请选择 进入手机版 | 继续访问电脑版

IT运维管理,ITIL,ITSS,ITSM,ISO20000-ITIL先锋论坛

 找回密码
 微信、QQ、手机号一键注册

扫描二维码登录本站

QQ登录

只需一步,快速开始

艾拓先锋
搜索
查看: 1190|回复: 0

[Cissp&Cisa&等保实践] 【转】Google:迁移到云内部其实更安全

[复制链接]
来自- 四川成都

参加活动:24

组织活动:1

发表于 2012-11-21 15:54:51 | 显示全部楼层 |阅读模式 来自- 四川成都

企业总是担心他们的基础建设迁移到云上会有这样或那样的一些安全隐患,事实上,通过Google我们了解到,绝大多数的时候,将基础建设迁移到云上是更安全的。

说到把基础设施迁移到云上时,安全问题就成为了人们最关心的话题。通过Google安全主管Eran Feigenbaum我们了解到,其实云内的安全状况要比大多数企业目前的安全情况要好上很多。

与传统内网软件相比,特别是将所有的备份,防病毒,存储等其他费用算上的时候,云服务并不昂贵,且服务质量也没有下降。针对不同的企业和供应商,会有不同的解决方案。但我相信,云计算能让企业目前的安全状况得到更好的改善。

2012年,澳大利亚信息安全协会的全国会议上,Feigenbaum表示,绝大多数情况下,为不同类型的企业提供云服务的供应商将决定其企业的安全级别。 他的这句声明现在仍然有效。

Feigenbaum说,那些接受了云服务的企业相信供应商能够在安全管理上做的更好。当然,当发生了一些安全事件的时候,供应商也要担保他们的客户不会成为冤大头。

他首先指出,当基础建设成为一种服务模式,企业依然掌控着安全服务和软件的安装,为了能够从日常的安全服务工作中解脱出来,他们需要将其替换到一个具有相应安全等级的服务当中。

然而,这就出现了一个新的挑战,考虑到绝大多数的云服务供应商不喜欢客户去改动那些服务器的设置,那么我们怎么知道供应商是如何确保企业网络安全的呢?

最有可能的是,你的云服务供应商不会让你自己在服务器上运行取证工具,他们甚至不会让你进入他们的数据中心。

相反,他会给出一些云供应商都会遵守的各种合规计划,对于那些企业感兴趣的服务,他们会给出相应的审计报告作为指导。

企业应当主动要求查看审计报告的副本,若供应商拒绝给你看报表,说明他们隐瞒了某些事情。其他供应商,包括Google,他们都会将这些报告提供给一些潜在的用户,尽管这些报告中可能会涉及一些机密信息。

Feigenbaum警告说,“不管企业选择哪个供应商,都不可能百分百的安全,若发生了某个安全事件,客户应当争取相应的权利,有权知道事件发生的整个过程。但是有一件事我必须要强调一下,如果你将数据迁移到云上,并且与供应商签订了有效的合约,若发生了安全事件并且影响了你的数据,毫无疑问,你的云供应商必须要通知你。你可能不需要知道细节,但是你需要知道是什么影响了你的数据,什么时候影响的,以及你的云供应商是如何进行修复的。”

光是了解还不够,Feigenbaum建议企业进行一些安全事件的模拟演习,让企业了解到当发生某些安全事件的时候,我们应当如何进行应急处理,减少损失,而不是去学习如何挖掘一个复杂多变的安全漏洞。

他还建议到:为了更好地协助和准备相应的工作,其中应任命一位协调员,这位协调员来跟进整个安全事件,对相关的安全事件进行分析,了解到底是怎么回事,协调相关的工程师、公关,让客户内部以及相关的客户支持等等有关人员和部门都能够互动起来。

并且,他还解释,这样做的另一个好处是,我们可以从模拟演练中吸取经验教训,并且协调员可以将模拟事件中的一些问题反馈给云服务供应商,确定他们会采取怎样的应对方式,以及确定在发生突发事件的时候该如何与供应商更好地合作。

本版积分规则

QQ|小黑屋|手机版|Archiver|艾拓先锋网 ( 粤ICP备11099876号-1|网站地图

Baidu

GMT+8, 2018-11-22 01:38 , Processed in 0.189833 second(s), 35 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表