安全实行云计算指南的最近思惟（安全实行云计算指南的最近思惟包括）

云计算可以提供多种好处，其中包括快捷扩大和缩小以满足用户需求。但由于对云计算安全性的耽忧，金融服务等高度监管的行业领域中的组织在采取云计算技术方面的进展很慢。

　　企业如何在保持可靠的同时从云计算中取得最大收益?

　　这类情况开始产生变化：亚马逊公司和微软公司等基础设施即服务(IaaS)巨头正在将其数据中心的足迹扩大到多个地点，从而可以将受监管行业的信息存储在本地。与此同时，安全控制和策略正在帮助企业利用云计算的软件即服务(SaaS)利用程序(如Salesforce)来提高效率率，并加强协作。

　　如今，通常，在某些情况下，云计算被认为比内部部署的解决方案更安全。但是，该技术还增加了必须斟酌的安全风险。那末企业如何保持安全，同时从云计算中取得最大收益?

　　在实行云计算之前，企业和技术领导者需要了解风险。重要的是，随着网络攻击量的增加，云计算成了寻觅盗取数据或渗透系统的犯法份子的目标。

　　赛门铁克公司技术服务部首席技术官兼副总裁Darren Thomson表示，“事实上，基础设施层面的云平台已被证明是一种极好的病毒传播器，如果实例上存在病毒，由于这些环境的扩大方式，病毒将会很快传播。”

　　同时，毛病配置可能会致使严重的问题。Thomson表示，“人们可能会毛病地配置操作或没有正确修补操作系统，这使得它很容易遭到攻击。”

　　云计算利用程序可使事情进一步复杂化：用户希望提高效率率，但这会致使 “影子IT”的问题，由于技术领导者会失去组织内部使用软件的控制。

　　Gemalto公司数据保护服务高级总监Gary Marsden对谁应当对保护云计算中的敏感或机密数据负最大责任进行了解释。

　　云可靠的逐渐方法

　　保护云安全对企业来讲使人生畏，因此，这种情况下，专家建议采取逐渐的方法。德勤公司英国分公司网络风险服务总监Jayme Metcalfe说，“我会斟酌到风险管理。例如用户的云服务预设用例是甚么?在用户实行任何事情之前，应当有一个端到真个理解。这是很多企业倒闭的地方。他们想迁移到云平台，但不了解业务风险。”

　　事实上，在迁移到云端之前，建设性地利用安全性可以成为业务推动者，英国电信公司安全创新架构师Richard Baker表示，“挑战在于移动到云真个组织如何平衡变通性和本钱的机会，和他们所提供的元素的风险。”

　　关于云安全：关键是评估风险

　　他将这类方式与消费者注册Facebook等网站，让他们看到自己的某些情况进行了比较，并补充说，“组织需要审视自己的态度，并接受风险。关键是评估企业的风险，并充分了解其数据所在。”

　　Qualys公司EMEA地区首席技术安全官Darron Gibbard表示：“了解IT资产非常重要。如果不知道有甚么，那末怎样能保护它?”

　　斟酌到这一点，ECS公司负责人Allan Brearley突出，可见性是云计算部署的关键。 “企业需要了解实际具有的数据和需要保护的数据非常重要。应当有一个数据库，而这是必要的。”

　　Thomson认为企业需要评估数据。他说，“云计算访问安全代理(CASB)是位于云计算和用户之间的软件，可以提供帮助。它允许企业评估数据，并具有可见性。但缺点是，我们需要告知云计算访问安全代理(CASB)要看到些甚么。”

　　云可靠的其他斟酌因素

　　PA咨询公司的网络安全负责人Elliot Rose表示，在使用云计算IaaS时，企业需要确保自己的软件开发斟酌到安全要求。Rose说，“举例来看，它是如何托管的，谁托管它?是甚么控制水平?”

　　Thomson解释说：“另外一个重要的斟酌因素是提供者和客户之间的共同责任模型。在该模型下，云计算提供商负责基础设施，因此他们的数据中心的物理安全性就是他们面对的主要问题。举例来看，如果企业网络和基础设施被黑客（Hacker）侵入，他们还要对网络和基础设施安全负责。他们有时还要对虚拟机管理程序本身负责，但其实不对客户的数据负责。”

　　另外一个斟酌因素取决于组织所在的行业。不同类型的企业将有不同的数据保护需求：举例来看，政府机构或金融公司必须遵照比零售商更严格的监管指点准则。但是，针对欧盟数据保护法规(GDPR)，所有公司都有责任保护客户和用户数据。

　　Rose说，现在有一种由监管驱动的安全设计方法。他还指出用户有责任深入发掘，查看供应链，并实行数据作用评估。

　　与此同时，McAfee公司数据隐私专家Nigel Hawthorn指出，“如果你是数据控制者，那末依然需要对信息负责，不管使用哪一种数据处理器，还是将其外包给任何人，其中包括云计算。”

　　保护云计算曾是一项艰巨的任务，但如今可以利用多种控制和保护。作为其中的一部份，员工的支持是关键：企业可以培训员工使用已批准的版本，而不是禁止云计算利用或服务。在技术方面，专家提倡基本的安全控制，如加密和双因素身份验证。

　　另外，Gibbard认为具有适合的工具集非常重要，包括网络扫描和修补。他表示，后者是在任何环境中避免网络攻击的简单方法。

　　Gibbard表示，同时，延续监控使企业能够跟踪其环境中的数据，他还提倡基于角色的访问控制和确保可以访问正确的系统数据。

　　一旦企业掌握了他们需要做出安全保护的操作，就该开始研究迁移到云真个东西。正如Thomson正告的那样：“没有人具有无穷的预算，因此将所有内容放入云端，并在云平台添加安全利用程序是不现实的。所有这些都需要评估。”

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。