《企业上云安全策略指南.docx》由会员分享,可在线阅读,更多相关《企业上云安全策略指南.docx(78页珍藏版)》请在第一文库网上搜索。
1、企业上云安全策略指南2016企业上云安全策略指南旦眠同宴骐皇Chiha1abs2016年1月互联网实验室观点价值与安全是企业做出上云决策的两个支点。面对上云决策,企业需要在价值需求与安全需求之间形成最适合于企业自身进展战略、业务特性的决策天平。在对价值支点的推断上,云是大势所趋已经深入人心。企业能够通过对内部FT成本的核算与业务进展情况等内部信息对上云的价值做出有效评估。企业假如能将云的诸多优点引入生产、运营、服务环节之中,就能够在制造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。比如:有了云,用户不再需要购买、建立、安装并运行昂贵的计算机硬件,而通过无处不在的可用有线或者无线网络
2、,就可简便的获取计算机资源,正如获取其他公共资源一样;云还具备弹性,用户能够快速同时经济的增加或者者减少云服务;云共享的计算机资源能够提供客观的经济效益,同时能够减少成本、加快创新;云提供的服务已经存在,能够在需要时按需分配,按需扩容;用户能够快速同时经济地计算自身云服务的吞吐量,并据此进行相应调整。而在对安全支点的推断上,无法排解的安全担忧导致企业上云迟疑甚至可能引发决策反复。企业在将转移IT解决方案到云计算的同时,由于企业客户基础设施与应用程序的外部化使得企业的完全操纵权发生变化,安全保障的不透明性与不可控性使得上云企业对云服务有效存储与安全共享等方面存在一定的安全风险顾虑。在调研中我们发
3、现,企业关于上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条:比如数据传输与存储是否安全;数据访问操纵权限是否可控;数据是否会被入侵、被攻击;漏洞或者系统不稳固是否造成企业用户的业务中断、数据被盗、被篡改?这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。以基于价值与安全感知的企业云决策象限来谋求破题之道。在项目初期,我们对有上云需求的企业进行初步接触时发现,企业或者者无限期地延缓上云行动;或者者在上云后出现决策反复;或者者认为云有优点,但也有不确定风险,需要慎重上云;甚至或者者即使经在用云,仍对安全抱有较大不信任。因此,我们在报告当中以企业对云价值的释放是否清晰,企业对安全的
4、感知、需求是否明确为维度描绘了如下企业云决策象限。企业云决策象限安全不做Iw有优点,且风Ia可控,明上云认为云优点,的安全较.明选择不上云1财上公有云UWt.但也有不定风B)签巳&在用云.仍对安全他有M不信任(安金第对云价值不清同时企业安全Wft.明通界不上云S帼不上云认为云可*价值,风险因索也不定,程出上,上不上云的决JK店,四价不H南金晶融安全需求的模糊性会加重决策天平的不稳固性,企业所面临的难以权衡取舍的决策逆境需要破解。面对安全问题,企业要基于对外部信息结合自身IT能力与需求进行推断,这无疑是难度更大的,特别是难以形成量化结论。难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安
5、全需求的主观法码。我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。企业对云的安全感知状态大致能够区分为两类,不管是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素。第一,企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。企业是否具备了客观审视云的风险特征的足够信息支撑?企业是否有充足的云安全认知能够在成本考量的基础上最大程度防御安全风险又能够在一旦安全事故发生后的如何最大化的降低缺失?假如企业知晓的安全信息不够全面,就会降氐对云服务商安全能力的审视敏感性,影响业务在云中的实际运行安全。第二,操纵权迁移引发的不安全感可能错估上云时机。多家研究机构的统计调
6、研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。假如企业在带有不安全感的心理状态下来审视云服务商,有可能由于主观的不信任而影响了客观、理性的对上云之路,与云合作伙伴基于安全视角的审视与决策,就会错估享受云效益的时机。云安全问题的破题需要映射到云服务商的安全实践表现,我们建立云安全能力指标体系协助企业做出最佳决策。我们提出企业进行云安全审视的两条基本原则,第一,企业寻找领先的云,思考企业与云的最佳结合状态;第二,企业清晰地熟悉云服务商的安全机制与安全责任。依托于上述两个基本原则,本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护
7、能力、合规性表现六个方面构建了19个细化指标的云安全能力指标体系,对云服务商的安全实践进行比较。本报告通过云服务商安全能力指标体系的构建,帮助企业构建充足的关于云服务商安全能力的研判信息,通过对比云服务商来熟悉上云需关注的安全环节,即可对上云安全做到心中有数,应对有术。从而在上云决策中,提升基于安全视角的理性、客观性,优化的最佳决策。目录互联网实验室观点3目录7研究方法:基于公开信息的比较研究10一、构建云安全能力指标体系121.1 拨开企业敌全麟口迷雾121.2 提出企业进行云安全审视的基本原则131.3 云安全能力指标体系构建14二、泛安全的信任指标设计与对比172.1 市场表现补偿操纵权
8、丧失感,企业考察云服务商家底172.2 计算能力不可见,国内通用比较标准有待明确192.3 安全理念折射出安全能力,承诺与实践匹配方式尚不成熟192.4 规制第三方合作安全伙伴的能力,提升多选择服务的安全性202.5 对比结果20三、物理基础设施部署指标设计与对比283.1 企业云器从物理安全开始283.2 物理基础设施部署指标体系设计283.3 对比结果30四、内部人员管理指标设计与对比324.1 完善的人员管理流程能够将恶意人员风险最小化324.2 内部人员管理指标体系设计324.3 对比结果34X、口向日*35.1 云服务商好比房地产的物业365.2 明确云给事故响应带来的特殊性,有助于
9、业务更快的恢复365.3 事故响应指标体系设计365.4 对比结果39六、数据安全保护指标设计与对比416.1 所有权与操纵权转移,促使客户依靠高标准安全操纵手段416.2 对数据安全保障技术与能力的评估426.3 对比结果46上匕.487.1 云服务商的合规性认证是给客户企业安全保障的定心丸487.2 合规性指标要紧分为安全认证、透明审计与法律遵从487.3 国内外云服务行业合规性认证存在差异,国外优势明显537.4 对比结果55结论65后记:共筑云安全更佳状态需要各方参与69常见问题71致谢75研究方法:基于公开信息的比较研究对信息的有效僮得能够提升决策的自信。本次研究同样面临对信息的懂得
10、逆境,研究设计是基于破解面临的多源、不一致与不对称等逆境而形成的。我们认为本次项目首要目标是构建中国企业对云安全的评价认知与指标体系,在这问题下,我们需要解决一什么是安全?与什么信息能够支撑安全感受?并最终通过能够获得的信息建立一个解答模式。首先,利用权威报告建立对云安全的基础认知与分析框架。在研究中我们参考了权威机构公布的对云计算企业评估报告,已经针对云安全领域的比较体系。其中较为重要的包含:美国高技术市场研究公司FOrreSter云安全指标体系,技术咨询研究机构Gartner对云安全市场的分析报告,欧洲网络与信息安全局(ENISA)关于云计算的研究报告中关于云风险情景的描述等。基于以上资料
11、,我们初步建立了对云安全的基本概念与评价体系,以便于在后续研究中形成一个具有较强一致性的比较逻辑与对话平台。其次,通过调查中国企业发现本土需求与经典理论之间的差异。我们希望通过对中国企业IT部门高管、技术负责人调查,熟悉中国企业对上云决策懂得,对云安全的态度。在获得这些信息之外,我们还熟悉到部分企业存在与常见云理论不一致的感性认知,在此基础上我们对初期比较框架做了调整与细化。本次调查为了保证调查展现出的观点的多样性,样本企业即包含互联网金融、移动应用开发、IT系统开发等IT产业,也包含城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。在上云情况上,这些企业或者已经上云,或者明确表现出
12、上云的意愿,访问对象要紧为企业CT0、CK)或者技术总监等有关职位。再次,通过访问中国云安全专家修正与提升比较框架。就资料与调杳中存在的问题,我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家,与其他在该领域长期从事一线工作的专业人士该进行了专题访问。专家基于所在专业领域,对中国云计算进展状况及特殊性,企业上云安全的整体性困惑与解决方法等问题做出熟悉答。最后,使用公开信息进行以安全为核心的比较实践。针对最终形成的指标体系,研究团队通过公开渠道获取具有统一标准的信息进行比摩作。这些信息渠道包含:1 .云服务商企业自行公布的白皮书;2 .云服务商企业自身对外公开的业务动态新闻;3 .权威
13、机构公布的研究报告;4 .对部分不明确信息,我们通过企业公开的客服电话进行了询问确认。使用公开信息源要紧考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法,因此在整体研究方法上都充分考虑了信息的可获得性。一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧,与企业的近距离地交流访谈中,我们发现这种担忧因人而异,对企业迈入云端的影响程度也不一样,存在不一致的安全感知状态。有的企业认为:云有优点,但也有不确定风险,慎重上云;有的企业认为云很好,云即代表安全;也有企业认为云的安全没有切实可行的效果衡量。不管是哪种状态,抛开企业的行业类型、组织规模、技术实力这些客观事实,企业对云安
14、全的感知状态能够按照描述为下列几点:企业寸云安全有偏差的认知;不知何解的疑问;由于对云的认识还不够全面存在没有想到的安全问题等。由于这种因人而异的安全感知的差异性,我们将本报告首先站在企业的角度来剖析JU企业对云安全的感知状态,再构建起云安全能力体系,对比要紧云服务提供商(云服务商)安全实践现状的基础上,将各家云服务商的关键安全能力解释转化为企业、公众可懂得的信息,以期帮助企业构建相对系统、全面的云安全知识体系。1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致能够区分为两类,存在安全感知盲区与由于操纵权的迁移引发的不安全感,不管是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素
15、。1.1.1 安全感知盲区会降低在决策时对云服务商安全能力的审视敏感性第一种情况,由于云自身的资源池化等特征会释放出相关于传统IT部署活动的新风险,比如云规模化的资源集中在产生效益的同时,也会因目标更大而遭受黑客的攻击,从而给企业自身带来风险。企业是否具备了客观审视云的风险特征的足够信息支撑?第二种情况,由于没有绝对的安全状态,安全风险不能百分百杜绝,企业在部署安全防护时,还需要同时考虑成本这一现实问题。最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险,又能够在一旦安全事故发生后如何最大化的降低缺失。企业的云安全状态不能完全寄予于云服务提供商,假如企业不能够充分熟悉云服务商在数据安全、服务可靠性、内部人员管理、访问操纵与授权等一系列方面的安全能力部署信息,