트랙 변경 클라우드 표준

개념적으로, 클라우드 컴퓨팅 일반적인 것 같다입니다. 사실, 작업 배포 및 라이선스의 단순 구름의 가장 유혹 수도 이다. 하지만 문제는 그것으로 일 지라도, 후 당신은 구름 따라 쉽지 않다 하 고 많은 질문에 대해 생각 하는 찾을.

클라우드 규칙은 사 베인-옥슬리 법안 법 (SOX) 및 EU 데이터 보호 법률, 산업 규정, 결제 카드 산업 데이터 보안 표준 (PCI DSS)와 미국 건강 보험 이식성 및 책임 Act (HIPAA) 등 작은 등 정부 규제에 보급. 당신은 내부 통제를 달성 할 수 있습니다 하지만 당신은 클라우드 공급자 이상의 몇 가지 제어를 포기 해야 하는 공용 클라우드 인프라 플랫폼 또는 클라우드 기반 응용 프로그램 제품군으로 이동 하는 과정.

그것은 많은 감사, Cio와 오늘 최고 경영자에 대 한 큰 걱정 이다. 그들은 알고 싶어: 명성의 손상을 방지 하려면 클라우드 규칙을 준수 하는 동안 "구름"을 적극적으로 개발 하는 방법. 일부 애 널 리스트, 공급 업체 및 컨설턴트가이 문제에는 다음 권장 사항을 만들었습니다.

1. 작업에 구름의 영향 이해

클라우드 공급 업체를 평가 하는 경우 사용자 id, 액세스 관리, 데이터 보호 및 사고 대응에 대 한 좋은 전략을 제공할 수 있는 공급 업체를 찾아 보십시오. 이것은 가장 기본적인 규정 준수 요구 사항입니다. 다음, 일단 미래 공급 업체에 대 한 특정 규정 준수 요구 사항, 특정 한 "구름" 도전 가능성이 발생 합니다.

데이터 위치 하는 것은 그들 중 하나입니다. EU 데이터 보호 행위, 예를 들어 유럽 연합 거주자의 개인 정보 유출을 금지합니다. 따라서, 클라우드 공급자는 유럽 연합 고객 정보 유럽 서버에 보관 됩니다 확인 해야 합니다.

여러 거주자 및 정리 구성 또한 도전 포즈. 공용 클라우드 공급자를 비용을 절감 하면서 서버 작업 부하를 줄이기 위해 멀티 테 넌 트 아키텍처를 사용 합니다. 하지만 다른 기업 서버 공간을 공유 하는 것이 즉. 그래서 당신은 보호가 무엇 알고 있어야 클라우드 공급자 다른 기업 들과 손상 방지를 제공할 수 있습니다. 얼마나 중요 한 데이터에 따라입니다, 그것을 암호화 해야 할 수 있습니다. 예, 미국의 건강 보험 이식성 및 책임 Act (HIPAA) 데이터 사용 여부에 관계 없이 모든 사용자 데이터를 암호화 필요 합니다.

마찬가지로 암호 신원 인증 기술 더 복잡 한 되 고, 점점 정리 그들의 구성 하는 사용자에 대 한 도전 이다. 보면, 페더레이션 Id 관리 프로그램 "구름," 여러 사용자가 더 쉽게 로그온 수 있지만 그것은 또한 구성 정리 더 까다롭 습 하 게. "직원이 회사를 떠날 때 단추를 클릭 하 고, 자신의 Windows 계정 및 모든 기업 내부 응용 프로그램 자동으로 닫을 수 있습니다." 동시에 직원의 휴대 전화 회사 정보에 액세스할 수 없습니다를 원하고 직원을 엔터프라이즈 SaaS 응용 프로그램에 액세스할 수 없습니다. "자동 정리 구성 구현 되지 않았습니다 아직 클라우드 플랫폼 및 내부 배포 시스템으로 동시에" 톰 켐 프, Id 관리 및 규정 준수 도구 공급자의 Centrify 대통령 말했다.

2. 추적 변화 클라우드 표준

그것 같이 또는 아닙니다, 구름의 얼 수 있습니다. 응용 프로그램을 클라우드로 마이그레이션? 때 마이그레이션할 할? 새로운 클라우드 컴퓨팅 표준의 이해를 심화 하는 데 도움이 더 나은 선택을.

오늘 정부 및 업계 규정에 금융 및 정보 보안 SAS 유형 II 표준 ISO 270,012를 참조할 수 있습니다. 하지만 이러한 기준은 반드시 회사 개발에 적합 하지 않습니다.

"SAS 70와 ISO 27001 표준 효과가 있지만 오래 된 있을 수 있습니다." "데이터 보안, 신원 관리 및 관리자 제어, 이러한 표준에 관해서 되지 않습니다 매우 구체적인" 조나단 펜, 부사장 및 수석 분석가 Forrester 연구, 시장 조사에서 말했다. 사용자가 어찌, 알고 있고 지금 그것은 거의 ' 블랙 박스 '. "

증가 투명도 클라우드 보안 얼라이언스 (체코)의 주요 목표 이다. CSA는 설립 되었습니다 3 년 동안 사용자, 감사 및 서비스 제공 업체, 광범위 한 환영의 주요 목표는 사용자 및 클라우드 공급자 간의 통신을 향상 시키기 위해 감사 프레임 워크를 표준화 하는.

현재, 강선 (모니터링, 리스크 및 규제 준수) 표준 제품군 4 주요 요소와 잘, 진행: 클라우드 신뢰 프로토콜, 클라우드 감사, 합의 평가 이니셔티브와 구름 제어 매트릭스. 그 중 구름 제어 매트릭스 목록 기본적인 요구 사항을 기업 들의 IT 준수 "인적 자원-종료 고용 관계의" 스프레드시트 형태로 같은 도메인 표준 제어 합니다. 합의 평가 사업 사용자와 컨트롤의 영역에서 공급 업체의 감사 특정 기대에 상세한 질문을 제공합니다.

CSA 및 산업 단체, 정부 기관, 앞으로 몇 년의 공동 노력을 포함 하 여 기타 제휴에 따라 새로운 표준을 나타날 것입니다. CSA는 되었습니다 공식적으로 정렬 ISO (국제 표준화 기구), ITU (ITU), NIST (미국 국립 표준 및 기술 협회)이이 조직은 그들의 기준을 구체화할 수 있도록. 2010 년 말 현재 48 산업 그룹 클라우드 안전 관련 표준 일, 연구에 따르면 포 레스터 리서치 회사.

개념적으로, 클라우드 컴퓨팅 일반적인 것 같다입니다. 사실, 작업 배포 및 라이선스의 단순 구름의 가장 유혹 수도 이다. 하지만 문제는 그것으로 일 지라도, 후 당신은 구름 따라 쉽지 않다 하 고 많은 질문에 대해 생각 하는 찾을.

클라우드 규칙은 사 베인-옥슬리 법안 법 (SOX) 및 EU 데이터 보호 법률, 산업 규정, 결제 카드 산업 데이터 보안 표준 (PCI DSS)와 미국 건강 보험 이식성 및 책임 Act (HIPAA) 등 작은 등 정부 규제에 보급. 당신은 내부 통제를 달성 할 수 있습니다 하지만 당신은 클라우드 공급자 이상의 몇 가지 제어를 포기 해야 하는 공용 클라우드 인프라 플랫폼 또는 클라우드 기반 응용 프로그램 제품군으로 이동 하는 과정.

3. SLA에 초점

회사의 크기와 상태에 가정 하지 마십시오 그 클라우드 공급 업체 표준 계약 조건 요구 사항에 맞게. 엄격한 평가 공급 업체의 계약 검사에서 시작 됩니다.

마이클 Larner 호 건 Lovells 법률 사무소에서 변호사, 조언을 제공 합니다. 호 건 Lovells 법률 사무소 클라우드 규정 준수 및 보안 문제에서 광범위 한 경험을가지고. Larner 종종 고객 위험-혜택 분석에서 먼저 말하는 클라우드 공급 업체와 서비스 수준 계약 협상, 클라우드 공급 업체 표준 계약 조건 준수 요구 사항을 충족 하는지 이해할 수 있습니다. 규정 준수 요구 사항을 충족 되지 않으면, 그것은 당신이 당신이 필요가 있는 무엇을 당신의 안락 수준 증가 클라우드 공급 업체와 함께 할 결정 하.

회사의 크기 협상에 무게를 추가할 수 있지만 중소 기업 클라우드 공급자 새로운 산업을 확장 하 려 있다면, 작은 기업도 있습니다 무게 협상에 해당. 즉, 어떤 상황에서 클라우드 공급 업체와 협상을 두려워하지 마십시오.

"너무 많은 회사는 그들은 대형 클라우드 공급 업체에 직면 하 고 있다면 클라우드 공급자는 협상 하지 그들과 함께 생각 하는," Larner 말했다. 사실, 클라우드 공급자는 귀사의 안락 수준을 개선 하기 위해 당신을 위해 예외를 만들기 위해 기꺼이 수 있습니다. "

구름은 당신에 게 친숙 한, 중요 하지 않은 데이터와 함께 시작 하는 것이 신뢰를 구축 하는 좋은 방법입니다 찾을 수 있습니다 Larner 말했다.

하지만 엄격한 평가 하지 혼자 풀 스케일 SLA로 끝나야 한다. Nirav 메타, 클라우드 컴퓨팅 전략 RSA의 감독 말한다 클라우드 공급 업체에 가까이 눈을 유지 한다. "좋은 SLA 이지만 어떻게 될 비즈니스 연속성을 공급 업체의 클라우드 서비스는 중단 하는 경우"? 메타 미래에 백업을 보장 하기 위한 최선의 전략 여러 구름을 사용 하는 것입니다 믿고 있다.

4. 보안 첫 번째

'잠재적인 위험과 혜택을 잘 이해 하기 당신은 한다 토론 그들 보안 팀과 함께 가능한 한 빨리' 펜의 포 레스터는 말합니다.

"안전 및 규정 준수 문제는 바로 환경에서 의제에 넣어 수 있습니다." "그것은 보안 문제를 이해 하 고 특정 위험을 완화 하기 위해 제공 하는 예산에 대 한 위험 수준 무게 수 기업 임원에 대 한 중요 한," 펜은 말했다. "

보안 위원회에서에서 위험 평가 기능을 공식적으로 인정 하 여 클라우드로 마이그레이션, 기업의 목표와 좀 더 영구적인 맞춤 보안을 위한 기회를 제공 가능 하다. 보안 위원회 위험을 평가 하 고 기업의 전략적 목표를 충족 하는 예산 권장 사항을 제공할 수 있습니다.

또한 보안 서비스 및 클라우드 공급자 파트너에서 제공 하는 보안 혁신에 큰 중요성을 연결 해야 합니다. Dome9는 아마존의 파트너, 그들에 게 권한이 있는 공격자는 클라우드 서버에 로그온 할 수 없습니다 있도록 클라우드 서버 SSH와 다른 포트를 사용 하지 않을 때 이러한 포트 클라우드 관련 기술적 문제-DOME9 종료 해결.

"기업에서 이러한 포트는 기본적으로 개방" 데이브 Meizlik, Dome9에서 판매의 부통령 말했다. 하지만 구름에 구름 서버 일 필요는 없을 때 당신이 그들을 닫을 수 있을. 그리고 서버는 포트를 닫을 수 있도록 종료 때마다 클라우드 공급자를 호출할 수 없습니다.

클라우드 컴퓨팅, 일부 위험을 제공할 수 있지만 보안 혁신 따라잡을 때 이러한 위험이 감소 됩니다. 포 레스터의 펜, "클라우드 서비스의 보안은 걱정 하지 대부분의 기업 보안 팀 같은 그것은 스마트폰 같은 트렌드 또는 소셜 미디어 쪽."에 따르면, 오늘날에도 근본적으로, 클라우드 응용 프로그램에 대 한 보안 문제 발생 증가 우려 하지 않고 감소 점차적으로 것입니다. "