最近看了《云安全指南》和27017的标准,简单谈谈自己的一点感想。
云安全指南分三个部分:云体系架构、云的治理和云的运行,云体系架构相对整体的总结了云的三个层次:IAAS、PAAS和SAAS,并从这三个层次上分析各个层次可开展的安全内容,以及云服务提供商及使用商的安全职责。
云治理从企业风险管理、法律法规及合规入口,讨论信息管理和数据的安全,以及由于云弹性的特点,云数据移植存在的问题。
云的运行,从传统安全、业务连续性和灾难恢复入手,讨论云数据中心运行的安全关注点,事故的响应,云数据的加密及密钥的管理,另外,对云数据访问的权限控制,身份授权和访问的管理。
关于云的虚拟化相关的技术内容如果不了解或者自己想进一步了解的,需自行学习相关的技术资料,体系里面只简单提了云安全目前所使用的工具,不涉及技术的内容,所以建议不了解云技术的同学想看这个体系指南之前最好先补点云的基础知识,相对好理解。 |