如同合規要求一樣,企業的雲安全工作應該包含審計與保證。必須獨立地實施審計,並且應該堅定地設計審計以便表現出最佳實踐、恰當的資源,以及經過檢驗的協議及標準。
對於客戶和服務提供商而言,內審和外審以及各種控制措施都是合情合理的、可為雲計算效力的角色。在引入雲計算的起步階段,更多的透明度可能是增加利益相關者舒適度的最佳選擇。審計是提供保證的方法之一,其保證運營風險管理活動得到徹底地檢驗和評審。
組織最高端別的治理要素(例如董事會和管理層)應該採納並支援審計計畫。對至關重要的系統及控制進行定期且獨立的審計,包括伴隨的審計記錄和文件將會支援提公升效率和可靠性。 許多組織使用成熟度模型(例如cmm、ptqm)作為分析流程有效性的框架。在某些情況下更多採用的是統計性的風險管理方法(例如用於金融服務的巴塞爾協議和償付能力標準)。並且隨著該領域的成熟,可以採用適用於職能部門、或業務線的更具專業性的風險模型。 對於雲計算而言,我們需要修訂和加強這些實踐。正如資訊科技模型一樣,審計需要充分利用雲計算的潛力,同時增大範圍和規模來管理它諸多的新穎性。
當接洽(雲計算)提供商時會牽涉到客戶所屬組織內適當的法務、採購以及合同團隊。服務的標準條款可能並未涉及合規需求,需要就此進行協商。
對於受到高度監管的行業(例如金融業、醫療行業)來說,當使用雲服務時應該考慮專門的合規要求。理解自身當前要求的組織應該考慮分布式it模型的影響,包括雲服務提供商運營於不同的地理位置以及不同的法律管轄區所帶來的影響。
為每項工作負荷(例如整套的應用和資料),確定使用雲服務將會如何影響現有的合規要求,特別是當與資訊保安有關時。儘管有許多外包服務解決方案,組織仍需理解他們哪個雲服務合作夥伴正在處理並應當處理受監管的資訊。受影響的策略以及流程的例子包括活動報告、日誌、資料保持、事故響應、控制測試和隱私權策略。
各方都應該理解各自的合同職責。期望值的底線將會由於部署模型而有所不同,在iaas模型中客戶擁有更多的控制權和職責,對於saas解決方案而言服務提供商扮演著統治性的角色。特別重要的是彼此受約束的要求和責任,而不僅只是限於客戶與他們直接的雲服務提供商,而且也是在終端使用者與提供商的雲服務提供商之間。
遵守法規以及行業規定和要求(例如法規、技術、法律、合規、風險和安全等方面)是關鍵的,並且必須在要求確認階段就解決。任何被處理、傳輸、儲存的資訊,或是被看作是個人可識別資訊(personal identifiable information,簡稱pii)或私人資訊都面臨著世界範圍內繁多的合規規定,這些合規可能隨國家或地區的不同而有差異。既然雲計算被設計為是位於不同地區且可擴充套件的,解決方案中被儲存、處理、傳輸或是檢索的資料可能來自雲服務提供商的眾多場所或多個資料中心。一些法規明確規定的控制在某些雲服務型別(例如地理上的要求可能與分布式的儲存不一致)下很難、或是根本不可能實現。客戶與提供商必須就如何收集、儲存,以及共享合規證據(如審計日誌、活動報告、系統配置)達成一致意見。
在實際工作中,可以遵循以下一些有益的建議和最佳實踐:
京東雲加碼雲安全服務 全面護航企業級雲安全使用者
隨著雲計算技術的不斷發展,使用者雲安全業務正越來越受到重視。企業雲端使用者們迫切希望自身雲端業務及資料能夠享受到與傳統物理網路環境同等的 甚至更全面的安全防護。近日,京東雲通過深度整合產品線 上線更多基於業務安全 安全防禦解決方案以及定製化專業安全服務等策略,將產品和服務相結合,建立主動風險發現和動...
傳統企業安全vs網際網路企業安全vs雲安全
傳統企業安全問題的特徵如下 it資產相對固定 業務變更不頻繁 網路邊界比較固定 idc規模不會很大,甚至沒有 使用基於傳統的資產威脅脆弱性的風險管理方 加上購買和部署商業安全產品 解決方案 通常可以搞定。比如 大型網際網路企業需要應對如下問題 海量idc和海量資料。完全的分布式架構。應對業務的頻繁發...
阿里雲 ACP 雲安全 題庫 資料庫審計部分
阿里雲 acp 雲安全 題庫總結 acp 雲安全官網訓練題庫,80 成績可以顯示答題情況 阿里雲 acp 雲安全 題庫 ddos 防護部分 阿里雲 acp 雲安全 題庫 資料庫審計部分 阿里雲 acp 雲安全 題庫 堡壘機計部分 阿里雲 acp 雲安全 題庫 雲安全中心 態勢感知 安騎士 阿里雲 a...