截至目前,云安全联盟已经不止一次地发布报告,建议和督促企业采取措施,以更好地保护云服务。
云安全联盟新的报告中对云计算的定义和国际标准与技术协会(NIST)的定义一致,其它的还按需自我服务、宽带网络接入、资源共享、快速配置和可扩展性、计量使用等。
NIST还将云服务分成了三类:软件服务(SaaS),即应用程序由服务供应商提供;平台服务,即服务商提供工具和编程语言,客户来开发和部署自己的应用;基础设施服务,即服务商提供带网络的硬件平台供客户使用。
“在云计算V2.1版本的指导意见中安全是需要注重的关键领域。”在早期的一些草案审议议题简缩版本就提及了云安全的重要性,这些安全议题分布在13个领域的76页文件中,每个议题还包括了更加具体的建议。
文件建议云服务商采用ISO/IEC 27001信息安全标准来构建信息安全管理系统。客户应该认真核实供应商的资质认证,同时还要看他们制定的计划是否按照认证标准和要求来做的。至少,供应商应该向客户展示他们的做法是参照ISO 27002国际标准来制定的。
报告指出,客户需要清楚地认识到,在他们所购买的云服务类型中,他们需要为数据的安全和应用程序的管理承担怎样的责任,服务商又承担怎样的责任。
例如,亚马逊的EC2基础设施作为一个服务实体的地址,提供的是环境和虚拟化的安全,而不是虚拟的情况下操作系统、应用程序和数据本身的安全。通过Salesforce.com的客户关系管理软件(CRM)提供的云服务,服务商就必须负责一切的安全,包括应用程序和数据。
企业一定要充分了解供应商的安全措施,否则就要冒着危及他们数据安全的风险。“除非云提供商乐意向客户披露他们的安全控制,以及它们所实施的范围和程度,消费者才会知道哪些控制对于保持其信息安全是必须的,否则就会导致客户做出错误的决定,并存在很大的风险。”报告说。
报告指出,一般来说,云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估,并让供应商提供相关的证明。“对于任何涉及安全的方面,企业应采取以规避风险为主的方式转移到云计算环境,并选择安全的方式。”报告说。
为此,报告建议采取以下步骤:
1、仔细考虑和确定什么样的数据或功能运行在云环境中;
2、评估该数据或功能对企业的重要性;
3、确定采取哪种云:公有云,私有云,社区,混合云;
4、评估现有的控制措施对风险的减少程度;
5、画出进出“云”的数据流图,以确定风险的暴露点。