安全是云客户担忧的一大问题,尽管云有着出色的灵活性和可拓展性,但安全问题始终是组织在选择使用云服务过程中为何犹豫不决的原因之一。云客户主要的担忧在于云服务供应商(CSP)是否能够认真对待并且备充分重视客户数安全问题主要在于担心数据最终可能会落入不法之徒手中, 以及客户就那些粗心大意造成问题的运营商会采取什么样的控制措施。 当然还存在这其它的担忧, 例如:客户身份、虚拟服务器中 的资产隔离、以及在云服务供应商出现停业的况下, 资产会发生什么情况等, 这些都是潜在云用户关注的问题。
ISO 27001系列标准可以帮助客户解决其中一些担忧,然而新标准——ISO/IEC 27017信息技术—安全技术, 则能够更进一步解决问题, 使潜在云客户更加安全放心地使用。 详尽说明云供应商控制 及指导原则的传统云标准和技术标准均旨在云服务供应商。而ISO/IEC 27017标准独特和极具益 处的优势在于,它为CSP和云服务客户均提供了指导原则和建议。 除了确保服务安全之外, ISO/IEC 27017还旨在让客户真正明白他们应当从其云主机获得什么。
ISO/IEC 27017《信息技术 -- 安全技术 -- 基于ISO/IEC 27002的云服务信息安全控制的实用规则》
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。
ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
1、负责云服务提供商和云客户之间关系的人是谁
2、当合同终止时,资产的移除/归还
3、客户虚拟环境的保护和分离
4、虚拟机配置
5、与云环境相关的管理操作和程序
6、云客户监控云中活动
7、虚拟和云网络环境的对接