Gartner2014年信息安全趋势解读(1):“云计算安全责任

nuke同学翻译了 “Gartner 2014年信息安全趋势与总结”,里边确实有很多有方向性的东西。对其中自己熟悉的部分内容做一做解读。也梳理下知识和经验。弄成系列性的:Gartner2014年信息安全趋势解读(1):“云计算安全责任”“,云计算环境的安全责任该如何划分,借着gartner的材料,深入的谈一下看法。

1、云计算环境下的安全责任

云计算有SaaS、PaaS和IaaS三种服务模式。不同服务模式下云服务商与用户的控制范围不同,安全责任也不同。

a)在SaaS模式下,云服务商的安全措施范围最大,用户的控制范围只能到数据层,控制范围最小。
b)在PaaS模式下,网络、存储、服务器等由云服务商保障,服务、应用的安全措施由用户和云服务商分担。用户负责数据的安全。
c)在IaaS模式下,用户的安全控制范围相对较大,数据和应用安全措施由用户负责。虚拟化层的安全由用户和云服务商分担。其他安全由云服务商负责。

上gartner的原图更好理解:

谈完安全责任,下面再从信息安全的两个关键驱动力来谈,云计算的安全依然离不开合规驱动、需求驱动

2、云计算中心安全的“合规”

信任是信息安全的基础,用户要使用云平台,并将关键数据放入云中,就需要对云服务商有所信任。第三方权威认证对构建信任关系是很必要的。目前云计算主要的通用的“规”有等级保护、ISO27001、云安全国际认证(CSA-STAR)等。也有一些行业的安全规范。

上表格说明:


3、云计算中心的安全“需求”

云计算中心的安全需求有很多,与传统的主要差异在虚拟化安全、多用户数据安全等。不知攻焉知防,本文就主要从渗透测试的角度来谈一些重点风险和需求,就不全面铺开。(从渗透测试角度谈风险,渗透测试个人体会20%的精力找出关键的80%的问题
安全是人和人的对抗,谈到渗透测试方式,主要考虑的三个点“模拟什么人员、从什么途径来做、具体怎么做”(这个就不谈了,这里是需要充分发挥测试人员的能力,只要基本面可控就行,这里谈的基本面是基本的保密、业务可用原则)

关于这部分画个表格上。

欢迎订阅李宗洋的一亩园(微信号 lizongyangyimutian )。主要就IT安全方面、生活方面的各种思考、新趋势、新东西定期和大家分享。

文章也同步发布到www.sec-un.org,一个关注信息安全行业专业网站,平台有更多的好文。

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注