|
考慮到IT外包服務(wù)的成熟�,企業(yè)為了實現(xiàn)更大的成本節(jié)約和資源利用率�����,會很自然的選擇公共云計算服務(wù)�����。而事實并非如此�。其中對公共云服務(wù)的安全性質(zhì)疑一直是企業(yè)不敢采納公共云服務(wù)的主要原因。對大多數(shù)企業(yè)來說��,數(shù)據(jù)安全的風險會讓它們非���?謶���。
本文中將大致介紹一下為何企業(yè)為了更好的效益應該采用公共云服務(wù),采用公共云服務(wù)所面臨的關(guān)鍵安全問題和挑戰(zhàn)是什么���,以及在整體的安全評估框架中該做些什么��,才能解決公共云服務(wù)所面臨的安全挑戰(zhàn)。
首先�����,目前并沒有確鑿的數(shù)據(jù)支持部分人認為“公共云服務(wù)相比企業(yè)內(nèi)部數(shù)據(jù)中心的安全機制更弱”這一觀點�����。事實上���,針對Google, Sony & RSA 等大公司的網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失案例已經(jīng)顯示出�����,再嚴密的企業(yè)內(nèi)部安全防范機制也能借由狡猾的社交陷而突破或繞過�。尤其是從古至今信息安全防范機制中的一個薄弱環(huán)節(jié)一直沒有被修復,即“人的因素”��。
雖然這些安全漏洞并不能直接與公共云聯(lián)系起來���,但大部分企業(yè)都趨向于將知識產(chǎn)權(quán)等重要數(shù)據(jù)放在企業(yè)內(nèi)部自行保管�����。那么公共云到底能不能妥善的保管企業(yè)的知識產(chǎn)權(quán)呢?考慮到公共云的擴展性�,靈活性以及按需性能����,答案是肯定的。
聯(lián)邦政府機構(gòu)���,比如美國�����、新加坡以及亞洲和歐洲的很多政府機構(gòu)都是公共云服務(wù)的早期用戶��,他們也促進了公共云服務(wù)供應商在云安全服務(wù)上的快速成熟�����。在很多實例以及特定的安全類型中���,比如針對惡意軟件��、病毒�����,以及分布式拒絕服務(wù)攻擊的保護方面��,公共云安全技術(shù)已經(jīng)證明其能比企業(yè)內(nèi)部的安全防御方案更有效的對數(shù)據(jù)提供保護���。Sony抵御 LOIC DDoS攻擊就是個很好的例子�。
總之,終端用戶對于互聯(lián)網(wǎng)服務(wù)的永無盡頭的需求已經(jīng)開始讓公共云服務(wù)擴展到了媒體娛樂領(lǐng)域�����,如音樂、電影���、社交媒體以及電子商務(wù)等��。
企業(yè)也沒有時間繼續(xù)觀望下去了�����。如果不采用已經(jīng)被很多企業(yè)成功采用的公共云服務(wù)���,所面臨的企業(yè)競爭力下降的風險可能會更嚴重。如果企業(yè)還需要更令人信服的證據(jù)�,那么可以問問Oracle的 Larry Ellison ,他曾經(jīng)用“毫無意義”�、“瘋狂”、“白癡”等詞匯形容云計算�,而現(xiàn)在他也決定加入云計算大家庭了。這個證據(jù)有說服力吧?
不過���,并不是所有類型的企業(yè)數(shù)據(jù)或服務(wù)都適合在公共云環(huán)境下管理�����,但是從一般的風險評估框架來看��,公共云的數(shù)據(jù)安全風險可以被控制在一個能夠被大部分企業(yè)接受的程度��。
知曉你的云計算方案風險
每個企業(yè)的特點都是不一樣的�����,其所面臨的安全風險也是根據(jù)企業(yè)所處的行業(yè)以及運營環(huán)境而有所不同��。而企業(yè)的風險因素必須被記錄并處于管理之下���。公共云服務(wù)也有其自身特有的安全風險�,這種風險與傳統(tǒng)的IT外包所面臨風險不同����,而是與公共云所采用的技術(shù)有自然的聯(lián)系。下面列出了有關(guān)公共云計算的風險以及企業(yè)應該做的準備工作�����。
有關(guān)公共云計算的關(guān)鍵性安全風險/問題包括以下方面:
· 不了解所使用的云計算服務(wù)– 由于公共云服務(wù)的使用成本門檻很低���,導致企業(yè)領(lǐng)導認為公共云服務(wù)比企業(yè)的IT部門更具性價比,于是將企業(yè)給客戶提供的新產(chǎn)品和服務(wù)全部通過公共云服務(wù)實現(xiàn)。IT服務(wù)的采購必須在嚴格的控制下進行����,避免企業(yè)數(shù)據(jù)通過不受監(jiān)控的公共云服務(wù)渠道流失。
· 信息安全管理 – 在數(shù)據(jù)的生命周期內(nèi)����,最基本的安全需求是數(shù)據(jù)的保密性、完整性和可用性����。具體來說,數(shù)據(jù)在創(chuàng)建�����、存儲����、處理和使用、共享����、歸檔以及最終銷毀的整個過程都需要進行安全保護。而當企業(yè)無法直接通過服務(wù)供應商的設(shè)備對數(shù)據(jù)進行直接控制時�,就會面臨安全挑戰(zhàn)���。因此要選擇帶有數(shù)據(jù)加密,加密密鑰管理以及高可用性方案的公共云服務(wù)�,這是最重要的。
· 知道數(shù)據(jù)在哪里- 貫穿數(shù)據(jù)的生命周期始終��,企業(yè)必須要從云服務(wù)供應商那里獲得確切的保證�,確保企業(yè)的數(shù)據(jù)保存在所規(guī)定的地理范圍內(nèi)。這可以通過合同�,服務(wù)水平協(xié)議以及相應的程序法律和規(guī)章制度進行規(guī)范和約定。
· 電子證據(jù) – 采用公共云服務(wù)意味著企業(yè)必須與其它企業(yè)共享相同的硬件設(shè)備��,比如硬盤�。這就意味這要承擔一定的數(shù)據(jù)泄露風險。因為一旦某個企業(yè)由于法律問題遭到調(diào)查�����,政府和法律機構(gòu)可以根據(jù)相應的法律(比如美國的愛國者法案)對硬盤中存儲的數(shù)據(jù)進行提取和分析���,而且不需要得到數(shù)據(jù)主人的批準����。企業(yè)的一些敏感信息�,比如個人的身份信息等不應該存放在公共云服務(wù)環(huán)境���,以避免此類情況的出現(xiàn)�。
· 廠商綁定 – 有時候從一個云服務(wù)供應商向另一個云服務(wù)供應商遷移的難度要比第一次采用云服務(wù)更難。很多云服務(wù)供應商處于利益考慮��,都傾向于阻止用戶放棄自己的服務(wù)轉(zhuǎn)投別家���。
有關(guān)選擇公共云服務(wù)時所面臨的風險和挑戰(zhàn)�����,網(wǎng)上還有很多論述�,讀者可以通過 Cloud Security Alliance (CSA), European Network and Information Security Agency (ENISA), National Institute of Standards and Technology (NIST)等站點參考�。相信能夠幫助很多企業(yè)了解到云計算的風險問題。
在預見到以上的風險后��,企業(yè)可以自己制定一個風險評估框架��,用來評估公共云服務(wù)供應商�,并從中選擇適合企業(yè)自身情況的供應商。
服務(wù)器托管��、租用�����,VPS,請聯(lián)系——
億恩科技-明宇
QQ:1613285598
電話:0371-63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
