Escolar Documentos
Profissional Documentos
Cultura Documentos
Viso global
H muita confuso sobre a segurana do uso de computao em nuvem pblica. Eu ouo perguntas sobre segurana de dados em segurana repouso, em trnsito, e como um segredo prestador dever manter os dados armazenados quando eu falar em uma conferncia ou uma aula. O governo dos EUA tambm ouve estas questes, tanto de dentro e fora do governo. O Instituto Nacional de Padres e Tecnologia (NIST), parte do Departamento de Comrcio dos EUA, geralmente responsvel pela emisso de orientao de segurana e ajudou a criar e publicar orientaes sobre o endurecimento do sistema operacional e de processamento de dados seguro. NIST responde a muitas das perguntas de nuvens pblicas de segurana com publicao especial 800-144, orientaes sobre segurana e privacidade na computao em nuvem pblica . Publicado em dezembro de 2011, este relatrio pgina 80 abrangente em ambas as orientaes que definem a computao em nuvem e fornecer para us-lo de uma forma segura e privada. 80 pginas um pouco de uma leitura longa. O que voc precisa saber sobre SP 800-144 melhor pensar em cinco reas de interesse geral. Eu resumir essas reas como polticas e prticas, tecnologias de segurana fracos, tecnologias disponibilidade fracos, as expectativas de segurana diferentes, e meu favorito pessoal, a atenuao de especializao. Estes temas sero cada ser o foco de artigos futuros, mas um resumo inicial mostra que as preocupaes do NIST so. Ao ler estes, voc pode notar que NIST quebrou as preocupaes para baixo em meus trs categorias favoritas de tpicos de segurana: pessoas, processos e tecnologia. Isso intencional, como voc pode usar as mesmas categorias para praticamente qualquer anlise de segurana ou de contramedidas plano.
Polticas e Prticas
Como qualquer profissional de TI que passou por uma auditoria pode dizer, documentao de processos e aderncia so muitas vezes o ponto fraco de TI. A maioria das organizaes de TI so pelo menos moderadamente fraca nesta rea. Provedores de cloud computing pblicos so, em sua essncia, as organizaes de TI que devem documentar e conformidade com as polticas e prticas.Quando essas polticas no conseguem atender ou exceder as suas actuais polticas de TI, eles se tornam o ponto fraco em sua infraestrutura de segurana. Como exemplo, o grupo de TI, provavelmente, tem uma poltica que os administradores usar uma credencial de login de administrador no-quando a verificao de e-mail e navegar na web. (Nota: Se voc no tem essa poltica, pare de ler e cri-lo) Se o provedor
de nuvem pblica no tem essa poltica, ou tem, mas no se conforma com isso, o provedor est lanando uma fraqueza a ser explorada seus ativos.
Atenuao de Especializao
Pode parecer bvio que a sua equipe de TI j no precisa ter experincia em servios e tecnologias que so terceirizados para a nuvem prestadores de servios. Isso resulta em um custo pessoal enorme economia para a organizao. Ele tambm resulta em um menos qualificados equipe de TI.Menos habilidades necessrias para o emprego e menos treinamento significa que voc deve confiar mais na experincia do prestador de servios em nuvem. E, com poucas excees, o fornecedor no obrigado a manter as competncias. Assim, eles podem tambm reduzir especialista pessoal de nvel ao longo do tempo. Esta "corrida para o fundo", eventualmente, resulta na incapacidade de compreender e aplicar novas tecnologias de segurana, para responder a ameaas de dia zero e outras vulnerabilidades.
Concluso
Nem todas essas so preocupaes para cada implementao de cloud computing, e alguns se sobrepem, dependendo do servio e tecnologia. Mas voc deve ficar ciente de
que essas reas de interesse existem e so comuns entre as organizaes, e sempre que considerar cada examinando um provedor de servio pblico nuvem. Para ver as completas 80 pginas Diretrizes sobre Segurana e Privacidade em Cloud Computing