|
知识路径: > 网络与信息安全知识 > 网络与信息安全知识 > 云计算 > 云计算基础知识 > 云计算的安全性 >
|
相关知识点:3个
|
|
|
|
当用户把其应用及数据转移到使用云计算时,在云环境中提供一个与传统IT环境一样或更好的安全水平至关重要。下面介绍云安全实施的基本步骤。
|
|
|
|
依据安全和合规性政策,云服务用户核实用户和供应商之间的合同是否包含他们的所有要求。用户了解与安全性相关的所有条款,并确保这些条款能满足其需要是至关重要的。
|
|
|
|
主要考虑因素有:了解云服务供应商的内部控制环境,包括环境的风险、控制及其他治理问题;对企业审计跟踪的访问,包括当审计跟踪涉及云服务时的工作流程和授权;云服务供应商保证云服务管理和控制的设施是可用的,以及说明该设施是如何保障安全的。
|
|
|
|
云用户必须确保其云服务供应商具备相关流程和功能来管理具有访问其数据和应用程序权限的人员。云服务供应商应设立正式流程,管理其员工对任何储存、传输或执行用户数据和应用程序的软硬件的访问情况,并应将管理结果提供给用户。
|
|
|
|
应注意以下几个方面:创建数据资产目录;将所有数据包含其中;注重隐私;保密性、完整性和可用性;身份和访问管理。
|
|
|
|
用户制定策略以处理隐私权保护问题,确保其云服务供应商遵守上述隐私权保护策略。用户应持续核对供应商是否遵守了上述策略,包括涵盖隐私权保护策略等所有方面的审计项目。
|
|
|
|
制定明确的安全策略和流程,尽力保障应用程序的安全性。不同云部署模型下的应用程序安全策略均不一样,主要区别如下:
|
|
|
IaaS:部署完整的软件栈以及与堆栈相关的所有安全因素;应用程序安全策略应精确模拟用户内部采用的应用程序安全策略;通常情况下,用户有责任给操作系统、中间件及应用程序打补丁;应采用恰当的数据加密标准。
|
|
|
PaaS:用户有责任进行应用程序部署,并有责任保证应用程序访问的安全性;供应商有责任保障基础设施、操作系统及中间件的安全性;应采用恰当的数据加密标准;用户知道获得管理访问权限的个人将如何访问其数据。
|
|
|
SaaS:用户确保相关SLA条款满足其在保密性、完整性及可用性方面的要求;了解供应商的修补时间表、恶意软件的控制以及发布周期;采用阈值策略;用户应确保应用软件配置更改不会妨碍供应商的安全模式;用户应了解其数据如何受到供应商管理访问权限的保护;用户必须了解所使用的加密标准。
|
|
|
|
从流量屏蔽、入侵检测防御、日志和通知等方面,来评估云服务提供商的外部网络管理。用户应关注的主要内部网络攻击类别包括:保密性漏洞(敏感数据泄露)、完整性漏洞(未经授权的数据修改)以及可用性漏洞(有意或无意地阻断服务)。用户根据其需求和任何现存的安全策略评估云服务供应商的内部网络管理。
|
|
|
|
云服务供应商应采用的适用于物理基础设施和设备的安全管理包括:物理基础设施和设备应托管在安全区域内,设置物理安全界限,并配合物理准入控制设施;针对外部环境威胁提供安保措施,对火灾、洪灾、地震、国内动乱及其他潜在威胁提供安保措施;管理在安全区域工作的员工,以防止恶意行为;应进行设备安全管理,以防止资产丢失、盗窃、损失或破坏;应对配套公共设施进行管理,包括水、电、气的供应等;应防止因服务失败或设备故障(例如漏水)导致的服务中断;管理资产搬迁,防止重要或敏感资产遭盗窃;保障废弃设备或者重用设备中的安全;采用合理的备份、冗余和持续服务计划等等。
|
|
|
|
云活动中的安全责任,必须由云服务提供商和用户双方,通过云服务水平协议(SLA)的条款来共同明确和承担。
|
|
|
|
当用户完成退出过程,用户具有“可撤销权”,云服务供应商不可继续保留用户的数据。供应商必须保证数据副本已经从服务商环境下可能存储的位置清除,其他与用户相关的数据信息(日志或审计跟踪等),供应商应全部清除。
|
|
|