云计算是信息技术领域发生的重大变革。基于虚拟化、分布式计算、负载均衡等技术支撑实现的云计算服务,具备更高的计算能力和存储能力,但是,以数据安全以及隐私保护为典型代表的云安全问题,严重影响用户对于云计算服务的信心,云安全成为云计算推广的最大拦路虎。无法提供可视性以及云服务商提供的服务无法满足安全需求的现状正阻碍着云计算的推广与发展,如何打破这一瓶颈?对于希望利用云计算服务的企业来说,应该如何评估云计算服务供应商的安全性,应当如何确定某特定供应商的信誉和可靠性?
云安全联盟于2011年第四季度推出了安全、信任以及保证注册(STAR)项目,该项目旨在鼓励云提供商增加其安全实践的透明度,这是一个免费的,可公开访问的注册,供云计算提供商公布其安全控制策略,可帮助用户评估正在使用的或正在考虑的云提供商的安全性。这是促使云提供商的安全性和运营更为透明和开放的一次尝试,用户通过查阅提供商提交的STAR报告,可以便于评估产品和服务是否满足其安全需要。
甲乙双方相互之间的怀疑与不信任,是市场交易中永远不可调和的矛盾。提供商的安全报告易被视作一面之辞,其可信程度,尤其在用户眼里的可靠性以及说服力,往往要被打上折扣。因此,一个健康、公平、安全的云计算服务环境,除了需要提供商与用户在业务上的努力之外,还需要借助一个独立的第三方,对双方的业务操作及交易过程执行客观、公正的安全审计,尤其在高度IT化的云计算市场环境,还要求这种审计可以持续地开展。换言之,由独立第三方向业务用户执行监控评估,针对云计算提供商云维管理操作提供的安全审计报告,对于保证云计算服务性,必不可少。
云安全联盟(CSA)于2011年11月发布的《云计算关键领域安全指南》V3.0中增加了一个新的关键域DOMAIN 14:Security as a Service(安全作为服务),在这个域中正式提出了安全作为服务的概念(SecaaS),并对安全作为服务的主要服务范围和服务需求进行了描述。
国都兴业信息审计系统技术(北京)有限公司正是基于安全作为服务的理念,在公司“全云审计”战略的基础上,研究开发了云计算环境下的信息安全审计平台,以面向云计算的安全为最终目标,以基于云计算技术的信息安全为基础,可为云计算的用户提供安全保障,帮助云服务提供商建立、实施和改进云安全的控制与管理能力。
区别于传统的信息安全技术产品及服务,云计算安全审计平台通过综合分析云计算服务的风险,客观评价云计算服务平台的数据安全保护能力、业务持续性保证能力以及平台及服务合规建设水平,为云计算服务的提供者、使用者以及监管者准确理解云服务的安全风险、持续风险以及合规风险,合理调整云服务建设及应用决策提供助力和支持。
云计算安全审计平台通过自主研究开发的一套云计算安全审计通用数据接口,提供了针对云服务平台和云数据中心的统一的接口规范和命名协议,建立了一套开放、可扩展和安全的接口和技术方法。云计算服务提供者在云计算平台中定义并加载这些接口,就可以实现与云安全审计的无缝结合,云计算安全审计系统利用这些接口可以实时的对云计算平台进行全面的信息审计,让用户了解在云平台上发生的一切,从而实现用户在云计算环境下外部合规性、业务持续性、数据安全性等方面的审计需求,可以有效控制数据在云中面临的风险。
云计算环境下的安全审计监管平台主要包括云审计用户服务平台和云审计企业服务平台,一方面可提供面向云服务提供商的信息审计服务,提升云平台的安全保障能力。另一方面可提供面向云服务用户的信息监管服务,消除用户对云服务平台安全性、可信性、合规性以及持续性等方面能力的担忧,提升云计算的用户信任度。
国都兴业云安全审计平台不仅可以为云服务提供商提供审计支持,也可以为云服务的用户提供第三方的审计报告,使云服务提供商省心,让云服务使用者放心。