|
作者:李毅 惠普IT管理学院高级顾问 随着云计算风起云涌的占据各种媒体版面引来业界各种关注的同时,云计算的安全防护与治理成为云计算在企业落地推进IT变革的最大挑战。作为云安全领域最有影响力的组织,云安全联盟对于云计算的安全问题在其发布的云安全指南中提供了一个简单的框架帮助IT管理者进行云计算的风险评估和信息安全决策,它也是一个快速方法用来评估当资产向云计算交付模式转变时所应具有的容忍能力。 识别云计算部署的资产 云所支持的资产简单讲可以分为两类: 1. 数据 2. 应用程序/功能/流程 我们在把信息转移到云中的同时,也会把交易/流程等转移到云计算环境中。而且在云计算中我们的数据和应用程序不需要存放在同一个位置,同时我们也可以选择只把一部分功能转入云中。 对云计算的风险进行评估的第一步是决定到底哪些数据或功能需要迁移到云中,同时也要评估资产在迁移到云计算环境后的使用状况从而判断变化的范围。从经验看,往往数据量及交易量会高于之前的预期。 评估资产 下一步是判断一下数据或功能对于组织的重要性。你不需要完成一个详细的价值评估除非你的组织有这样的流程,但是你需要至少做一个粗略评估:资产的敏感程度,应用程序/功能/流程的重要性。对于每一个资产,都要问如下的问题: ·如果该资产被公开或广为散发,我们会受到怎样损失? ·如果云服务提供商的员工访问了该资产,我们会受到怎样的损失? ·如果流程或者功能被外部的人员维护,我们会受到怎样的损失? ·如果流程或功能没有产生预期的结果,我们会受到怎样的损失? ·如果信息/数据受到非预期的改变,我们会受到怎样的损失? ·如果资产在一定时间内无法使用,我们会受到怎样的损失? 基本上我们是在评估该资产的私密性、完整性和可用性以及如果该资产的全部或部分在云中处理时导致的风险变化。 将资产映射到可能的云部署模式 现在我们应该对资产的重要性有了了解,那么下一步就是决定哪种部署模式是最合适的。在我们对服务提供商进行评审之前,我们需要明白是否我们可以接受不同部署模式所带来的风险。 在这个阶段你应该明白你对于这种转变的接受程度、哪一种部署模式和数据存储位置满足你的安全和风险需求。 评估云服务模型和提供商 在这个步骤将关注于你在每一个SPI(SaaS,PaaS和IaaS)层级中在采用所需风险管理后所具有的控制程度。如果你正在评估一个特定的选择时,在这一点你可能需要做一个全面的风险评估。如果你已经有明确需求(如规则数据的处理),你可以把它包括在这个评估当中。 制定出可能的数据流 当你在评估一个特定的部署选项时,你需要绘制出你自己的的组织、云服务提供者以及任意客户/其他节点之间的数据流。当然这些步骤应该是在一个较高的层面来实现,它对于在作出最终决定之前理解数据是否需要(或者如何)向云转移和转出是绝对必要的。 如果你已经对一个特定的选择作出决定了,你就需要为可接受列表的任何一个选项勾划出大致的数据流。这将使你在作出最终决策时能够识别出风险爆发的关键点。 总结 至此你应该能够理解以下几点的重要性: ·你要考虑什么需要转入云中 ·你的风险容忍能力(至少是在一个较高的层面上) ·哪一个部署和服务模式的组合是可以接受的 同时你也对于敏感信息和操作的潜在风险爆发点有了较好的认识。
来自: 惠普IT管理学院 博客
| 
转播
分享
淘帖
()
