第七章 [云中审计]
过去,拥有数据的公司会把数据放到自己掌控的防火墙之后,保护数据安全是公司的责任;
在云中储存数据则完全不同,公司与云服务提供商(CSP)共同分担了责任,并且云堆栈越往上,CSP要承担的责任就越大
1.数据和云安全
- 云本身在安全性上并不比企业自己的数据中心差
- CSP环境下的攻击更强倾向于机会性犯罪,而企业数据中心的攻击则目标更明确,也更有经验
- 在云和企业数据中心里,Web应用受到威胁的机会均等
2.审计云应用
审计人员职责:确认其委托人充分履行了一系列控制和流程,满足由适用法律所规定的相关约束要求,从而可以获得相应的认证标识。
架构师和产品经理明白在各种服务模式下谁应该对数据进行负责,以及在审计流程中如何评定相应的职责,以便能落实适当的流程和控制。
3. 云中的法规
为了通过软件最佳实践、安全和隐私方面的审计,公司必须在以下分类上落实流程和控制
- 突发事件管理
- 变更管理
- 发布管理
- 配置管理
- 服务等级协议
- 可用性管理
- 能力规划
- 业务可持续性
- 灾难恢复
- 访问管理
- 治理
- 数据管理
- 安全管理