知识库分类索引
技术分类
厂商分类

云安全关注领域

云计算安全的关注领域,即设法去解决云计算环境中战略和战术安全,从而可应用于各种云服务和部署模式的结合。

这些域分成了两大类:治理(g•vernance)和运行。治理域范畴很宽,解决云计算环境的战略和策略,而运行域则关注于更战术性的安全考虑以及在架构内的实现。

治理域

指南解决的问题…

治理和企业风险管理

机构治理和评测云计算带来的企业风险的能力。例如违约的司法惯例、用户机构充分评估云提供商风险的能力、当用户和提供商都有可能出现故障时保护敏感数据的责任、国际边界对这些问题有何影响等都是讨论的一些问题。

法律和电子证据发现

使用云计算时可能的法律问题。本部分关系到的问题包括信息和计算机系统的保护要求、安全性被破坏时的披露法律、监管要求、隐私要求和国际法等。

合规性和审计

这部分考虑保持和证实使用云计算时的合规性,包括评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。这个域还包括通过审计证明合规性的一些指导。

信息生命周期管理

以下这些问题将在这部分讨论:管理云中的数据,包括与身份和云中的数据控制相关的项;可用于处理数据搬移到云中时失去物理控制这一问题的补偿控制;其它项,如谁负责数据机密性、完整性和可用性等。

可移植性和互操作性

将数据或服务从一个提供商搬移到另一个提供商,或将它全部搬移到本地的能力。提供商间互操作性相关的问题也在这里讨论。

 

 

运行域

传统安全、业务连续性和灾难恢复

云计算如何影响当前用于实现安全性、业务连续性和灾难恢复的操作处理和规程,主要关注点是讨论和检查云计算的潜在风险,希望增加对话和讨论以解决令人生畏的企业风险管理模型的提升需求。进而,本节还讨论了如何帮助人们识别云计算在什么地方可以有助于减少安全风险,在某些其它领域则增加了风险。

数据中心运行

如何评估提供商的数据中心架构和运行。主要关注在帮助用户识别对于后面服务不利的数据中心特征,以及有助于长期稳定性的基础特征。

事件响应、通告和补救

适当的、充分的事件检测、响应、通告和补救。尝试解决为了启动适当的事件处理和事后分析机制,在用户和提供商两边都需要就绪的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。

应用安全

保护在云中运行或即将开发的应用。包括将某个应用迁移到或设计进云中运行是否适当,如果适当,什么类型的云平台最适当SaaS, PaaS, r IaaS)。还讨论了一些跟云有关的具体安全问题。

加密和密钥管理

识别恰当使用加密以及可扩充规模的密钥管理的方法。本节并不是什么规定,而是侧重提供信息,为什么需要这些方法,识别使用过程中出现的问题,包括保护对资源的访问以及保护数据。

身份和访问管理

利用目录服务来管理身份,提供访问控制能力。关注点是组织将身份管理扩展进云中遇到的问题。本域提供了就评估组织实施身份访问管理IAM的就绪性的一些见解。

虚拟化

虚拟化在云计算中的应用。本域关系到与多租户、VM 隔离、VM共居(cresidencehypervisr脆弱性等相关的项。特别关注于系统和硬件虚拟化相关的安全问题,而不是对各种形式的虚拟化的综述。

 

相关新闻