作為一個(gè)概念來說,云計(jì)算的定義是非常模糊的,很多希望對其界定的嘗試最終都失敗了。但是,我們又必須使用到它。畢竟,它是存在商業(yè)價(jià)值的,如果被忽略,就會(huì)影響到競爭優(yōu)勢的增加。因此,我們需要了解如何將這一新興技術(shù)安全地融合到自身的業(yè)務(wù)流程中。
對云進(jìn)行準(zhǔn)確定義
為了讓概念更清晰,方便大家的理解,我將云計(jì)算定義為由第三方提供的為業(yè)務(wù)流程提供技術(shù)支持或者服務(wù)的所有基礎(chǔ)設(shè)施或服務(wù)。為了在最大程度上提高商業(yè)價(jià)值,這其中也應(yīng)該包括按需擴(kuò)展性和增強(qiáng)的業(yè)務(wù)流程連續(xù)性。舉例來說:
供應(yīng)商開發(fā)和托管的網(wǎng)絡(luò)服務(wù),它們已經(jīng)被集成到內(nèi)部開發(fā)的系統(tǒng)中,但需要通過網(wǎng)絡(luò)進(jìn)行訪問供應(yīng)商對由內(nèi)部工作人員開發(fā)和管理的服務(wù)器托管應(yīng)用進(jìn)行管理將全部系統(tǒng)整體(包括工資、會(huì)計(jì)等部分在內(nèi))遷移到一家由供應(yīng)商托管的網(wǎng)站上
隨著云技術(shù)的逐漸成熟,它可以提供的服務(wù)也處于發(fā)展變化的過程中。但在這里有一個(gè)基本前提,它給大型企業(yè)提供的靈活性,給中小型企業(yè)提供的機(jī)會(huì),是有可能超過預(yù)算限制的。
問題的關(guān)鍵在于風(fēng)險(xiǎn)
從作為一名安全專家的角度來看,我認(rèn)為對和云服務(wù)有關(guān)的風(fēng)險(xiǎn)進(jìn)行評估和管理就相當(dāng)于對現(xiàn)有風(fēng)險(xiǎn)管理流程的調(diào)整。因此,答案非常簡單:實(shí)際執(zhí)行需要花費(fèi)一定量的工作時(shí)間。
如果貴公司中沒有應(yīng)用風(fēng)險(xiǎn)管理框架的話,要做的第一件事情就是建立一個(gè)。保護(hù)公司數(shù)據(jù)安全的關(guān)鍵就是平衡業(yè)務(wù)面臨的風(fēng)險(xiǎn)。通常的處理模式是確定、減輕和匯總面臨的風(fēng)險(xiǎn),并與業(yè)務(wù)經(jīng)理和審計(jì)人員進(jìn)行合作,將其控制在適當(dāng)?shù)姆秶铩H绻疽呀?jīng)建立了備用框架的話,你要做的就是將它擴(kuò)展開。
圖1顯示的就是一般公司風(fēng)險(xiǎn)邊界的簡單模型。在信息技術(shù)人員設(shè)計(jì)并實(shí)施內(nèi)部解決方案前,安全分析人員需要對風(fēng)險(xiǎn)進(jìn)行評估。無論如何,風(fēng)險(xiǎn)的可管理邊界是外圍防火墻。通過連接到云服務(wù)供應(yīng)商上,沒有常規(guī)進(jìn)程可以帶來威脅模型。
圖1:內(nèi)部風(fēng)險(xiǎn)邊界
如圖2所示,云安全的一體化前進(jìn)道路導(dǎo)致危險(xiǎn)的邊界進(jìn)一步擴(kuò)展。我們的目的不是希望云成為"外面"的東西。正好相反,它應(yīng)該是連接到企業(yè)中的一個(gè)高增值環(huán)節(jié)。根據(jù)總體規(guī)劃,風(fēng)險(xiǎn)管理的邊界應(yīng)該擴(kuò)展到可以將所有業(yè)務(wù)服務(wù)都包括進(jìn)去的情況。
圖2:擴(kuò)展風(fēng)險(xiǎn)邊界
差距在哪里
擴(kuò)展風(fēng)險(xiǎn)邊界并不僅僅等于提出這樣的問題就萬事大吉了。將云整合起來需要考慮到供應(yīng)商的提供商怎么進(jìn)行特別處理這樣的額外因素。下面的列表,就是我認(rèn)為對云服務(wù)提供商進(jìn)行評估時(shí),應(yīng)該考慮到的方面:
云服務(wù)提供商是否通過了來自外界的實(shí)體認(rèn)證,可以實(shí)現(xiàn)對安全性的有效管理(采用美國注冊會(huì)計(jì)師協(xié)會(huì)第70號服務(wù)機(jī)構(gòu)審計(jì)準(zhǔn)則、信息安全管理體系國際標(biāo)準(zhǔn)等類規(guī)則)?是否存在內(nèi)部控制機(jī)制?它們將怎么處理我的內(nèi)部控制機(jī)制?這之間存在什么差距,這些差距是否合理?
有多少數(shù)據(jù)會(huì)被涉及進(jìn)來?公司是否必須提供更多的數(shù)據(jù)?云服務(wù)提供商應(yīng)該獲得多少數(shù)據(jù),這樣做的原因是什么?
云服務(wù)提供商是否了解我對安全的期望?這些期望是否會(huì)包含在合同中?如果云服務(wù)提供商沒有遵守合同中對安全的要求,我可以采取什么樣的懲罰措施?合同是否容許我進(jìn)行定期審計(jì)來確認(rèn)數(shù)據(jù)受到保護(hù)的實(shí)際情況?
該列表中包含的就是最基本的問題。這基于我假設(shè)你已經(jīng)實(shí)現(xiàn)了對傳輸過程的數(shù)據(jù)進(jìn)行保護(hù),擁有強(qiáng)大靈活的訪問控制機(jī)制的前提。如果沒有作到這一點(diǎn)的話,在擴(kuò)展到云之前,你可能還有更大的問題需要解決。
結(jié)論
不要逃離云。它并不是你的敵人,你將會(huì)被同化。問題的關(guān)鍵不在于你是否會(huì)將云服務(wù)整合起來,而是如何管理好面臨的相關(guān)風(fēng)險(xiǎn)。所有的供應(yīng)商都會(huì)是合適的選擇么?答案顯然是否定的。因此,對云供應(yīng)商進(jìn)行選擇就如同內(nèi)部軟件、硬件或服務(wù)提供商的選擇過程是一樣的。了解自身需求,就期望進(jìn)行溝通,對供應(yīng)商的契合程度進(jìn)行評估。如果有需要的話,指出在管理方面發(fā)現(xiàn)的問題,與供應(yīng)商合作,改善控制功能。
京公網(wǎng)安備 11010502049343號