云模式下如何做好云安全管理建设
云计算作为信息技术领域的一种创新应用模式,自其概念诞生之初便备受国内外的广泛关注,也是新一代信息技术变革与商业模式变革的核心。发展至今,几乎所有的IT企业都已参与云计算领域,或成为云服务提供商、或成为云产品使用者、又或两者皆有。做好云模式下的信息安全管理,也就成了各企业做好数据安全管理的一大前提,也成为了加诸于原有信息安全管理基础上的新兴挑战。
本次活动选取了安全责任共担模型和访问控制两大课题为例,对云环境下的安全要求进行了介绍。
术语“共享责任”始于亚马逊,现在已被多个云提供者广泛使用。它指的是云服务提供商与客户之间信息安全责任的分界线。在这条分界线之下的部分应由云服务提供商承担安全责任,在这条分界线之上的部分则应由客户承担安全责任。当服务模式发生改变时,这会有很大差异。而明确好这条线上下的责任要求,将其固化为适用于企业业务的模型,并向用户进行展示说明,是云环境下一大安全需求。以亚马逊的AWS为开端,国内外不少的云服务提供商都已构建此模型,并在业务中得到了应用。
访问控制则在2022年8月3日国际云安全联盟CSA发布的《云计算的11类顶级威胁》中名列榜首,成为最受云服务相关人士最为关注的问题。云计算的广泛网络访问、按需自服务、资源池化等特征也给传统的访问控制带来了新的挑战。而新兴的零信任架构,也是在此挑战下应运而生的企业网络架构,可以缩减访问控制中账户凭证被盗后风险以及采取隔离方案保护IAM 账户关键数据。
赛宝认证中心与国际云安全联盟CSA联合推出的C-STAR云安全评估,采用了云计算信息安全的行业黄金标准----CSA最新发布的云控制矩阵(CCM)4.0,结合国内相关法律法规(如等级保护和个人信息安全规范等)等和GB/T 35273标准要求,有效评估云服务的安全状况,并用云计算信息安全管理的最佳实践指导企业提升云服务信息安全水平,从而大幅减少云服务的信息安全风险。
C-STAR云安全评估也囊括了共享安全责任模型和访问控制的安全要求,共计审计&保障、应用程序和接口安全、业务连续性管理和运营弹性、变更控制和配置管理、数据安全和隐私生命周期管理等17个云安全控制领域,对云服务的安全控制状况进行系统评估。
C-STAR作为国内首个全球性认可的云安全评估认证,受到了来自中科曙光、电信、联通、浪潮、平安、用友、北森等业界知名企业的高度认可,并且在全国范围内受到了广泛的关注。采用C-STAR标准可为企业带来:
采用行业最佳云安全实践(CCM),提高安全控制水平;
证明安全水平领先于云服务提供者行列;
保持云服务业务持续发展和竞争优势;
更好的满足顾客的云安全要求;
降低安全风险、减少损失、降低成本;
维护企业的声誉、品牌和客户信任。
赛宝认证中心&CSA的联合授权认证,让企业云安全成为云计算信息安全认证体系的样板工程,并得到国际市场和机构的认可,能有效提升企业的市场推广和宣传效果,助力开拓发展国内外市场。
赛宝认证中心是国内领先的信息安全管理体系实施机构,具有长达数十年的信息安全管理实施经验;CSA是国际知名的云安全服务机构,其云安全标准得到了业界的广泛认可。通过赛宝认证中心实施云安全管理体系标准的培训、审核和认证,企业的云计算安全能得到有效保障。