建立完善的数据安全体系
为了让云计算或者说云技术远离数据安全隐患,就需要针对各种复杂多变的环境,建立起系统化的有效防护体系。
首先,要做好评估工作。从传统互联网向云上迁移时,在获得共享性和降低成本等好处的同时也面临了更复杂的生态环境。必须对安全漏洞进行评估,确保所有控制都到位且运行正常。同时,在选择云服务供应商之前也需要做好调研工作,需要掌握该服务商传播那些与物理安全、逻辑安全、加密、更改管理和业务持续性以及灾难恢复等属于同类型控件的能力。
其次,进行有计划的风险控制。制定一个正式的风险缓解计划,包括风险的文件、对这些风险的响应、教育和培训等。还应该看看弹性需求制订一个弹性计划,若想在一场灾难或攻击事件中迅速恢复的话,谨慎确保工作负载可以随时恢复,以及把业务连续性的影响降到最低,这个计划是很重要的。
然后,数据防护将是核心重点。人们对于信息安全的关注通常从设备和链路,以及防护、阻截等的角度考虑的较多。其实内容或者说数据本身的安全防护才是核心。云计算环境下尤其如此,保护好数据本身的安全才能够真正实现安全。
还有,关键的基础管控过程。将近六十个保护最重要资产的安全基础控制,是包括云环境在内的所有信息安全的关键。必须得到确认以确保云技术对您的系统、业务和操作符合安全控制。
而采用混合模式更是有效的部署方案。如采用与提供混合的安全服务模式,将云的服务与预置的服务混合起来,多种模式同时进行,一方面有助于减轻压力,另一方面以组合增加了防护的变量,使防护更为行之有效。
同时,要尽早进行异常检测。如果攻击者获取了账户信息,即使是机密也于事无补。所以,云供应商必须部署良好的异常检测系统,并与客户共享这些系统的信息和审计记录。使用不同的工具来确保云供应商满足客户的需求,这是一种分层的办法。
再有可以进行全程防护的生命周期,如在全面、全方位、全生命周期的“三全防护”中,展开有效防护。全面、全方位主要通过各类信息安全技术来实现,而全生命周期则需要意识、技术、制度综合到位、持续进行,有赖于勤于云技术管理和定期的安全性审查。
当然进行更为普遍的加密操作。这里说的加密,不仅仅是终端到终端加密,而且还包括在将数据转移到云中前,能够在企业内部加密数据。云供应商需要制定强大的加密解决方案,以让企业确保其数据的安全性。同时利用好专业的云安全服务,像独立的安全服务咨询、托管等各类服务提供者已经逐渐发展起来,利用好这些专业化的机构或服务商,实行长效的防护乃至事前积极的监测保护,既减轻自身的压力与固定开销,也能够更加主动。
随后关注工作负载的状况,通过对设备和应用等信息工作负载的重点关注,充分考虑其独特性,制定更有针对性的安全计划,比传统的操作提供更安全的保障。
还需要厘清安全责任。很多用户都会认为,云服务供应商应该对数据承担责任,而供应商却易责怪客户自身措施不得力。据调查显示,超过三分之一的客户仍然期望其软件即服务供应商保护应用程序和数据的安全。其实手段是重要的,如何有效地运用手段同样重要。只有供求双方各自承担起自己应尽的安全责任才是无懈可击的根本保证。
最后建立完善的日志体系也很重要。对管理访问日志保持审计是非常重要的,即有一定量的日志信息可以主动提供给所有需要追踪的企业来进行各种分析。但大多数小型云服务没有提供这种信息。
综上所述,云安全并不是一个短期的问题,云计算想要长久持续的进行发展,数据安全问题时不容小觑的,本文的这些方法,究其根本,数据本源的安全防护是最重要的。所以在采用云技术的同时,应采用具有针对性且能灵活应对的加密技术进行核心数据防护应是一个有效的选择。这就要求我们在享有云提供的信息完整、开放、良好用户体验等优势的同时,更要保证数据的安全。若没有安全的保障,云应用的价值将大打折扣,更有可能带来损失和灾难。
