《企業(yè)網(wǎng)D1Net》10月22日訊
許多公司和團體都在用各種方法努力解決安全挑戰(zhàn)。建立于2009年的云安全聯(lián)盟(the Cloud Security Alliance,CSA)是最重要的舉措之一,因為它可以說是對這個問題采取最全面看法的組織。它是一個非盈利組織,委員會的宗旨是提升最佳實踐的使用,以便在云安全中提供安全保證,并在云計算的使用方面提供教育,以便幫助使計算之外的形式的安全。
紅帽(Red Hat)加入CSA已經(jīng)將近兩年了,并一直致力于將CSA建設(shè)的工具帶入公共視野并促進它們的使用,以便為物理的、虛擬的、混合的云環(huán)境提供安全性。現(xiàn)在,作為CSA的一個正式企業(yè)成員,紅帽繼續(xù)聚焦于開放標(biāo)準(zhǔn)和安全性上,來保護云中的企業(yè)工作負(fù)載。
CSA有超過130個以上的企業(yè)成員。包括IT供應(yīng)商如面向很廣范圍行業(yè)的紅帽。但是它還包括這樣的公司,如保健技術(shù)供應(yīng)者麥克森公司(McKesson),它們的工作尤其要求高水平的管制并顯著受到數(shù)據(jù)隱私性要求的影響。它包括對安全性和合規(guī)問題感興趣的專業(yè)服務(wù)公司,例如Ernst&Young&PwC。它還包括政府機構(gòu),如國防部門,以及這些機構(gòu)的供應(yīng)商,例如Raytheon。它還包括大型技術(shù)終端用戶,如eBay。CSA在其Linkedln集團還有著龐大的幾乎有40000個成員。
一個特定的CSA是它的云安全聯(lián)盟云控制模型(Cloud Security Alliance Cloud Controls Matrix ,CCM)。CCM旨在提供基礎(chǔ)安全原則以便“指導(dǎo)云供應(yīng)商并協(xié)助未來允客戶評估云供應(yīng)商的總體安全風(fēng)險。”它的目標(biāo)本質(zhì)上是提供結(jié)構(gòu)使得安全能夠以一個系統(tǒng)化的方式被評估。特別地,用CSA的話說,是提供“……針對云行業(yè)給組織們提供他們所需的結(jié)構(gòu)、細節(jié)、牽涉到信息安全的明晰度。CSA CCM通過強調(diào)商業(yè)信息安全控制要求、減少和識別一致的安全威脅、云中的薄弱點,來強調(diào)現(xiàn)存的信息安全控制環(huán)境,提供標(biāo)準(zhǔn)化安全和操作風(fēng)險管理,并尋求將云分類法、術(shù)語、安全預(yù)期、以及云中安全措施標(biāo)準(zhǔn)化。”
以這種方法去系統(tǒng)化是很重要的,因為安全性不是一東西。事實上,CCM認(rèn)為98個不同的領(lǐng)域中控制地位的有13個不同領(lǐng)域:如合規(guī)、彈性、信息安全。這些控制領(lǐng)域中的每一個隨后都被設(shè)置進了IT架構(gòu)的領(lǐng)域,在那里它發(fā)揮作用,它的不同云服務(wù)交付模型的關(guān)聯(lián)(IaaS,PaaS,SaaS)以及它與一個廣泛的規(guī)則的聯(lián)系。甚至一個詳細模型的快速瀏覽都給我們一種CCM提供一個相當(dāng)具體的組織可用的實用框架的程度的感覺。(根據(jù)歐洲網(wǎng)絡(luò)信息安全機構(gòu)進行的2009年研究提供的類似脈絡(luò)的框架。)
CCM(或者稱為共識評估計劃調(diào)查問卷的另一個可選文檔)能夠被云用戶使用來架構(gòu)他們自己的云供應(yīng)商評估。但是,這些文檔也是給另一個名叫“CSAA安全、信任保證注冊表(一個免費、公共地可訪問注冊表,編制了被各種類型云計算產(chǎn)品提供的安全性控制)”的輸入內(nèi)容。云供應(yīng)商能夠提交自我評估報告,記錄了他們對CSA公開最佳實踐的遵行情況。CSA的目標(biāo)是使得云用戶在做他們的盡職調(diào)查時更容易更統(tǒng)一,、以及一般移向一個安全實踐更透明的環(huán)境,甚至被用作一個不同云供應(yīng)商之間的區(qū)分者。
京公網(wǎng)安備 11010502049343號