摘要:今年,亞馬遜爆發(fā)了全球性云計(jì)算故障�,導(dǎo)致海量網(wǎng)站和癱瘓。云提供商可能同意在書(shū)面上遵守一個(gè)審計(jì)標(biāo)準(zhǔn)��,如����。是否具有災(zāi)難恢復(fù)意識(shí)許多企業(yè)在選擇云主機(jī)時(shí)往往忽略云主機(jī)遇災(zāi)時(shí)數(shù)據(jù)的恢復(fù)問(wèn)題�����。
今年�,亞馬遜爆發(fā)了全球性云計(jì)算故障,導(dǎo)致海量網(wǎng)站和APP癱瘓�。過(guò)后不久,微軟證實(shí)��,其云計(jì)算也發(fā)生了全球性故障����,在所有28個(gè)數(shù)據(jù)中心中,有26個(gè)出現(xiàn)故障���。云計(jì)算來(lái)種種好處的同時(shí)上也會(huì)引入了新的安全威脅����。為了避免云計(jì)算事故造成損失,網(wǎng)時(shí)小編提醒企業(yè)自身需要從以下十個(gè)方面注意云產(chǎn)品的安全問(wèn)題:
1. 誰(shuí)有訪問(wèn)權(quán)限�?
訪問(wèn)控制確實(shí)是一個(gè)問(wèn)題。云身份認(rèn)證是如何管理的���??jī)?nèi)部人員攻擊是一種持續(xù)威脅�。任何獲得云平臺(tái)訪問(wèn)權(quán)限的人都有可能成為潛在的問(wèn)題��。舉一個(gè)例子:有一名員工可能離職或被辭退��,結(jié)果他或她是唯一有訪問(wèn)密碼的人����。或者說(shuō)�,或許這一名員工是唯一一位負(fù)責(zé)給云提供商支付費(fèi)用的人。你必須知道誰(shuí)有訪問(wèn)權(quán)限���,他或她是如何交接工作的����,以及訪問(wèn)權(quán)限是如何中止的��。
2. 你有哪些法規(guī)要求?
美國(guó)���、加拿大或歐盟國(guó)家的企業(yè)都必須遵守各種法規(guī)要求��,其中包括歐美隱私保護(hù)框架����、IT基礎(chǔ)架構(gòu)庫(kù)和COBIT�。你需要確定一個(gè)雙方均認(rèn)可的框架�,如ISO 27001。此外��,你還必須保證云提供商能夠滿足這些規(guī)定的要求�����,并且愿意接受認(rèn)證����、鑒定和審查。
3. 你是否有審計(jì)權(quán)限����?
這個(gè)問(wèn)題并不是小問(wèn)題�,相反是其中一個(gè)最重要的云安全問(wèn)題����。云提供商可能同意在書(shū)面上遵守一個(gè)審計(jì)標(biāo)準(zhǔn),如SSAE 16��。但是��,對(duì)于審計(jì)人員和評(píng)估人員而言�����,想要評(píng)估云計(jì)算是否符合法規(guī)要求��,已經(jīng)被證明是一件越來(lái)越難完成和驗(yàn)證的工作�����。在IT要面對(duì)的諸多法規(guī)中����,幾乎沒(méi)有專門(mén)針對(duì)云計(jì)算的。審計(jì)人員和評(píng)估人員可能還不熟悉云計(jì)算����,也不熟悉某個(gè)特定的云服務(wù)���。
4. 員工接受了哪些培訓(xùn)?
這確實(shí)是一個(gè)非常值得注意的問(wèn)題��,因?yàn)槿藗冊(cè)诎踩媲翱偸侨鮿?shì)群體���。了解云提供商給員工提供了哪些培訓(xùn)����,是一項(xiàng)要認(rèn)真審查的重要項(xiàng)目���。大多數(shù)攻擊都同時(shí)包含技術(shù)因素和社會(huì)因素。提供商應(yīng)該采用措施處理各種來(lái)源的社會(huì)工程攻擊�����,包括電子郵件���、惡意鏈接����、電話及其他方式,它們都應(yīng)該在出現(xiàn)在培訓(xùn)和認(rèn)知項(xiàng)目中�����。
5. 使用的是哪種數(shù)據(jù)分類系統(tǒng)���?
這個(gè)方面要關(guān)心的問(wèn)題包括用于分類數(shù)據(jù)的標(biāo)準(zhǔn)��,以及提供商是否支持這些標(biāo)準(zhǔn)�。令牌技術(shù)現(xiàn)在越來(lái)越多地替代加密手段��,它有助于保證企業(yè)符合各種法規(guī)要求��,如醫(yī)療保障可移植性和可審計(jì)性法案���、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)���、美國(guó)金融服務(wù)法案和歐洲數(shù)據(jù)保持法規(guī)等。
6. 是否使用了加密手段�����?
加密手段也應(yīng)該在考慮范圍內(nèi)�。原始數(shù)據(jù)是否允許離開(kāi)企業(yè)�����,或者它們應(yīng)該留在內(nèi)部�����,才能符合法規(guī)要求�?數(shù)據(jù)在靜止或移動(dòng)過(guò)程中�����,是否會(huì)使用加密措施�����?此外���,你還應(yīng)該了解其中所使用的加密類型。例如��,DES和AES就有一些重要差別����。另外,要保證自己知道是誰(shuí)在維護(hù)密鑰,然后再簽合約�����。加密手段一定要出現(xiàn)在云安全問(wèn)題清單中�����。
7. 數(shù)據(jù)是如何分隔的����?
數(shù)據(jù)位于一臺(tái)共享服務(wù)器還是一個(gè)專用系統(tǒng)中?如果使用一個(gè)專用服務(wù)器��,則意味著服務(wù)器上只有你的信息�����。如果在一臺(tái)共享服務(wù)器上�,則磁盤(pán)空間、處理能力��、帶寬等資源都是有限的�,因?yàn)檫€有其他人一起共享這個(gè)設(shè)備。
8. 長(zhǎng)期可用性有什么保障��?
需要注意的是:云提供商開(kāi)展業(yè)務(wù)的時(shí)間長(zhǎng)短也可能會(huì)影響云主機(jī)長(zhǎng)期可用性。經(jīng)營(yíng)時(shí)間的長(zhǎng)短是評(píng)價(jià)一個(gè)云主機(jī)提供商的重要標(biāo)準(zhǔn)��。一般來(lái)說(shuō)���,云提供商經(jīng)營(yíng)經(jīng)營(yíng)的時(shí)間長(zhǎng)���,表明企業(yè)有穩(wěn)定的資金流動(dòng),這與其卓越的信譽(yù)�����,提供優(yōu)異的產(chǎn)品����,真誠(chéng)的服務(wù)息息相關(guān)。網(wǎng)時(shí)作為國(guó)內(nèi)領(lǐng)先的云計(jì)算服務(wù)的提供商��,已經(jīng)成立19年�,在提供海量應(yīng)用于計(jì)算的同時(shí),在確保云服務(wù)的質(zhì)量上也是給用戶作了長(zhǎng)期可用性的保障����。
9. 如何保障網(wǎng)站安全穩(wěn)定的運(yùn)行�����?
如何保障網(wǎng)站安全穩(wěn)定的運(yùn)行,是所有網(wǎng)站管理者都關(guān)心的問(wèn)題��。但是如果自行搭建安全體系往往會(huì)讓成本成倍的增長(zhǎng)��,而且很復(fù)雜����。無(wú)疑給用戶帶來(lái)更大的成本以及時(shí)間壓力。這時(shí)�����,選擇一個(gè)好的云提供商很重要��。一些云提供商會(huì)提供一些防御體系服務(wù)�����,以此保障網(wǎng)站安全穩(wěn)定的運(yùn)行�����。比如網(wǎng)時(shí)云提供商提供的防御體系服務(wù)����,從根本上預(yù)防網(wǎng)站安全問(wèn)題���,保障網(wǎng)站安全運(yùn)行。
10. 是否具有災(zāi)難恢復(fù)意識(shí)��?
許多企業(yè)在選擇云主機(jī)時(shí)往往忽略云主機(jī)遇災(zāi)時(shí)數(shù)據(jù)的恢復(fù)問(wèn)題����。而這恰恰是最重要的一點(diǎn)。一個(gè)好的云提供商��,具有非常強(qiáng)的數(shù)據(jù)備份意識(shí)�。在用戶建站過(guò)程中,會(huì)為用戶提供數(shù)據(jù)自動(dòng)備份和無(wú)損恢復(fù)等優(yōu)質(zhì)服務(wù)�,避免機(jī)房遭遇災(zāi)害時(shí)造成用戶的巨大損失。
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/5464.html
