云安全最佳實(shí)踐促進(jìn)快速部署

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

因?yàn)榘踩珕栴}，很多公司已經(jīng)避開了云計(jì)算，但Sun Bancorp公司的子公司Sun國家銀行采取了一種務(wù)實(shí)的方法利用云的潛力實(shí)現(xiàn)快速部署。該銀行的首席信息官說，這種方法不只是連接幾臺(tái)路由器和VPN的問題，而是一系列詳細(xì)的合作伙伴評(píng)估、風(fēng)險(xiǎn)評(píng)估和合同談判的云安全最佳實(shí)踐?！　?/P>

上個(gè)月，Sun國家銀行開始提供移動(dòng)銀行業(yè)務(wù)。據(jù)這家總部位于新澤西州Vineland城市的銀行的高級(jí)副總裁和首席信息官Angelo Valletta說，這是使用云服務(wù)在不到四個(gè)月的時(shí)間實(shí)現(xiàn)的一個(gè)壯舉。該銀行在70多個(gè)辦事處，擁有約800名員。Sun國家銀行現(xiàn)在提供短消息服務(wù)（SMS），SMS是用于帳戶信息查詢的文本；并提供從開啟互聯(lián)網(wǎng)功能的手機(jī)和PDA，使用瀏覽器訪問其網(wǎng)站的功能；客戶也可以下載一個(gè)應(yīng)用程序到他們的PDA上，實(shí)現(xiàn)一鍵訪問該網(wǎng)站。

Valletta說：“在去年第四季度，我們決定向我們的客戶提供移動(dòng)渠道。我們希望能夠趕在用戶需要此渠道之前實(shí)現(xiàn)，為此我們和一家云平臺(tái)供應(yīng)商合作，以協(xié)助交付?！?/P>

Sun國家銀行選擇了位于加利福尼亞州Larkspur 城市的mFoundry公司。這是一家云供應(yīng)商，其硬件和軟件后端基礎(chǔ)設(shè)施被銀行、支付公司以及手機(jī)銀行和移動(dòng)支付的商戶廣泛使用。mFoundry的平臺(tái)還可以作為移動(dòng)錢包的基礎(chǔ)。

Valletta說：“很多人選擇一家云供應(yīng)商，并向他們交代，期待一切都會(huì)被周到地照顧。在我看來，它就是你把它付諸表決。云會(huì)像你如何管理它一樣安全?！?Valletta將參加5月18日在紐約市的CIO論壇圓桌討論。

首先，Sun國家銀行要求mFoundry提供SAS 70（審計(jì)準(zhǔn)則第70號(hào)說明）Type II認(rèn)證，這是一種審計(jì)，用于評(píng)估服務(wù)組織內(nèi)的內(nèi)部控制。Valletta說，這項(xiàng)要求是對(duì)所有面向銀行的云供應(yīng)商的基準(zhǔn)。他說：“這是一個(gè)[我們的伙伴作出]的投資，要求第三方進(jìn)來，并評(píng)估他們?！?/P>

Sun國家銀行隨后審查了SAS 70審計(jì)，以充分了解供應(yīng)商的脆弱性在哪兒，并在特定的時(shí)間，使用一套內(nèi)部的流程去解決它們。此外，如果mFoundry或另一家直接的服務(wù)提供商以一種聯(lián)合的模式外包給第三方，那么那家供應(yīng)商也需要SAS 70審計(jì)。這已經(jīng)超出了典型情況下Sun國家銀行談判的服務(wù)級(jí)別協(xié)議。

許多IT專業(yè)人士認(rèn)為，確保在云中的安全，SAS 70審計(jì)是不夠的。Valletta表示同意，但他說這是一個(gè)開始。他說：“在合同中，我們也建立了這樣的權(quán)利，就是走進(jìn)組織，從脆弱性立場(chǎng)，完成我們自己的審計(jì)和檢查?！边@是Sun國家銀行的部分投資，以保持外包職能給云提供商以消除威脅的透明度。

Valletta說：“我們還進(jìn)行風(fēng)險(xiǎn)評(píng)估。我們基于應(yīng)用評(píng)價(jià)合作伙伴，并詢問，這是否是對(duì)我們組織的關(guān)鍵應(yīng)用？最后，我們的供應(yīng)商不管理數(shù)據(jù)——他們只提供我們業(yè)務(wù)流程?！?/P>

實(shí)現(xiàn)云安全需要投入更多的錢——它要求IT部門具有新的技能集，也就是說，懂技術(shù)并能調(diào)查業(yè)務(wù)環(huán)境的人，他們從自上而下的角度承擔(dān)責(zé)任，同時(shí)能夠從合作伙伴的角度分析合同。

專家對(duì)云安全的建議

根據(jù)位于鳳凰城的咨詢公司Securosis公司的首席執(zhí)行官Rich Mogull 說，Sun國家銀行的經(jīng)驗(yàn)表明，在一個(gè)迅速變化的環(huán)境中，然而，必須使用事實(shí)上的標(biāo)準(zhǔn)來馴服一種復(fù)雜的級(jí)別。

Mogull說：“云最大的問題是，它不僅是狂野的西部，它還是一個(gè)破舊的酒吧。買方，要小心了。您需要了解你正將什么[應(yīng)用]搬到云中，你從那些提供商那兒得到的服務(wù)級(jí)別協(xié)議（SLA）是什么?！?/P>

業(yè)內(nèi)專家說，最常被轉(zhuǎn)移到云環(huán)境的應(yīng)用程序和IT流程包括，開發(fā)、測(cè)試、協(xié)作、分析、批處理作業(yè)和災(zāi)難恢復(fù)。

Mogull建議：“這一切都依賴于風(fēng)險(xiǎn)承受能力。從較低價(jià)值的業(yè)務(wù)部分開始，不要移動(dòng)私有的、受到嚴(yán)格監(jiān)管的數(shù)據(jù)庫。”

Mogull繼續(xù)說：“了解數(shù)據(jù)將受到怎樣的保護(hù)是重要的，因?yàn)榧词勾蠊?yīng)商也有斷供”。他說，提供跨網(wǎng)絡(luò)數(shù)據(jù)安全的防火墻和安全套接字層（SSL）是不夠的；企業(yè)可能想加密放在云端的數(shù)據(jù)，但他們需要自己管理密鑰。云安全聯(lián)盟（CSA）執(zhí)行董事Jim Reavis贊成Mogull對(duì)云前沿的謹(jǐn)慎評(píng)估。

Reavis說：“帶領(lǐng)公司遠(yuǎn)離云不是我們的觀點(diǎn)，但同隨著在技術(shù)中出現(xiàn)的任何新的干擾，我們看到了許多初創(chuàng)的公司在未來幾年內(nèi)可能脫離業(yè)務(wù)。并且較大的供應(yīng)商可以決定改變策略，使你遷移到另一個(gè)產(chǎn)品。”

盡管如此，雷維斯期待在三年內(nèi)，大公司將從內(nèi)部云部署轉(zhuǎn)移到公共云部署。在內(nèi)部云部署中，他們正試驗(yàn)諸如多租約（在一個(gè)大的銀行案例中，需要對(duì)經(jīng)紀(jì)人和貿(mào)易分析家進(jìn)行分段）的事情。這是互聯(lián)網(wǎng)安全的例子，他預(yù)測(cè)：“在他們能夠完全解決以前，競爭的業(yè)務(wù)驅(qū)動(dòng)力將控制人們的手?！?/P>

去年12月，CSA發(fā)布了一套云安全最佳實(shí)踐準(zhǔn)則，適用于內(nèi)部和外部的努力。最近，它發(fā)布了一份文件，列出了對(duì)云計(jì)算的主要安全威脅，并將很快公布一份針對(duì)安全控制的云控制控制矩陣，因?yàn)樗鼈兣c現(xiàn)有的標(biāo)準(zhǔn)相關(guān)。

在回應(yīng)Securosis的Mogull和Sun國家銀行的Valletta時(shí)，Reavis說：“企業(yè)應(yīng)采取業(yè)務(wù)用例和應(yīng)用方法，然后審視特定的安全擔(dān)憂。這是一個(gè)很容易實(shí)現(xiàn)的務(wù)實(shí)做法，解決方案是顯而易見的?！?/P>

Sun國家銀行的最佳做法產(chǎn)生了一個(gè)新生技術(shù)方法的安全部署。Valletta沉思自語說：“從去年第四季度的決定，到2月中旬軟營銷活動(dòng)，再到3月給我們客戶群的艱難交付——如果我們不利用外部供應(yīng)商，我們將不會(huì)得以快速實(shí)現(xiàn)。云平臺(tái)將幫助我們將移動(dòng)非?？斓豙帶入]市場(chǎng)中。”