云安全最佳实践促进快速部署
2010-05-25 00:00:00 来源:WEB开发网首先,Sun国家银行要求mFoundry提供SAS 70(审计准则第70号说明)Type II认证,这是一种审计,用于评估服务组织内的内部控制。Valletta说,这项要求是对所有面向银行的云供应商的基准。他说:“这是一个[我们的伙伴作出]的投资,要求第三方进来,并评估他们。”
Sun国家银行随后审查了SAS 70审计,以充分了解供应商的脆弱性在哪儿,并在特定的时间,使用一套内部的流程去解决它们。此外,如果mFoundry或另一家直接的服务提供商以一种联合的模式外包给第三方,那么那家供应商也需要SAS 70审计。这已经超出了典型情况下Sun国家银行谈判的服务级别协议。
许多IT 专业人士认为,确保在云中的安全,SAS 70审计是不够的。Valletta表示同意,但他说这是一个开始。他说:“在合同中,我们也建立了这样的权利,就是走进组织,从脆弱性立场,完成我们自己的审计和检查。”这是Sun国家银行的部分投资,以保持外包职能给云提供商以消除威胁的透明度。
Valletta说:“我们还进行风险评估。我们基于应用评价合作伙伴,并询问,这是否是对我们组织的关键应用?最后,我们的供应商不管理数据——他们只提供我们业务流程。”
实现云安全需要投入更多的钱——它要求IT部门具有新的技能集,也就是说,懂技术并能调查业务环境的人,他们从自上而下的角度承担责任,同时能够从合作伙伴的角度分析合同。
专家对云安全的建议
根据位于凤凰城的咨询公司Securosis公司的首席执行官Rich Mogull 说,Sun国家银行的经验表明,在一个迅速变化的环境中,然而,必须使用事实上的标准来驯服一种复杂的级别。
Mogull说:“云最大的问题是,它不仅是狂野的西部,它还是一个破旧的酒吧。买方,要小心了。您需要了解你正将什么[应用]搬到云中,你从那些提供商那儿得到的服务级别协议(SLA)是什么。”
更多精彩
赞助商链接