云服務(wù)安全泄露事故,會(huì)怎么樣?
· 我如何知道我的云應(yīng)用是否合規(guī)?
這些問(wèn)題都是源于消費(fèi)者對(duì)CSP如何管理關(guān)鍵業(yè)務(wù)資產(chǎn)缺乏認(rèn)識(shí)。為了彌合這一差距,云服務(wù)提供商必須通過(guò)創(chuàng)建透明和開放的溝通來(lái)試圖與消費(fèi)者建立信任。
合規(guī)標(biāo)準(zhǔn)
首先,云服務(wù)提供商必須獲得知名且可信的認(rèn)證,例如ISO 27K。這些獨(dú)立認(rèn)證標(biāo)志將讓消費(fèi)者確信提供商的IT安全級(jí)別。
CSP還應(yīng)該考慮部署云計(jì)算合規(guī)舉措,例如云安全聯(lián)盟(CSA)安全信任和保證項(xiàng)目注冊(cè)(STAR)--旨在公有云服務(wù)的可信缺乏問(wèn)題。
提供透明度
隨著企業(yè)越來(lái)越多地部署多云和混合模式,企業(yè)必須明確消費(fèi)者、提供商及分包商的角色和責(zé)任。CSP應(yīng)該采用協(xié)作的方法確保其所提供產(chǎn)品的整體安全性與合規(guī)性。
CSP還應(yīng)該提供認(rèn)證報(bào)告,例如美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)(CPA)的服務(wù)組織控制(SOC)報(bào)告。他們還應(yīng)該與消費(fèi)者共享事件響應(yīng)計(jì)劃。
審核框架
按照公認(rèn)的安全標(biāo)準(zhǔn)進(jìn)行時(shí)間點(diǎn)審計(jì)的傳統(tǒng)方法可幫助消費(fèi)者建立對(duì)CSP安全做法的信心。然而,云服務(wù)的動(dòng)態(tài)性質(zhì)將驅(qū)使消費(fèi)者對(duì)提供的安全狀態(tài)尋求更大的實(shí)時(shí)透明度。
CSP需要考慮提高消費(fèi)者的可視性,同時(shí),保護(hù)自己的知識(shí)產(chǎn)權(quán)與商業(yè)信譽(yù)。研究和云技術(shù)倡導(dǎo)組織定義了持續(xù)審計(jì)的框架,但這些框架需要CSP的參與才能獲得成功。
云安全是CSP的有效區(qū)分因素。隨著網(wǎng)絡(luò)攻擊數(shù)量和范圍不斷增加,對(duì)于CSP來(lái)說(shuō),解決客戶的顧慮并采取必要的措施建立信任將變得更加重要。
京公網(wǎng)安備 11010502049343號(hào)