多家厂商组建云安全联盟 提供最优解决方案

没有人会质疑云计算和云存储的潜在好处,在云环境下,计算资源和存储资源的访问都是按需进行的,这样成本就直接与系统使用情况挂钩了。但是,那些服务器、应用程序以及云服务供应商托管和管理的数据的安全性如何呢?服务供应商如何保证数据的机密性?那些数据是否会被改动?在需要的时候,它们是否总是能够被访问呢?

简单地回答那些问题也许就能令中小型企业满意,因为它们利用云服务存储和管理的数据并不多,但是对于政府机构、受监管更多的企业、以及受萨班斯奥克斯利法案(Sarbanes-Oxley)、健康保险携带和责任法案(HIPAA)以及支付卡行业数据安全标准(PCIDSS)等法规监管的零售商们来说,简单地回答就不够了。

根据萨班斯奥克斯利法案规定,上市公司必须证实采取了适当的控制机制来保证金融信息不会受到损害,也不能在未获批准的情况被窥探,网络零售商必须确保采用了PCIDSS规定的所有控制措施。如果被监管的企业,或审计和监管当局认为云服务供应商不能确保或证实服务的安全性,那么企业IT部门采用的技术就会引发质疑。

随着越来越多的复杂系统以及具有很高商业价值的数据都转移到云服务之中,IT安全管理的方方面面也必须进入云服务,包括加密和密钥管理、电子发现、应用安全和控制、风险以及合规性框架等。

业内多家厂商在周二宣布成立云安全联盟(Cloud Security Alliance),这个非赢利性组织的任务是推广各种最优方案,确保云计算服务的安全。

独立安全分析师、研究员、云安全联盟的创始成员以及技术顾问Christopher Hoff解释说:"政府里有很多人都想获得云服务的好处,但是由于安全性以及合规性问题的影响,他们不得不考虑建立专供政府使用的私有云。"

为了减轻与云计算有关的安全顾虑,云安全联盟召集了大量IT管理、法律、网络安全、审计、应用安全、存储、加密、虚拟化、风险管理以及其他领域的专家,为政府机构安全迁移到云环境提供必要指导。

云安全联盟将在本月晚些时候在2009 RSA安全会议上发布计划草案。该计划将详细检查信息安全中包括安全架构、信息生命周期管理、业务连续性、灾难恢复等在内的15个项目,以及检查各个项目中的风险和机会。 云安全联盟的联合创始人Jim Reavis说:"一开始,我们将为企业提供各个领域的实用建议,让它们在选择云服务供应商时更好地保护自己。"

Reavis说:"我们想要及时提出的忠告是:我应该如何拟订服务协议来保护我的数据不会被其他人所用?在电子发现方案中,我应该如何保证云服务供应商不会妨害到公司保存和提供所需记录和信息的能力?我应该如何保证数据不被破坏?在可携带性问题上,不同供应商提供的SaaS、IaaS以及PaaS是否相同?如果不同的话,有何风险以及如何减轻那些风险?应该如何利用密钥管理来调整云计算服务,才能在充分发挥云计算优势的同时将数据泄密的威胁降到最低?"

Hoff表示,随着云服务的继续演进发展,为了确保更好的安全性和合规性,企业反过来也会对云服务的建立造成影响,但是现在还远远未到考虑这个问题的时候。