安全团队和开发人员可以发现难以掌握基于云计算的控制概念。但实际上,放弃其广域网中光纤和铜缆的所有权也是类似的情况:电信运营商拥有物理基础设施,但数据仍由客户拥有和控制。这一切都与描述安全责任有关。一旦定义了切换点,企业就会知道除此之外,其云计算服务提供商负责安全性。
最重要的是,企业应该与云计算提供商合作,以确保对更高程度的逻辑隔离进行加密。空闲和传输中的数据加密通常被视为在公共云平台上另一种保护和隔离数据的方式。虽然任何人都不可能闯入公共云数据中心,并物理窃取包含数据的磁盘驱动器,但强烈建议企业考虑使用空闲数据加密。
加强监督并重新调整审计目标
随着监管环境越来越复杂,越来越多地要求使用云计算的组织展示其强大的治理。企业已将某些控制权委托给其云计算服务供应商,这一事实意味着企业必须证明治理程序已到位并且正在遵循。
为此,企业应该寻求与提供安全性和合规性监控和报告的云计算服务提供商合作。并且采用必要的方法和合规性证明,可确保企业云计算工作负载能够满足审核时间的要求。
比较企业的安全需求,并根据SLA衡量云计算服务商的性能
另一个需要密切关注的是合同条款,它约束了云计算服务商在保护客户数据和隐私方面的作用。与超大规模云计算提供商签订的合同往往绝大多数都会保护这些云计算服务商,但是可以与一些云计算服务商合作,就更有利于客户的条款达成协议。
最终的影响和建议是围绕云计算服务提供商合同和服务等级协议(SLA)。许多云计算服务商,特别是超大规模的提供商,在其SLA上可能非常严格,并且在被要求更改它们时可能非常不灵活。了解云计算服务提供商在合规性的不同方面的立场非常重要。但他们能够分享认证和证明吗?他们的SLA对可用性等主题有多大的灵活性?如果SLA不提供服务,他们会支付服务信用吗?在开始使用云计算服务提供商的服务之前,这些是企业需要获得这些问题的答案。在此提出的另一条建议是将外部托管数据的安全要求与风险偏好背景下的云计算服务提供商功能进行比较。
总而言之,随着安全风险和合规性法规的不断增加,以及云计算服务的采用,理解云计算安全方面的共同责任非常重要。在云中放弃和保留控制之间取得适当的平衡,将使企业能够安全地利用云计算服务的诸多优势。控制云计算并不意味着企业应该管理云计算的每一个方面,但要确保知道应该负责什么职责,并获得正确的控制。
