科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网服务器频道虚拟化/云计算CIO该对IaaS做安全评估

CIO该对IaaS做安全评估

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着越来越多的公司使用云计算服务,云技术安全成为了企业关注的问题。但是大部分公司在基础设施建设和数据迁移的时候不太在意IaaS的安全。实际上CIO应该在与IaaS提供商签署合同之前对其进行安全评估。

作者:刘沙译 来源:畅享网 2013年9月2日

关键字: IaaS 安全 安全评估 基础设施服务

  • 评论
  • 分享微博
  • 分享邮件

ZDNet至顶网服务器频道 09月02日 : 随着越来越多的公司使用云计算服务,云技术安全成为了企业关注的问题。但是大部分公司在基础设施建设和数据迁移的时候不太在意IaaS的安全。实际上CIO应该在与IaaS提供商签署合同之前对其进行安全评估。

TechNavio分析师称,2012年-2016年,全球IaaS市场预计复合年利率将增长45%左右。而在派纳蒙研究所(Ponemon Institute)和CA技术研究所(CA Technologies)发布的一份调查报告中称,许多云服务应用方并没有在使用初期谨慎挑选云服务提供商。这项调查访问了748名IT专业人士,其中发现,2012年,只有49%的公司在部署IaaS之前组织进行了安全评估。

安全专家为读者提供了几个值得考虑的安全问题,并且提示用户,在与IaaS提供商签署合同之前,最好先试验一下。

“使用基础设施服务(Infrastructure as-a-Service)的安全需求基本上与使用个人数据中心的安全需求是一样的。”云安全联盟董事会主席Dave Cullinane如是表示。

他还说:“在这种情况下,应该对将被处理的数据进行分级评估。信息是否是敏感信息,是否涉及到有价值的知识产权,你个人是否会处理这些信息,是否涉及到受法律保护的支付方法或数据安全标准,是否有隐私限制,这些都是应该考虑的。”

“当你将这些数据都分门别类之后,就可以加以适当的控制和安全保护、使用云服务提供商提供的控制策略了。这包括逻辑和物理访问的控制。”他补充道,“此外,企业应该考虑到云服务提供商能够提供给合作者什么样的有效权利,并确定提供商有没有审计权。”

“如果你有合理需求也可以提出,比如谁负责换发年度测试新证,谁负责业务连续性的计划,涉及到安全性和BCP时想要包含哪种协议语言等等。”

PrivateCore安全启动项目的首席技术官Steve Weis表示,企业经常在将数据存储或者移动到IaaS环境中时,对数据进行加密,但是加密过的数据仍旧非常明确易懂。

他说,“企业应该适当保护自己的敏感数据,无论这些数据是在运行状态还是闲置状态。若想保持最优的安全状态,企业还应该持有特定的加密密钥。这样一来,当有合法或者非法的外部信息访问云存储中的数据时,密钥就会开始起作用了。”

来自安全及风险管理评估咨询组织Neohapsis的安全顾问Hazdra说,各企业和组织应该意识到,他们自己对IaaS的安全实施负有大部分责任。云服务提供商将主要负责管理网络基础设施和程序的安全,以及整体云服务的可用性、加密密钥的管理和数据存储方面的管理。

Hazdra说,“作为客户,你应该在了解所有细节之前,将以上提到的这些问题咨询个遍。”

他还补充道,“如果云服务提供商在回答中规避了某些问题,那说明他们在该区域还没有足够强大的控制能力。这虽然可能不会影响到你是否选择他们的服务,但至少提醒你,选择这样的服务会有哪些附加风险。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章