安全是云客户担忧的一大问题,尽管云有着出色的灵活性和可拓展性,但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之- -。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数安全问题主要在于担心数据最终可能会落入不法之徒手中,以及客户就那些粗心大意造成问题的运营商会采取什么样的控制措施。当然还存在这其它的担忧, 例如:客户身份、虚拟服务器中的资产隔离、以及在云服务供应商出现停业的况下,资产会发生什么情况等, 这些都是潜在云用户关注的问题。
ISO 27001系列标准可以帮助客户解决其中- -些担忧,然而新标准一一ISO/IEC 27017信息技术一安全技术,则能够更进一步解决问题, 使潜在云客户更加安全放心地使用。详尽说明云供应商控制 及指导原则的传统云标准和技术标准均旨在云服务供应商。而ISO/IEC 27017标准独特和极具益处的优势在于,它为CSP和云:
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
负责云服务提供商和云客户之间关系的人是谁
当合同终止时,资产的移除/归还
客户虚拟环境的保护和分离
虚拟机配置
与云环境相关的管理操作和程序
云客户监控云中活动
虚拟和云网络环境的对接
ISO 27017标准内容
ISO 27017或基于ISO/IEC 27001的云服务信息安全控制操作规范,为云服务行业提供了基于ISO 27002的指南。
该标准针对ISO 27002中的37个控件提供了特定于云服务提供商的指南,但还具有七个新控件:
1)云计算环境中的角色和职责共享
2)删除云服务客户资产
3)虚拟计算环境中的隔离
4)虚拟机强化
5)管理员的操作安全
6)监控云服务
7)虚拟和物理网络的安全管理对齐
该标准与提供基于云的服务的组织以及在云中存储信息的任何组织有关。
ISO 27017认证的好处
委托敏感客户数据的任何云提供商都可能会从ISO 27017中受益。该标准通过提供云环境独有的指导来帮
助组织,并解决了许多云提供商的痛点,例如在云计算中角色和职责的划分环境。
该标准可以帮助组织根据其环境的特定需求增强其信息安全管理系统。此外,利用ISO 27017标准可以使组织
