安全漏洞已经成为近几个月的头版新闻。随着Target、Neiman Marcus、Yahoo和GoDaddy多家著名公司登上头条,你很难再忽视信息安全管理的重要性了,即使是中小型企业。将业务搬到云上的好处不言而喻,但是带来好处的同时是企业在安全管理上面对更多挑战。
了解服务商提供的安全措施
虽然一些SaaS服务商的产品包含了安全服务,但是大多数IaaS服务商却将大部分的用户系统的安全责任留给了用户。对于一个提供了安全措施的基础设施提供商来说,应该提供相关文件说明以证明服务和控制。例如,服务商进行了年度SOC2审核,则它可以证明作为一个服务机构的安全资质和监控能力。有了这些信息,用户就可以利用服务商报告中信息作为自己服务要求的一部分。了解服务商的安全控制能力(并且看到相关证明)可以让企业家和首席信息安全官员放心地去规划自己的管理活动,更好地防止和应对安全事故。
利用云服务扩大自身的业务范围
在云上运行的高扩展性和广地域分布会带来一些意想不到的效果。安全领域的专家正在利用云服务将他们的补丁周期降低到以天计算,而不是周或月。大部分云服务商有多个地区有数据中心,所以用户可以利用这一点在国际间甚至是全球扩张自己的业务范围。有了这样的基础设施覆盖,企业可以利用最小的投资和几乎相同的安全控制力度,就能实现故障转移和跨区域的设施需求。
重回基础性安全管理
不少企业因为设置了超过自己管理能力的安全措施而导致在一些基础管理上分心。充分利用服务商的工具以完成一些“日常”任务对企业的整体安全态势非常重要。例如,用户可以利用图形模板或贴图脚本为系统部署一个标准的基础配置,然后跟踪它们到特定的服务器空间。你就可以知道服务器里有哪些硬件,如果使用了SoftLayer,用户甚至能找到硬盘驱动器的序列号。
制定完善的应急方案
云服务行业日益认识到这样一个事实:安全问题是个平时看似不重要,发生时绝对存在感很强的东西。即使服务本身有很高水平的安全措施,但近期的这些安全漏洞事件都源于问题员工。为安全事件做好准备,即使用户离系统地理距离很远,还是能够为自己的服务设置恢复时间目标(Recovery Time Objective)。
与服务商保持联系
再多的提前规划也无法阻止每一次事件的发生,无论是自然灾害还是黑客攻击。要知道,出现问题时,服务商永远是用户坚实的后盾。
