开发者社区> 数梦远山> 正文

【云安全】云计算上的安全合规审计挑战

简介: 众所周知,安全性是制约云计算更广泛应用的一个关键障碍。在多租户云计算环境中,提供、访问和控制服务的实际风险和感知风险可能会延缓或妨碍 IT 企业的服务迁移。在非虚拟化环境中,物理基础架构所提供的隔离被认为是为应用程序和数据提供了一定的保护。在云计算中,应用程序之间这种传统的物理隔离不复存在。云计算基础架构是一个多租户环境,其中多个应用程序共同利用一个共享的公共物理基础架构。这使得资源利用更加高效。但是,因为应用程序之间的物理壁垒已经消除,所以建立补偿性安全控制措施来最大程度地减少恶意软件在整个云计算中的扩散就变得至关重要了。
+关注继续查看

简介:

众所周知,安全性是制约云计算更广泛应用的一个关键障碍。在多租户云计算环境中,提供、访问和控制服务的实际风险和感知风险可能会延缓或妨碍 IT 企业的服务迁移。在非虚拟化环境中,物理基础架构所提供的隔离被认为是为应用程序和数据提供了一定的保护。在云计算中,应用程序之间这种传统的物理隔离不复存在。云计算基础架构是一个多租户环境,其中多个应用程序共同利用一个共享的公共物理基础架构。这使得资源利用更加高效。但是,因为应用程序之间的物理壁垒已经消除,所以建立补偿性安全控制措施来最大程度地减少恶意软件在整个云计算中的扩散就变得至关重要了。

一.云计算上的合规和审计挑战

当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。云计算所拥有的分布式和虚拟化的特性,使得原本基于确定目标和物理实体的信息和过程的监管方法需要进行 重大的框架调整。云服务供应商和用户以及监管和审计机构在面对组织合规性的外部审计时面临很大挑战

那么理解云计算与监管环境的相互关系将是任何“云”战略的关键因素。云计算用户、审核机构和供应商务必考虑并且理解以下几点:


  1. 针对特定的云服务或者服务提供商的监管的影响,对适用跨境或者多管辖权的事例给予特别关注。


  1. 云服务提供商和客户的合规责任分配,包括间接提供商(如:你所采用云服务提供商的云服务提供商)。这包括合规继承的概念,其中提供商可能有他们服务的 一部分被认证为合格,这部分可以从客户的审核范围中剔除,但客户仍然对建立 在顶层的供应商的合规性负责。


  1. 云服务提供商证明其合规的能力,包括及时的文档生成、证据产生以及过程合规性。


  1. 一些附加的云服务特定的问题需要特别关注,包括以下几点:


  • 供应商审核和认证的作用以及如何影响客户审核(或评估)范围。


  • 了解云提供商的哪些功能和服务属于审核和评估的范围。


  • 随着时间的推移管理合规性和审计。


  • 与可能缺乏云计算技术经验的监管和审核机构合作。


  • 与可能缺乏审核或合规性经验的供应商合作。


二.云对合规的改变


`合规性在云服务中是一个共享责任模式。云服务供应商和客户都 有责任,但客户始终对自己的合规性负责。这些责任是通过合同、审核/评估和具体的 合规性要求的细节来确定的`

 

2.1 准入型审计


 许多云供应商被各种法规和行业要求认证,准入型审计是合规性继承的一种形式。在这个模型中,云供应商的所有或者某些基础设施和服务依照合规标准进行审核。供应商承担这些认证的成本和并维护认证。对供应商进行审计,包括准入型审计,都需要了解其局限性:

   

  • 这些审计证明供应商是合规的。


  • 在云服务上建立合规的应用程序和服务仍然是客户的责任。


  • 这意味着供应商的基础设施/服务不在客户审核/评估范围之内。但客户建立自己的一切仍在审计范围内。


  • 客户为他们自己所建立和维护的,承担最终的合规责任。


  • 云计算的元结构可能跨越司法管辖区,数据/资产则不能,这必须纳入合规活动


2.2 相关建议


  1. 云供应商应该从以下几个方面来保障持续性的合规审核


  • 清楚地传达他们的审计结果、认证和证明


  • 云供应商必须随时间变化维护其认证/证明并主动沟通任何状态变化。云供应商应参与持续遵守措施,避免为客户造成任何差距,从而暴露风险。


  • 为客户提供通常需要的合规所需的证据及文件,如客户不能自行收取的管理活动日志


2.云客户应该从以下几个方面评估云厂商的合规性


  • 在部署、迁移或开发云技术之前,明确全部合规义务。


  • 评估提供商的第三方认证和认证,并将其与合规性要求保持一致。


  • 了解评估和认证的范围,包括涵盖的控制和系统特性/服务。


  • 尝试选择具有云计算经验的审核人员,尤其是当准入型审计和认证会被用于客户审计范围的情况下。


  • 确保他们了解供应商提供的合规性证据,并有效地收集和管理这些证据。当供应商的证据不充足时,创建和收集自己的证据。


  • 云安全联盟云控制矩阵可以支持提供云供应商的注册表、相关的遵从性要求以及当前的状态。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
20719 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
30124 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
14038 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
23008 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
17261 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
21209 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
14926 0
+关注
3
文章
0
问答
来源圈子
更多
阿里云最有价值专家,简称 MVP(Most Valuable Professional),是专注于帮助他人充分了解和使用阿里云技术的意见领袖阿里云 MVP 奖项为我们提供了这样一个机会,向杰出的意见领袖表示感谢,更希望通过 MVP 将开发者的声音反映到我们的技术路线图上。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载