云端可视性满足云供应商安全审计需求

发布时间：2020-07-21 18:47:48 阅读：次来源：黑板厂家

摘要：安全问题对于许多不情愿将应用和关键数据转移到云中的企业而言是顽疾。微软去年对IT和企业决策人进行的一份调查表明有75%的人认为与云计算相关的最主要风险就是安全问题。

关键词：信息安全云安全w

安全问题对于许多不情愿将应用和关键数据转移到云中的企业而言是顽疾。微软去年对IT和企业决策人进行的一份调查表明有75%的人认为与云计算相关的最主要风险就是安全问题。尽管如此，一些专家可能会争辩说许多云服务都比企业系统内的服务要安全得多。　　即便如此，在云中运行企业数据就意味着会有一些事情是企业无法控制的，当然也是管理员和其他利益相关人无法看见的。因此，将数据保存在云中其实肯定会产生一些不容易解决的风险和服从性的问题。

不妨考虑一下这个问题：你了解那些在云服务上运行系统的证书或者每个服务器上技术人员的比例吗？是每500或1000个服务器就有一名技术人员吗？数据放在哪里托管，有多少不同的实例额？当数据被删除后，是否真的彻底从服务器上清除？数据是如何备份的？部署了什么样的预防措施来保障虚拟机上的数据安全？可能你的数据已经被加密了，但是你又怎么知道有没有一些为你所选的云服务商工作的人可以解密数据呢?专家警告称，云服务商并没有把这些问题当做必须回答的问题。

信息系统安全专家Scott Sanchez认为，无法提供可视性以及云服务商提供的服务无法满足安全需求的现状正阻碍着云计算的推广与接受。云供应商应该要让客户信任自己，让客户看到审计结果并与自己的安全专家沟通。

云审计的创建

这个事情是Christopher Hoff已经考虑了多年，他是思科数据中心云与虚拟方案部门的主管。所以他发起了一个名为CloudAudit的计划，意图寻找到一些标准，这样云供应商在向潜在客户和已有客户发布信息的时候可以有据可循，同时也能满足客户的要求。

主要的云供应商，包括Amazon，谷歌，微软，Unisys，Rackspace U.S等都加入了他的队伍。但是这并不意味着他们都会支持基于此所产生的标准。不过，正与云安全联盟进行紧密合作的CloudAudit观察员们或许可以为云服务商如何共享信息提供标准化的方式。Hoff认为，由于云计算供应商，尤其是领先的几个供应商所提供的服务难以被人理解，所以客户都在要求他们出示信息的审计情况。而对于客户的这种需求，如果有一个标准的解答方式当然会更好。

CloudAudit使用最近发布的CSA 云控件矩阵，这是一个包含98个控件的架构，该架构指明了云服务商应如何发布有关服务审计和风险检测的详细准则。CSA的执行总监及创建者Jim Reavis称，一直从事风险管理的人应该对这一架构比较熟悉。

信息系统安全认证专家Michael Versace称，CloudAudit小组正在创建一个通用的API以及命名空间或者是称之为Automated Audit，Assertion，Assessment和Assurance API(A6)的目录，它可以让云服务商传播与其架构，平台和应用环境有关的审计数据供客户购买。例如，如果你想订购微软Windows Azure服务或者想购买Amazon EC2，那么你需要从供应商那里查看一个SAS 70报告。你所订购的云服务类型(架构，平台或应用)会影响你所请求的报告类型。

Reavis认为，服从性是信息安全的主导要素，审计意味着要达到服从性的要求。这一点比具体要求更重要，因为我们都知道没有哪类IT系统或电脑可以完全不受攻击。

力求达到透明

具体来说，CSA云控件举证包含一个互为参照的行业标准，其中包含一些准则，如用于信息和相关技术的控制目标，健康安全可能性与说明性操作(HIPAA)，支付卡行业有关信用卡支付如何被云所接受的细则，还有一些重要的国际性标准组织的审计标准。它还包括更多的粒度控件，如如何配置防火墙，如何加密数据，备份数据等。

供应商与客户共享数据最常用的方式便是审计报告。通常，如果你对现有的或潜在的云供应商提出疑问时，你需要阅读审计报告并找出问题答案，假设供应商以及表明了相关信息。

CloudAdit并非提出一套新标准，而是提出一种共享数据的方法，这样需要这些数据的人们才能更快获得数据。

更高的透明度对许多打算在云中部署输数据的企业而言至关重要。如果他们要将数据迁移到云或将应用放到云里，他们就会希望这一环境尽可能的透明。他们需要了解谁在使用数据，数据如何被使用，服务达到怎样的级别。

尽管，CloudAudit 已经持续了一年时间，但直到三月份，该组织开始每周一次例会时，它才初具规模。而且，它仍处于形成阶段，在接下来的几个月里，该组织需要收集资料，添加更多手续。它在七月份推出了第一版准则。CloudAudit主张将此版本的准则应用到IETF作为评论请求，而该组织现在正在探索如何扩展其准则。

CEE的努力

与此同时，CloudAudit还在监测其他的行业行为。Versace指出，由Mitre公司领导的CEE财团正打算将描述，记录和交换的电脑事件标准化。

通过利用常用语言和句法，CEE除去了最费事的事件或记录任务中的猜想部分。以前，包含日志相关系数和集合，企业日志管理，审计和事故处理的任务需要耗费大量资金，人力和设备，而现在执行起来更为优质高效。

除了Mitre以为，还有微软，Novell和Open集团，以及工具供应商ArcSight，Loggly和Tenable网络安全公司加入到了CEE。

如果CEE的尝试成功，那么微软用户及其合作伙伴将会同时受益，因为他们将获得更好的产品性能，如Forefront产品和系统中心产品。

与CEE一道的还有，Open集团的X/Open 分布式审计标准(XDAS)扩展。XDAS试图利用分布式管理任务小组(DMTF)常用信息模式(CIM)。

责编：lyre