传统的物理安全、业务连续性计划(BCP)和灾难恢复(DR)等形成的专业知识与云计算仍然有紧密关系。由于云计算的迅速变化和缺乏透明度,这就要求在传统的安全、业务连续性规划和灾难恢复领域的专业人员不断进行审查和监测您所选择的云服务供应商。
当前我们面临的的挑战是如何合作进行风险识别、确认相互依存、整合、动态并且有效的利用资源。云计算和与之配套的基础设施可以帮助减少某些安全问题,但也可能会增加某些安全问题,肯定不会消除人们对安全的需要。随着业务和技术领域的重要变革的深入,传统安全原则依然存在。
建议
必须谨记,数据的集中意味着云服务提供商内部人员的“滥用”是一个重大的问题。 云服务提供商应考虑采纳大多数客户的最严格的需求作为一个安全基准。在一定程度上,这些安全实践不会对客户的体验产生负面影响;从长远来说,在降低风险以及客户驱动的安全领域的关注方面,严格的安全实践应当可以被证明有很好的成本效率。
云服务提供商应对工作职责建立强健的隔离制度,并且对要对员工进行背景调查,要求/强制执行的非雇员的保密协议的签订,并且按照“履行职责的绝对需要”来限定员工对客户知识的了解。
客户应尽可能对云服务提供商的设施进行现场检查。
客户应该检查云服务提供商灾难恢复和业务连续性计划。
客户应辨识提供商基础设施的实际物理的相互依存关系。
确保在合同中,对安全、恢复以及数据访问有一个权威的分类明确地阐明有关安全、恢复、以及对数据的访问。
客户应该要求提供者的内部和外部的安全控制文件,并遵守某些行业标准。
确保恢复时间目标(RTO)已经被客户充分理解并且已经订立契约关系,并且已经在纳入技术规划过程。确保技术路线图、政策和运作能力能够满足这些要求。
客户需要确认提供商提供的现有的BCP政策已经被提供商的董事会批准。
客户应寻求管理层的积极支持,并定期审查业务连续性程序,以确保业务连续性程序是“活”的。
客户应检查BCP是否被认证和/或被诸如BS 25999之类国际公认标准认定。
客户应该确定提供商是否有任何在线资源致力安全和BCP,且该计划的概要和清单可以供人们参考。
确保云服务提供商已经通过该公司销售商安全过程(VSP)的审核,以便对共享了哪些数据以及采用了什么样的控制手段有一个清楚地了解。VSP决定应该将风险是否可以接受反馈给给决策过程和决策评估。
由于云计算的动态和相对“年轻”的特性,上述所有活动需要更加频繁的周期来披露还没有和消费者沟通的变化。
总结
当前我们面临的的挑战是如何合作进行风险识别、确认相互依存、整合、动态并且有效的利用资源。云计算和与之配套的基础设施可以帮助减少某些安全问题,但也可能会增加某些安全问题,肯定不会消除人们对安全的需要。随着业务和技术领域的重要变革的深入,传统安全原则依然存在。
作者: 付海军
版权:本文版权归作者所有
转载:欢迎转载,为了保存作者的创作热情,请按要求【转载】,谢谢
要求:未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任
个人网站: http://txj.shell.tor.hu