发布于 2013年01月05日
(1)法律与合规管理
(a)安全策略
企业在导入云计算环境时,必须根据法律及业界规范,制定相关安全策略,包含:
云端服务使用规范(哪些业务和数据可以使用公有云服务?哪些只能使用内部私有云?)
云端服务备援方案
云端数据备份方案
内部私有云安全管理规范
虚拟化环境安全防护
企业可以ISO27000做基础,参考CSA(CloudSecurityAlliance)提供的”云计算关键领域安全指南”,制定完整的云端信息安全管理体系。
(b)合规管理
企业制定了云端相关安全与管理规范,“徒法不足以自行”,必须有系统化流程与工具落实相关规范。然而,通过人工检查,不论复杂度、成本或响应时间都无法满足需要灵活调度,快速响应需求的云端环境的需求,所以导入自动化合规管理工具,已成为云端合规管理的必要技术手段。除了导入自动化合规管理工具外,企业还必须有相对应的管理流程,保障策略、规范与技术手段的落实。
(c)人员管理
未来云端最可能的发展趋势是“混合云”,将非企业核心业务交由第三方云服务供应商处理,降低企业整体成本;然而这也为企业在人员帐号与权限管理带来新的挑战,企业不只要考虑数据中心内各系统的统一帐号管理与权限控管,更要考虑到对于企业使用第三方云服务的安全管理。例如,人员离退时,除了要关闭企业内的帐号与权限外,也必须同时关闭第三方云服务的帐号,避免云服务遭到盗用或滥用。
(d)缺失矫正
企业通过内部与外部审计可以发现信息环境可能的隐患,但在云环境中,由于系统的灵活调度与快速响应;以下两点,将成为企业保障“云环境”安全运行的重点。
如何留存相关日志,做为即时分析及事后审计的依据
即时矫正缺失,缩短防护空窗期,避免重现相同安全隐患
此外,如何审计第三方云服务供应商,并要求及时矫正可能的缺失,所涉及的多方信任及双向审计问题,将会是企业走向“云时代”的一大挑战。为将可能的争议与风险降至最低,企业应于与云服务供应商间的合约与服务水平协议(SLA),明确订定相关条款。
(e)安全报告
安全报告是高阶主管掌控企业信息环境运作的重要参考。对于私有云,如何将日志与动态调度的系统相关连,精确定位安全事件,将会是企业安全防护的挑战;对于公有云,企业则需考虑第三方云服务供应商是否能即时提供企业所需的安全报告,并与企业内相关系统的日志集成,产生企业整体运行的全方位安全报告。具备事件正规化与自动关联能力的信息安全信息管理系统,将会是企业解决安全报告难题的利器。