云计算安全实用指南

实用指南云计算安全你现在需要知道的您的业务和云安全 卡尔杏仁2009年8月27日 目录 Introduction3 3内部or外部 4评估内部IT安全 5Howto手柄云安全挑战 9进一步正在阅读 云计算安全实用指南 超过他们的竞争对手。作为IT领域成熟，最初的竞争优势计算机化下降了。计算机化然后成为一个要求只是为了留下在一个公平的竞争环境中。本质上，那里是越来越多的IT作为商品运作。 您的云安全性有多可比与内部安全相比。 Introduction 比其他类型的托管环境，当涉及到云计算，公司担心“S”字：安全。 IT：内部还是外部？ 在解决安全问题之前云，它可能有助于解决另一个第一个问题。这个问题不是是否将IT迁移到云中，但是什么应该搬到那里。考虑例如，商品。 你有三件重要的事情需要了解云安全。首先，云安全几乎与您的内部安全。安全工具你每天使用相同的工具，将用于保护云中的数据。唯一的区别是云是一个多租户环境一个公司（多个租户）共享云服务提供商。 例如，一家纸制品公司需要一定数量的独特IT才能经营业务，使其具有竞争力。但它也运行了大量的商品IT。商品技术需要时间，金钱，人和能量远离他们的业务在a生产优质纸制品 商品化在云中发挥作用computing. When businesses started利用IT，第一个组织将其计算机化业务流程取得了显著收益 有竞争力的价格。作为行政管理意识到它正在操作一个大量的商品IT，这不是他们的核心能力，辩论从是否云计算将采取在企业中坚持关于如何很多的组织IT将离开内部，前提是。 第二，涉及安全问题云都可以使用您的当前的安全工具。安全需要应该仔细考虑。但是他们不应该被视为一个障碍，如果你正在考虑迁移到云端。 IT的商品性质将超过时间，需要你移动一些你的将技术保留到云财务竞争力。所以你应该开始解决您的安全问题准备搬家. 帮助您确定您的IT的哪些部分可以在外部移动，你的第一个工具是商品IT分析形式。(参见论文Products表)使用此表单列出所有您的IT功能组织执行 第三，如果您选择了高质量的云服务提供商，您在云将与之一样好或更好在大多数情况下，您当前的安全性。 通常，您获得的安全级别将旨在满足云中风险最大的客户使用本文中确定的工具作为起点，你会有一个好主意 云计算安全实用指南 技术人员很小。这是几乎不可能找到合格的安全人员。组织可以有一个与安全总监的合同或首席安全官(CSO)在需要的基础上获得安全的广度需要知识。但是大多数不要。 如果你认为这个活动商品与否。然后确定在哪里你可以把它放在新的IT组织。使用我们的虚构论文产品生产商，我们看到八个当前的IT功能可能是考虑到商品。其中，六个他们可以很容易地移动到云提供者。 来自外部和内部的任务来源，IT无法提供资金和运营组织的IT方式required. 下一个问题涉及专业化及其对业务功能的影响。企业作为专业实体存在。汽车制造商，用于例如，避免开始食物生产业务，即使它可以养活它的员工。为什么？对于一个汽车公司，生产食品产品不是他们的核心业务。当你看看资金和维持一个业务的非核心部分，它成为很明显为什么IT面临问题。 显然，我们虚构的例子不会表明你的组织。但它可以为您提供一种有组织的方式回答你的高管，当他们问一个关于IT的问题必须保持内部。 第二，良好的安全性是昂贵的。 •如果您的IT运营遇到麻烦获得全额资金，可能性有多大安全资金将是如果没有真正的ROI，则可用-除了的可能性保持意想不到的问题从发生？不像保险，你花在哪里钱，你得到任何报酬损失，当你花在安全，你有任何损失需要你花更多的钱money. 如果我们使用我们的汽车制造商作为例如，他们的IT不太可能部门将像他们一样成功汽车制造业务，因为它不是业务的核心。相反，一个将IT作为其唯一产品的业务线路或服务，应该更多成功提供一流的IT。所以，如果一家汽车制造公司不会运营一流的IT业务，为什么我们会期望它的安全性要和最好的一样好-类IT公司? 评估内部IT安全 一旦你决定在云，它有助于理解内部IT面临的挑战面临关于安全的担忧采用云计算。 内部IT面临的最大挑战是一些人认为它没有更长时间有助于企业差异化自己来自竞争对手。当发生，内部IT被认为是一种成本center. This daveuing of IT means many组织没有足够的资金运营一流的所需预算IT基础设施。在这种情况下，它只是通过IT的艰巨努力企业级IT团队基础架构已维护。添加到此越来越多的安全 第三，您的IT和安全人员拥有对您的数据内容感兴趣。 •您的内部IT和安全你的员工。他们有一个对您的数据感兴趣。对于例如，在许多组织中，系统管理员有对首席执行官、首席财务官和法律部门的电子邮件。显然，你信任你现在的IT人员。但是那个新的大三怎么样 现在让我们来看看为什么一流内部IT安全比你可能会想： 首先，几乎没有熟练的安全性专业人士。 •高技能和经验丰富的安全 这意味着不同的系统共享公共基础设施，如网络，数据库，storage, etc. This lack of隔离使渎职的工作多更容易。当他们采取控制一台机器，他们可以不受约束地进入所有的机器。 你必须雇用管理员明年当你的一个当前受信任的管理员决定移动到一个新的位置? 第四，任何资源(员工，承包商、门卫服务人员)您的组织有权访问您的数据中心可以访问您的所有数据。 •如果有人有物理访问权限到您的服务器，它需要大约60秒完全控制服务器并开始发货你的数据就在门外非IT业务不太可能有时间或资源来保持一个配备齐全的IT人员全天候组织。它缺乏物理监测和所需的保障措施满足中提供的安全性一流的数据中心。 内部IT的意图很好放置。但外部因素使他们的工作是确保组织数据几乎不可逾越的任务，尤其是当IT不是组织的核心业务。 另一方面，一家公司IT作为其业务有很多更好地保护您的数据。其产品的质量及其市场成功，站在其安全性的有效性。 第五，大多数内部IT组织都在成长与业务。 如何处理云 安全挑战 •随着公司的发展，IT组织和技术能力。这作为-需要的增长对业务。但这对IT不利安全。而不是现代架构，围绕最佳构建实践，你的架构可能是需要什么的网格随着时间的推移。许多组织仍然没有实现一个“系统隔离”政策。 云计算的挑战与任何其他组织。 与内部IT、云提供商一样有内部和外部威胁可以减轻或接受。由于商品的性质IT，消费者期望多-云计算的租赁方面降低他们的成本。云 云计算安全实用指南 潜在影响各方所有层。这个问题必须是通过采取考虑建筑由您的云提供商和将信息放入您的总体风险缓解计划。 跨多个领域的IT运营成本组织。 安全评估 •随着时间的推移，组织倾向于放松他们的安全姿势。到与放松安全作斗争，云提供商应该执行常规安全评估。评估应该由某人来做谁有经验，能够找出问题并解决问题。应提供报告之后立即发送给每个客户这是执行，所以他们知道总体的当前状态云的安全。 多租户意味着您可能面临更大的外部风险由于另一方的商业惯例租户。当IT受限于您的在某种程度上，你的风险是，你独自承担。但是没有云计算的安全挑战是不可逾越的。 工作人员安全筛查 •大多数组织雇用承包商作为他们的一部分劳动力。云提供商是也不例外。和普通的雇员，承包商应该经历一个完整的背景调查员工。您的云提供商必须能够为您提供其背景调查政策并记录所有的员工有一个进行了背景调查，根据政策。此外，你应该在合同上绑定云提供商要求与相同水平的尽职调查其承包商。 多租户 •只要云提供商建立其安全性，以满足高风险的客户，那么所有的风险较低的客户变得更好比他们更安全正常。如果你是绷带厂家存在低风险成为一个直接的目标渎职。然而，如果你是一个音乐标签目前起诉文件共享者，你应该期望经历一个被攻击的高风险渎职。但是，当两个绷带制造商和音乐标签使用相同的云(mulit - tenancy)，这是可能的针对音乐标签可能会影响绷带生产厂家：基础设施也是如此。所以云提供商必须设计他们的安全性，以满足需求音乐标签-和绷带制造得到了好处。 在许多情况下，您的云•服务提供商不会成为云运营商。但它可能是提供增值服务在另一朵云之上提供者的服务。例如，如果软件即服务(SaaS)提供商的需求基础设施，它可能会让更多获得这一点的意义基础设施从一个基础架构即服务(IaaS)提供商而不是构建它。这些云服务由构建的提供程序层在IaaS之上分层SaaS，例如，可以影响您的安全。在这种类型的多层服务提供商安排，各方共同承担以下风险安全问题，因为风险 分布式数据中心 灾难是生活的事实。他们•包括飓风龙卷风,山体滑坡、地震和甚至纤维切割。理论上，一个云计算环境应该不太容易灾难，因为提供商可以提供一个环境 云计算安全实用指南 在飞行中和在休息。此外，每年的风险仅对中的数据进行评估问题应该做确保缓解措施符合需要。云提供商还需要有一项政策安全事件的反馈处理任何数据的策略 具有欺骗性或不知道它发生的事件。是假设一朵云是不切实际的提供者永远不会有一个事件。云提供商应有事件响应政策。他们应该有每个客户端的程序纳入他们的整体事件响应计划。 地理分布。但是许多组织注册云计算服务不是地理上的distributed. So they should要求他们的提供者有一个工作和定期测试灾难恢复计划，该计划包括SLA。对于那些适用于地理上不同的云服务，他们应该测试他们的云提供商的能力应对一场灾难定期。 编码 Conclusion 虽然安全成为一个主要的关注那些谁回应云计算调查，关键了解云中的安全性计算是要意识到技术不是新的，也不是未经测试的。它表示逻辑进展到将商品服务外包给许多同样值得信赖的IT提供商我们已经使用多年了。 •所有云提供商仍在使用-房屋软件，可能包含应用程序bug。所以每个客户都应该确保云提供商遵循安全编码实践.此外，所有代码都应该编写使用标准方法这是有记录的，可以是向客户展示 物理安全 •物理外部威胁应该仔细分析时选择云安全提供程序。做所有的云提供商的设施具有同样的安全级别?在最安全的地方出售设施，不能保证您的数据实际上将驻留那里？设施有吗，在最低限度，一个人的陷阱，卡或生物识别接入，监控，现场警卫，要求所有客人都被护送所有非防护出口点配备自动警报? 以前的“云计算”示例功能包括托管大型机（超过40年），托管文件和邮件服务器(AT&T、IBM在早期90年代)，以及软件服务，如SalesForce. com. 数据泄漏 数据泄露已成为一•最伟大的组织从安全角度考虑的风险。几乎每个政府世界范围内的法规授权保护某些数据类型。云提供商应该有能力映射它对安全的政策你必须遵守的任务并讨论问题。在一个最小值，下降的数据根据立法授权，或合同义务，应该是 云计算，我们定义为启用和交付计算服务(计算能力、数据存储、网络带宽和应用软件)通过网络作为需要的基础，一直在演变和继续发展。所以移动IT元素进入云中成为一个自然下一步 Policies •任何表示有从未发生过安全事件 云计算安全实用指南 ••云计算是合乎逻辑的移动服务以作为IT的更多成熟部分是商品化。不移动到云计算将意味着你付出比你的竞争对手相同商品。除非你的组织在做安全的生意，它可能比您的云提供商。使用提供程序来确定其注意安全。比较一下到您当前的实际水平安全性，以确保提供商正在实现奇偶校验或更高的安全级别。••请记住，安全云应该等于最危险的客户供应商有。风险评估是关键云安全。需要您的云计算合作伙伴为您提供其风险评估以及它的意图以减轻发现的任何问题。如果云提供商没有有一个经验丰富的客户面对CSO、CISO或同等机构安全人员，非常小心。这是一个迹象，它不需要安全足够认真。计划强制性每月与云的讨论供应商的最高安全人员。这次讨论应该同时进行没有隐藏项目的方式。•• ••云提供商应该拥有映射其政策和任何安全程序任务或安全驱动你面临的合同义务。关注你的云提供商对安全的坚持co