越來越多的時候,CIO(Chief Information Officer) 和CSO(Chief Security Officer)們被賦予負責企業(yè)核心業(yè)務(wù)向云上遷移的任務(wù)�����,最起碼這些問題是安全從業(yè)人員的頭痛和挑戰(zhàn)�����,如何快速形成一套可遵循的安全規(guī)范是一個挑戰(zhàn)。出現(xiàn)的另一個問題是���,雖然大多數(shù)企業(yè)已經(jīng)在使用了網(wǎng)絡(luò)的安全規(guī)范��,但這些規(guī)范都是傳統(tǒng)第三方安全廠商對于傳統(tǒng)安全所制定的����,往往有一些不是真正適合云服務(wù)的��。
但是云維護和傳統(tǒng)的第三方解決方案不同���,如賣方負責的云中的安全控制�,通常情況下�,安全專家只需要負責管理和維護關(guān)鍵的安全控制����。舉個例子����,一家企業(yè)作為一套PaaS(平臺即服務(wù)) 的云服務(wù)提供商,該企業(yè)一般會負責應(yīng)用程序本身的安全性����。 PaaS的云服務(wù)提供商將負責固定平臺和基礎(chǔ)設(shè)施的配套應(yīng)用。能清晰地勾勒出誰負責哪個組件的要求提供所需的安全等級��,同時足夠靈活的適應(yīng)這些不同的服務(wù)模式是至關(guān)重要的���。
首先需要建立一個框架:
構(gòu)建云的安全性,需要創(chuàng)建一個規(guī)則來審查�����,批準和管理的云服務(wù)提供商��。這里我舉一個企業(yè)的例子:
為了開發(fā)這種框架�,需要先和相關(guān)人員收集業(yè)務(wù)、技術(shù)和安全方面的要求�。然后分析云服務(wù)提供商在對數(shù)據(jù)進行存儲和處理相關(guān)的細節(jié)問題。在你充分了解了這些后����,你就可以利用現(xiàn)有的企業(yè)安全策略和標準���,來進行添加額外的內(nèi)容來匹配云計算環(huán)境。前提要求制定的策略要足夠靈活�����,在應(yīng)對一些突發(fā)情況時可以從容應(yīng)變�。
一旦制定的策略完全滿足云安全框架(Cloud Security Framework)�����,那么就需要在企業(yè)會議上討論如何有效執(zhí)行的問題�����,會議中要傳達該框架的重要性����,并討論企業(yè)如何調(diào)整現(xiàn)有安全策略到該云框架���。一旦該框架被企業(yè)采用,那么不僅僅是IT部門��,企業(yè)全部的業(yè)務(wù)部門都可以使用業(yè)務(wù)���,最終企業(yè)所有的業(yè)務(wù)平臺全部遷移到云���,而這個框架就可以統(tǒng)一所有員工的操作規(guī)范,從而保證企業(yè)數(shù)據(jù)在云中的安全性和穩(wěn)定性����。
云服務(wù)的安全管理:
除了應(yīng)用云安全框架之外����,企業(yè)的IT人員也應(yīng)該即時審查云服務(wù)提供商的安全性,測試一下該云計算提供商的服務(wù)是否可靠�����,如果有類似服務(wù)中斷或者員工的使用問題可以及時解決��。
安全工程師也要及時跟蹤在工作中產(chǎn)生的問題,企業(yè)雖然使用云服務(wù)來存儲和處理大量的文件數(shù)據(jù)���,但是云服務(wù)也總有不穩(wěn)定的時候��,及時同步數(shù)據(jù)到本地����,并對這些數(shù)據(jù)加以管理就變的至關(guān)重要��。
解決這個問題的最好辦法是通過與云服務(wù)提供商來協(xié)調(diào)�,共同開發(fā)一個程序來審查、審批以及管理��。這個方案需要云服務(wù)提供商允許我方企業(yè)的安全人員深度接觸該云服務(wù)提供商的技術(shù)流程�����,以便于應(yīng)對該提供商的業(yè)務(wù)來進行修改云安全框架��。在使用云服務(wù)過程中�,收集員工對該服務(wù)的評價和問題���,也可以通過調(diào)差問卷的形式進行收集意見���,通過匯總得到的信息和云服務(wù)提供商協(xié)調(diào)溝通��,一方面可以解決企業(yè)的需求問題�����,另一方面可以改進該云服務(wù)提供商產(chǎn)品的使用體驗�����。
在使用過程中�,及時的收集員工在云安全框架上的執(zhí)行度�,對出現(xiàn)的業(yè)務(wù)操作漏洞進行處理,以避免企業(yè)敏感數(shù)據(jù)泄漏�����。
通過利用你所了解的知識����,并利用現(xiàn)有的技術(shù),作為一個安全專業(yè)人員�����,對于任何業(yè)務(wù)需求你都能夠快速響應(yīng),同時最大限度地減少核心應(yīng)用程序到云環(huán)境的風險���。這種解決方案不僅可以讓我們對云提供商可以進行及時的穩(wěn)定性審查�,還可以提供一個應(yīng)用來管理我們自己的云服務(wù)�����,從而讓我們企業(yè)的數(shù)據(jù)在云上依然可以受到和本地同樣的保護��。
