云顾客担心安全性-尽管云能够提供灵活性和可扩展性,但这仍然是组织犹豫采用云服务的关键原因。 1个主要的关注点是云服务提供商(CSP)处理顾客数据时要格外注意和关注的能力。
这样做的主要因素是担心数据可能落入错误的手中,以及顾客对粗心的操作员有什么控制权。 可是,还有其他一些问题:顾客身份,虚拟服务器上的资产隔离以及CSP停业时资产会发生什么等问题,这些问题也都在潜在的云用户的脑海中产生。
ISO 27001系列解决了其中一些问题,但新标准ISO/IEC 27017走得更远,并为潜在的云顾客提供了更多的安心。 解决云提供商针对云服务提供商的控件和指南的典型云标准和技术标准。
该标准不仅有助于定义职责分离:ISO/IEC 27017还详细介绍了服务提供商应实施的安全控制类型-有助于减少采用云的障碍。 ISO/IEC 27017为云服务提供商提供了一种指示已实施控制级别的方法。
这代表着文件化的证据(由独立来源(例如对某些标准的认证)支持)表明已实施了适当的政策,最重要的是,已引入了何种类型的控制措施。 在签订任何合同以前,应与云顾客共享此信息,以协助减轻将来的任何潜在问题。
假如独立审核不可行或会对信息安全造成更大风险,则该标准确实为CSP提供了一种进行自我评估的选项。 在这种情况下,CSP必须告知顾客他们已进行自我评估。
ISO 27017的特点:
它提供了有关谁负责云服务提供商和云顾客之间的责任的明确说明
合同终止时的资产清算/归还
保护和分离顾客的虚拟环境
虚拟机配置
与云环境相关的管理操作和过程
云端顾客对云端活动的监控
虚拟和云网络环境对齐
