企业用户安全防御不容忽视
通过分析可知,云服务提供商所做的安全防御措施,包括硬件安全、数据隔离保护、数据传输保护等关键安全技术。不过,企业用户将运营方案转向“云”时应该采取的安全防御措施与此不同,包括服务水平协议、数据备份、审计管理以及其它安全策略。
1.服务水平协议
当云服务提供商向企业客户提供服务的时候,通常也会向用户提供一份“服务水平协议”,该协议标明协议应达到的水平,这应当是云中技术人员必须关注的问题。对于该协议,企业客户应充分了解其中有关可用性、可靠性及性能方面的条款,以达到充分保证自身利益的目的。
2.数据备份
云批判者反复轰炸云计算的一个焦点是云的安全问题。要把数据放到自己无法掌控的机器上,这从感情上很难接受。然而,实际上现在的云计算已经能做到和传统数据中心一样安全,甚至比那更安全。可是,正如传统数据中心会出现数据丢失一样,云计算环境下,数据也会因设备、灾难等问题而丢失,所以,数据库备份工作绝不容忽视。云中最好的备份策略是基于文件的照快照的备份方案。先锁定数据,不让写入,然后找快照,最后解除锁定,这种备份策略方便快捷,可以在应用程序不停止运转的情况下进行,保证数据库的完整性。
3.审计管理
审计工作在由多方云服务提供商动态提供计算机资源的环境下尤为重要,只有主动地检测系统运行情况,才能及时调查和处理任何潜在问题。网御数据库审计系统在数据库审计工作中发挥中重要的作用,它不仅可以对数据库操作内容进行审计,还可以对业务操作行为进行细粒度的合规性审计和管理,帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源,加强内外部网络行为监管,完善业务系统的安全防范体系。
4.其它安全策略
在企业向公共云迁移时,应尽量选择安全可信度高、信誉好的大型云服务提供商,降低云服务提供商出现破产导致的风险。
有选择地将业务向云计算迁移,尽量避免将核心知识产权及敏感信息放入云中
明确云服务提供商存储数据的地点,在可能的情况下,控制数据的存放地地点,以应对不同地区、不同国家因法律差异而引起的法律纠纷。
合作各方应重视审计和合规
尽管云服务提供商提供最可靠的安全技术,企业用户也做好了最全的安全防御措施,但是不可避免的是,云服务提供商和企业用户之间还是会产生安全责任方面的纠纷,所以这就需要审计合规和法律的介入。审计合规实施建议如下。
首先,目前IT界的相关法律法规在制定时很少涉及到云安全方面的责任,所以为保证审计合规的正常实施,必须要引入法律的监管。
其次,分析合规范围和合规条例对数据的影响,消费者应考虑哪种数据和应用可以使用云服务,以避免使用云服务而造成安全信息泄露。
再次,在云服务模型要求,云服务提供者和用户都有责任部署安全设施,但是对于不同的云服务提供商来时,它所应负的责任是不一样的,比如对于Iaas服务商来说,它的功能就是提供基础设施,对安全措施的部署不用考虑太多,而Saas提供商正好相反,它几乎要负责所有安全责任。所以不管是云服务提供商还是企业用户在审计合规中都要对此有明确的认识。
最后,提供关键服务的云提供商应该在信息安全管理系统中达到ISO/IEC 27001的标准,并且提供商应该有最低级别的审计声明,为审计师和评估人员提供一个可识别的参考点。
我们以微软基于云计算的操作系统Windows Azure为例,该操作系统实施的具体审核方案是采用多层次的检测、记录和报告。监控代理(Monitoring Agent)会采集FC和OS的检测和诊断日志信息,将其写入本地日志文件并定期将其传送到预先配置好的存储账户,以供用户查询。此外,检测数据分析服务(Monitoring Data analysis Service)也会读取各种检测和诊断日志数据,将其总结分析,然后把它写入一个综合的日志以备差用。
