云服務供應商安全性:提升云計算透明度 |
發(fā)布時間: 2012/8/18 10:53:12 |
對于希望利用云計算服務的企業(yè)來說,其所面臨最緊迫的挑戰(zhàn)之一就是透明度問題。他們應該如何評估云計算服務供應商(csp)的安全性,以及他們應當如何確定某特定csp的信譽和可靠性?
于去年推出的云計算安全聯盟的安全、信任以及保證注冊(star)是促使csp安全性和運營更為透明和開放的一次嘗試。但是,也有該行業(yè)的其他集團正在努力以提升企業(yè)應當熟悉的云計算透明度。雖然他們所采用的方法不同,但其目標是一致的,即進一步推動csp安全性和運營的透明度和開放性。 云計算透明度:開放數據中心聯盟 開放數據中心聯盟(odca)是一個獨立的it聯營企業(yè),它向標準、使用模式以及其他與數據中心運營和云計算相關的領域提供指導。其模式是社區(qū)驅動,它向odca成員征求意見建議以制定具體的使用模式,提供對數據中心挑戰(zhàn)和使用情況特別是關注云計算基礎設施的詳細考慮。odca關注的核心價值觀是增進云計算用戶和供應商之間的交互和支持,其目標是創(chuàng)建納入使用模式關鍵因素的“工作域”。這些措施包括安全(提供保障和安全合規(guī)性監(jiān)控)、監(jiān)管(監(jiān)管框架和碳足跡)、管理、服務(服務目錄和計量單位)以及基礎設施(虛擬機互操作性和輸入/輸出(io)控制)。該域中有眾多it企業(yè)最為關注的問題,其中涉及內部與外部云計算環(huán)境的安全性和可用性,并定期發(fā)布使用模式的更新。 雖然odca并沒有一個像star一樣的“自我報告”透明度機制,但是有幾個具體的使用模式可直接提升供應商的透明度。首先是采用安全監(jiān)控使用模式,該模式要求供應商為用戶提供一個基于網絡的接口以檢測種類繁多安全控制的狀態(tài),其中包括防病毒定義、入侵防御系統(tǒng)(ips)事件和防火墻日志。當前的模式明確指出,正在進行的工作需要更緊密地配合csa云計算控制矩陣和其他控制框架。實現透明度的第二種模式是供應商保障模式,該模式要求云計算供應商遵守由諸如nist、pci安全標準委員會以及iso等標準組織定義的法規(guī)和控制,以及在安全監(jiān)控模式中介紹的安全板。csp可以達到四個級別的保障: 銅級:基本的安全性,如防病毒、防火墻、漏洞管理、安全事件監(jiān)控和物理安全訪問限制。 銀級:相當于一般企業(yè)的安全性,其中包括防止網絡入侵、事件日志記錄、連續(xù)性規(guī)劃以及更為強大的安全性文檔。 黃金級:相當于金融組織的安全性,其中包括滲透測試功能、多因素身份驗證、存儲加密和物理服務器隔離。 白金級:相當于軍事組織的安全性,具有更為強大的加密措施和取消云計算供應商管理員的訪問。 同樣,每個保障級別都有相應具體而明確的要求。例如,“網絡與防火墻管理”描述了每個等級的控制和流程,具體如下: 銅級:csp管理所有的防火墻規(guī)則,且無需消費者的介入。 銀級:csp管理防火墻規(guī)則,并接受消費者的一些意見和建議。csp還提供了邏輯物理層之間的網絡分隔。 黃金級:由消費者管理防火墻規(guī)則,而由csp提供防火墻的管理維護。提供邏輯層之間的網絡分隔和應用程序層保護。 白金級:csp完全無法訪問防火墻,而由消費者管理一切。提供邏輯層之間的網絡分隔和應用程序層保護。 云計算標準客戶委員會 雖然并不像star以及odca一樣直接為云計算透明度做出貢獻,云計算標準客戶委員會(cscc)一直主要以使用用例和一般性指導的形式致力于為云計算項目實施者提供戰(zhàn)術和戰(zhàn)略的變革和建議。其目前的使用用例文檔包括對特定控制區(qū)域(如資產管理、密碼與密鑰管理、以及網絡安全性)的高層次安全指導。另外,還涉及一些簡單的用例。目前,cscc似乎沒有提供以保障或透明度為目的的注冊,但確實還有一個包括供應商和大型消費者在內的重要成員名單。 cscc也緊密跟隨開放云計算宣言,這是一個有超過400名支持者的運動,其目的在于促進云計算控制和配置標準溝通的更開放標準、對話和一致透明度。隨著時間的推移,cscc將有可能成為云計算透明度的一個重要貢獻者,并可能導致如star計劃的改進參與。 隨著越來越多的企業(yè)尋求過渡到混合云計算和公共云計算模式,對于云計算供應商透明度的需求只會變得更加緊迫。如何努力以獲得云計算透明度的成功還有待于我們拭目以待。到今天為止,只有三家企業(yè)已提交了csa的star信息:microsoft office 365、mimecast 以及 solutionary。這一點表明,眾多云計算供應商可能還沒有做好提交該級別詳細信息的準備,或者可能還沒有很多社區(qū)支持或star的知識。盡管如此,云計算用戶可以期待諸如csa、odca以及cscc這樣的組織可以提供供應商控制狀態(tài)的監(jiān)控與報告的有益指導。 對于希望利用云計算服務的企業(yè)來說,其所面臨最緊迫的挑戰(zhàn)之一就是透明度問題。他們應該如何評估云計算服務供應商(csp)的安全性,以及他們應當如何確定某特定csp的信譽和可靠性? 于去年推出的云計算安全聯盟的安全、信任以及保證注冊(star)是促使csp安全性和運營更為透明和開放的一次嘗試。但是,也有該行業(yè)的其他集團正在努力以提升企業(yè)應當熟悉的云計算透明度。雖然他們所采用的方法不同,但其目標是一致的,即進一步推動csp安全性和運營的透明度和開放性。 云計算透明度:開放數據中心聯盟 開放數據中心聯盟(odca)是一個獨立的it聯營企業(yè),它向標準、使用模式以及其他與數據中心運營和云計算相關的領域提供指導。其模式是社區(qū)驅動,它向odca成員征求意見建議以制定具體的使用模式,提供對數據中心挑戰(zhàn)和使用情況特別是關注云計算基礎設施的詳細考慮。odca關注的核心價值觀是增進云計算用戶和供應商之間的交互和支持,其目標是創(chuàng)建納入使用模式關鍵因素的“工作域”。這些措施包括安全(提供保障和安全合規(guī)性監(jiān)控)、監(jiān)管(監(jiān)管框架和碳足跡)、管理、服務(服務目錄和計量單位)以及基礎設施(虛擬機互操作性和輸入/輸出(io)控制)。該域中有眾多it企業(yè)最為關注的問題,其中涉及內部與外部云計算環(huán)境的安全性和可用性,并定期發(fā)布使用模式的更新。 雖然odca并沒有一個像star一樣的“自我報告”透明度機制,但是有幾個具體的使用模式可直接提升供應商的透明度。首先是采用安全監(jiān)控使用模式,該模式要求供應商為用戶提供一個基于網絡的接口以檢測種類繁多安全控制的狀態(tài),其中包括防病毒定義、入侵防御系統(tǒng)(ips)事件和防火墻日志。當前的模式明確指出,正在進行的工作需要更緊密地配合csa云計算控制矩陣和其他控制框架。實現透明度的第二種模式是供應商保障模式,該模式要求云計算供應商遵守由諸如nist、pci安全標準委員會以及iso等標準組織定義的法規(guī)和控制,以及在安全監(jiān)控模式中介紹的安全板。csp可以達到四個級別的保障: 銅級:基本的安全性,如防病毒、防火墻、漏洞管理、安全事件監(jiān)控和物理安全訪問限制。 銀級:相當于一般企業(yè)的安全性,其中包括防止網絡入侵、事件日志記錄、連續(xù)性規(guī)劃以及更為強大的安全性文檔。 黃金級:相當于金融組織的安全性,其中包括滲透測試功能、多因素身份驗證、存儲加密和物理服務器隔離。 白金級:相當于軍事組織的安全性,具有更為強大的加密措施和取消云計算供應商管理員的訪問。 同樣,每個保障級別都有相應具體而明確的要求。例如,“網絡與防火墻管理”描述了每個等級的控制和流程,具體如下: 銅級:csp管理所有的防火墻規(guī)則,且無需消費者的介入。 銀級:csp管理防火墻規(guī)則,并接受消費者的一些意見和建議。csp還提供了邏輯物理層之間的網絡分隔。 黃金級:由消費者管理防火墻規(guī)則,而由csp提供防火墻的管理維護。提供邏輯層之間的網絡分隔和應用程序層保護。 白金級:csp完全無法訪問防火墻,而由消費者管理一切。提供邏輯層之間的網絡分隔和應用程序層保護。 云計算標準客戶委員會 雖然并不像star以及odca一樣直接為云計算透明度做出貢獻,云計算標準客戶委員會(cscc)一直主要以使用用例和一般性指導的形式致力于為云計算項目實施者提供戰(zhàn)術和戰(zhàn)略的變革和建議。其目前的使用用例文檔包括對特定控制區(qū)域(如資產管理、密碼與密鑰管理、以及網絡安全性)的高層次安全指導。另外,還涉及一些簡單的用例。目前,cscc似乎沒有提供以保障或透明度為目的的注冊,但確實還有一個包括供應商和大型消費者在內的重要成員名單。 cscc也緊密跟隨開放云計算宣言,這是一個有超過400名支持者的運動,其目的在于促進云計算控制和配置標準溝通的更開放標準、對話和一致透明度。隨著時間的推移,cscc將有可能成為云計算透明度的一個重要貢獻者,并可能導致如star計劃的改進參與。 隨著越來越多的企業(yè)尋求過渡到混合云計算和公共云計算模式,對于云計算供應商透明度的需求只會變得更加緊迫。如何努力以獲得云計算透明度的成功還有待于我們拭目以待。到今天為止,只有三家企業(yè)已提交了csa的star信息:microsoft office 365、mimecast 以及 solutionary。這一點表明,眾多云計算供應商可能還沒有做好提交該級別詳細信息的準備,或者可能還沒有很多社區(qū)支持或star的知識。盡管如此,云計算用戶可以期待諸如csa、odca以及cscc這樣的組織可以提供供應商控制狀態(tài)的監(jiān)控與報告的有益指導。 本文出自:億恩科技【www.allwellnessguide.com】 |