雲計算:雲端的風險評估
在採用雲端運算平台之前,適當評估您的組織風險是不可或缺的。
Vic Winkler
改編自"確保雲"發佈的 Syngress,Elsevier (2011 年) 的烙印
是否可以安全使用公共雲計算嗎? 這是個普遍問題關於雲計算。 完整答案,不過,取決於清楚地瞭解您的組織接受風險水準。 瞭解您可以容忍多少風險取決於評估您的安全要求和你如何珍惜您的資訊資產,如資料、 應用程式和進程。
僅當您完全理解這些問題時你可以做出明智的決定有關的部署模式和服務模式是適合您的需要和風險承受能力。 識別您的資訊資產是重要的之前你採取公共或混合模式。 每一種選擇將涉及至少一定程度的把控制該資訊將如何受到保護和它可能駐留 (位置/管轄權)。 增加了國內託管和內部運作的私有雲,與其他組合組織控制。
別忘了您的資訊資產的總和並不局限在資訊或資料。 您的應用程式和流程可以方便地為敏感或專有作為您的資訊。 情報和金融等許多領域的演算法或您所使用的程式往往專有和高度秘密組織。 他們暴露可構成組織出現重大損失。
評估您的風險
首先簡要風險分析。 你應該問下列問題:
- 威脅分類:您的資訊資產會發生什麼事?
- 威脅的影響:這可能是如何嚴重?
- 威脅頻率:頻率可能會發生?
- 不是確定性因素:如何確定是否在回答這些三個問題?
風險的核心問題是不確定性的概率表示。 你真的想知道是什麼做的事情 (對策或減輕風險)。 一旦您分析和處理風險,您可以要求進一步的幾個問題:
- 緩解措施:你如何降低風險?
- 緩解成本:減輕風險承擔了什麼?
- 緩解措施的成本效益:是緩解成本效益嗎?
若要很明顯,這三個問題是雷聲大雨點比私人或混合雲公共雲。 公共雲,你有你的付出。 雲提供商是方負責回答上述三個問題。 同樣,這些問題也不少相關的軟體即服務 (SaaS) 比他們平臺作為服務 (PaaS),但更多的相關,但作為一種服務 (雲計算模式將) 的基礎設施。
資訊資產和風險
不確定性與風險的核心問題。 應用這一因素,你的問題,您必須檢查您的資訊資產的更多詳細資訊。 識別資訊資產可以是難以捉摸的尤其是與"創建-一次,副本-經常"方面的數位內容。
典型的組織卻很少對其資訊充分的控制。 這往往是最小的保證有沒有其他的任何給定的資料副本。 從保護數位資料的角度看,這可能是最糟糕的情況。 大多陣列織了管理他們的資訊資產,儘管很多問題。
當你在考慮將您的資訊資產移動到雲計算時,您需要得到滿意的分類類別的資訊,而不是特定位的資訊的過程。 不幸的是,在這裡,也有普遍的問題。 如果我們計算系統強制執行資訊標記,但他們通常不這樣做,這可能不是那麼壞。 在大多數電腦系統上標記的資訊基於個人有需要瞭解和資訊的適當間隙的真實過程。
這是組織上控制資訊分類的線沿線和額外處理 (例如,專案 X 只) 警告。 通常不足以防止數位複製和有意或無意的資訊出血的相應控制項。
記得到三位一體的安全因素 (機密性、 完整性和可用性),你可以問一系列有針對性的問題,圍繞資訊資產的什麼線沿線將結果是如果:
- 資訊資產被暴露了嗎?
- 資訊資產是由外部實體修改嗎?
- 資訊資產的操縱嗎?
- 資訊資產變得不可用嗎?
如果這些問題讓人擔心不能接受的風險,您可能要通過限制私人雲 (避免引入新的風險) 風險敏感處理方法整體的問題。 使用公共雲計算非風險敏感性資料。 採用了私有雲不會排除相應控制項的需要。
這一點,您可能要考慮的結果:
- 通過混合外包的公共雲非敏感性資料並保留對敏感性資料的內部系統,您可能獲得一些成本優勢不承擔新的風險。
- 凡使用私有雲會對您的資訊資產構成沒有新的風險,可能會使用混合或公共雲計算模型。
- 從傳統的它的模型內部處理私有雲模型切換可能會降低風險。
這些都是合理的語句,走向調整我們的資訊資產,對部署模式和服務模式的重要性。
隱私和保密問題
超出這些資訊資產的風險,你可能會處理、 存儲或傳輸資料,已受監管和法規遵從性要求。 當屬於監管資料或法規遵從性的限制,您所選擇的雲部署 (是否私人,公眾或混合) 取決於被相信該提供程式是完全相容。 否則,你可能侵犯私隱,規管或其他法律的規定。
確認安全資料管理,通常這個責任落在租客或使用者。 當它來到隱私、 商業和國家安全重大維護資訊安全的影響。
雲計算基礎設施為您要關注任何系統內經常發生的侵犯私隱行為 — — 基於雲計算的或傳統。 尤其是當你是儲存、 處理或傳輸特別敏感資訊如財務或醫療資料。
2010 年,有幾個雲隱私資訊曝光發生數量的基於雲計算的服務,包括 Facebook、 Twitter Inc. 和 (Google inc.) 所以,雲模型與隱私問題不是全新的。
作為雲房客隱私法律規定的義務,在其中您處理隱私資訊的方式不會不同的無論您是使用雲或傳統的存儲。 就像你不會將這種資訊存儲缺乏足夠的控制項的伺服器上,您不會選擇任何雲提供者不驗證它們符合同一基準他們如何保護資料在傳輸或它處理時休息。
這並不是說您的策略可能會合理地排除管理此類資訊包括雲,您的任何外部提供者。 雖然可能你桌上的電腦是比人更安全是公共雲計算,這種看法,除非你正在與桌上型電腦的非同尋常的技術和程式的預防措施,它更傾向于將安全性更差的一個。
資料管理
你必須認識到機密資料的安全和其治理是兩個不同的問題。 作為正當的盡職調查,你要充分瞭解供應商的隱私治理及其安全做法和準則。
個人資訊的隱私法律。 與其它類別的業務資訊,以及任何與國家安全有關的是受到更嚴格的法規和法律。 國家安全資訊和流程受益于強和發達國家的語料庫的法律、 規則和指南。
儘管雲是一個相對較新的模型,提供指導的學習的考試應充分絕對限制任何保密的資訊從居住在一個公共的雲。 其他不處理敏感或機密資料的政府職能在於可能關注的領域。
足以說明,當您檢查使用的公有雲的機會,有從國家政府下到當地的司法管轄區的業務很多不同,並且單獨行。 鑒於政府和水準和司法管轄區的數量的大小,似乎好像政府本身可以操作一系列的社會雲其獨佔使用,從而獲得好處,避免在公共雲同居的問題。
另一方面,政府如果要使用公共的雲,則該服務必須完全滿足租客和所有適用的法規和法律的利益。 很可能是租客可以實施額外的安全控制,以滿足管理法規或法律要求,即使基礎公共雲計算模式將或 PaaS 完全不符合這些相同的要求。
不過,你必須明白,租客可添加其他控制項的範圍是有限,無法克服一些公共雲計算服務的許多空白。 保持你的眼睛球時安全至關重要,你選擇哪種雲模型或准適合您組織的需要。
.jpg)
Vic (J.R.)Winkler 是一位高級研究員博思,主要是美國提供技術諮詢 政府客戶。 他是發佈的資訊安全和網路安全研究人員,以及入侵/異常檢測方面的專家。
© 2011 Elsevier 公司 版權所有。列印許可權從 Syngress,Elsevier 的烙印。2011 年版權。 "保護雲" 的維也納國際中心 (J.R.)溫克勒。此標題和其他類似的書的詳細資訊,請訪問 elsevierdirect.com。