Logiq3公司决定使用云基IT基础设施服务是一个成本和弹性问题
雷竞技电脑网站多伦多人寿再保险管理公司无法从零开始建设并配置数据中心, 据Logiq3技术副总裁David Wesgate表示。Logiq3选择云计算管理IT服务提供方BluelockLLC处理云中数据需求
BlueLock虚拟环境允许数据量以动态低成本方式跨系统运行
安全顾虑有待解决,Logiq3将关键系统委托BlueLock云生命再保险公司处理死亡记录,其中包括个人信息,如社保号,以及金融资料和大金融客户账簿上主要资产信息Logiq3不受美国管制政府的Sarbans-Oxley法, 金融界客户说,Westgate表示,Logiq3需要潜在云商证明它们遵守适用规则并能够提供高安全度
Logiq3远非孤单安全守法问题裁剪外包企业有理由担心 将所有东西都放入虚拟云相对新服务区风险未知-Jay Heiser说,“风险本身就是风险”,Gartner公司分析师Jay Heiser表示。万一我无法理解 风险何在 我必须假设它不安全
5小技巧有效云安全
尽量查找软件自服务提供商安全度量和基础设施使用基础设施即服务提供商时,请询问它能提供什么工具保护虚拟环境。
平时加密数据免置敏感信息云
管理者与服务提供者管理者分管职责,所以无人可自由访问所有安全层
* 检验供应商是否认证达到SAS702型和ISO27001安全标准安全港认证
使用高端服务提供商并创安全记录Gartner分析师Jay Heiser说道,“你得到你支付的东西”。
黑客利用独有云漏洞的程度 正在Linkedin.com云计算联盟等网站激烈辩论迄今很少有成功大规模数据破解公共云最近 终于有人搭建宙斯密码交换机器人亚马逊.com公司内部EC2云计算基础
换句话说,现在是云计算行业早期云商有时在安全前排玩追赶游戏 IT管理员正想方设法找出风险和对策
分散职责
关键的第一步是云式服务提供商及其潜在客户坐下来判断由谁负责保护并保护信息技术基础设施中哪些构件,这些构件往往横跨两公司系统。有时,尤其是IaS提供商 分工可商易wesgate决定让Bluelock处理补丁配置管理, 因为他熟悉Bluelock软件使用,
Logiq3和BlueLock之间的分工实际上加强了安全,因为Westgate表示,“没有人或公司拥有王国所有密钥。”BlueLock管理防火墙,例如,“没有一个管理员可以进去决定出售或移动数据”。Bluelock管理员也不能操作 因为他们控制不了系统
云服务提供方负多少责任在很大程度上取决于服务类型
安全供应商Trind微公司高级主管Todd Thiemann表示, 客户通常负责保护中间件和API上方的一切,包括应用操作系统亚马逊IaS提供服务条件表示客户负责保护它输入公共云中的数据,他加法
与IaaS安排相反,软件即服务提供方通常负责保护云中客户应用和数据搭建往往对预算挑战型企业运作良好, 因为这能让企业获取高级安全技术和资源, 而企业内部可能负担不起这些技术和资源。
IBMLOTLive SaaS提供, 即2009年1月启动时使用“相同标准、安全性、守法性和管理性,雷竞技电脑网站举例说,LotusLive数据中心受环境和生物鉴别控制保护,包括闭路电视存取控制由IBM企业级Tivoli软件处理
多云服务提供商- 特别是SAS提供商- 感到安全实践和技术 给他们竞争优势,表示公司必须接受销售商的言词,即其系统确实安全并达标GartnerHeiser表示,可能安全强健系统 但没有明智方法保证安全认证标准ISO 27001和SAS 70类型2提供一些保证,他补充指出,“27001比较切合云安全性问题,但在应用新技术时弱小。”
美化云
可理解的是,许多SaaS商贩不愿客户将第三方安全产品插入自有平台,即使它只是允许客户安全系统与自有安全系统交互作用的代理
举例说,辉瑞公司外包一些安全服务到D3安全管理系统公司并有兴趣使用Oracle公司存取D3事件管理应用药厂全球运营技术主管Kurt Anderson表示D3对系统安装Oracle代理表示担忧
Anderson使用Symplific Inc单点云存取管理员解决问题,该管理员不使用代理器,而是与D3发布API交互使用,他说
自aas客户技术拥有虚拟化小片商家基础设施后,可安装安全软件和控件少数商家提供既保护私有环境又保护公共云环境的产品
一种产品就是TrindMic's深安全7代理安装到私有或公共云基础设施后,它可进行深度包检验、监控事件日志并监控系统活动,如文件修改未经授权活动等Thiemann表示
Shavlik基于云的商家为私有云安装提供系统管理,从不同角度处理公共云安全公司CEOMark Savlik表示,它向云式服务提供商发放补丁配置管理监控软件使用许可-包括它自己的IaS提供商
云式服务提供商正在捕捉使用固定商业安全产品可吸引客户的事实Logiq3西门使用Shavlik软件Shavlik常知:我用它打补丁配置管理多年,
存取控制云
动态灵活资源提供使虚拟化云服务对费用高的IT执行官如此有吸引力,也使得难以追踪数据在任何特定时间的位置和获取数据者私密云层中也是如此,公共云基系统中尤其如此,访问控制必须与客户与服务提供方相关联 -- -- 常常数个服务提供方
Pfizer使用 Symlifite单点云存取管理器提供单点登录功能终端用户移动Oracle和Symlift管理域间时,例如,他仍然必须重新登陆,但他可以使用同一套证书,Anderson说。
微信识别公司有两个供应商目前提供SOS系统内部应用和SAAS云应用,使用联想识别技术协调多系统用户身份和访问管理Anderson认为由SaaS商家采行更整体和标准化访问管理方式,
访问管理中处理云服务或外包服务时的另一个关注点是如何确保服务提供者系统管理员不滥用访问特权SaaS客户对服务提供者处理问题的方式没有太多控制或监督IaS提供商则往往允许客户在虚拟化基础设施部分安装事件日志监控软件
Logiq3使用StryMetrics Inc.安全事件管理服务监测事件日志、趋势分析报告异常sentryMetics系统可以提醒Logiq3
检验诚信
客户控制监控载波云,但无论服务类型如何,都只能达此目的如何确保敏感数据得到充分安全保护
Pfizer's Anderson表示服务级协议不减值, 特别是Fortune50公司,
Anderson说,因此尽责至关重要ffizer使用SAS702认证,独立第三方审核服务提供方内部和数据安全控件Anderson还验证销售商安全港守法水平并检查Dun&Bradstreet研究以确定它是否合法,他加法
评估服务提供方的另一标准是ISO 27001,它定义了设计和实施安全达标IT系统的最佳做法。
GartnerHeiser表示, 这些标准提供有用的起始点,公司仍需要匹配服务提供方的具体控件
查看BluelockSAS 70类型2认证后, Logiq3IT员工做了进一步评估 以“确保所需控件得到Westgate控件支持”。团队跟踪差错,识别缺失控件并协同供应商解决问题公司计划每年至少重复一次过程
警告用户不工作
多公司想从云服务获取成本效益, 但仍有安全顾虑, 告诉终端用户不要把敏感数据放云上但据Heiser称,这通常是徒劳式演练问题在于用户常不知道什么敏感,可假设应用或数据服务端用户能用数据泵最终会获取敏感数据
ifizer正在建立SAS英才中心教育用户正确处理SAS活动此外,该小组正在建立采购SaaS服务的最佳做法。除其他外,这些最佳做法禁止将涉及竞争性或个人识别信息应用列入saS搭建
访问控制权管理等基本安全任务更加复杂化,因为SaaS提供商向另一个云化服务提供商外包基础设施或开发平台 -- -- 并增加方程的另一端