科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全 分离降低风险:解析云安全职权分离

分离降低风险:解析云安全职权分离

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

  许多政府法规都规定企业在内部控管机制上必须采取职权分离原则。职权分离原则是将一项关键工作由不同人员共同负责,藉由监督与制衡来达到防弊与防错。

来源:zdnet整理 2011年2月14日

关键字: 云安全 云计算

  • 评论
  • 分享微博
  • 分享邮件

  许多政府法规都规定企业在内部控管机制上必须采取职权分离原则。职权分离原则是将一项关键工作由不同人员共同负责,藉由监督与制衡来达到防弊与防错。

  国际电脑稽核协会 (ISACA) 在这里有一篇关于职权分离的不错文章,此外,网络作家 Nick Szabo 在这里也讨论了一些职权分离的概念。内部控管与职权分离适用于 Sarbanes-Oxley 沙宾法案、PCI DSS、FERC 等等法规的遵规。产业知名分析机构 Forrester 和 Gartner 也会定期发表有关职权分离的报告。

  职权分离不仅适用于企业内部的私人云端,也适用于企业外部的公共云端。应用在内部云端的案例之一,就是营业单位必须确实做好敏感数据的变更控管,由适当的人员来控制和管理这些数据的存取。做好数据保护,也有助于强化身分与存取管理 (Identity and Access Management,简称 IAM) 解决方案,既能让营业单位使用者方便存取自己的数据,又能防止 IT 系统管理员存取。

  在公共云端,每当 IT 营运单位希望启用某个应用程序时,IT 安全单位会希望有适度的控管机制来确认公共云端的应用程序符合政策要求 (例如挂载的位置、时间、地区等等都必须正确)。这一点对传统的实体数据中心来说一切都清楚明了,因为既有的政策与程序都能确保职权分离,但是到了云端运算环境,由于原有的程序可能无法适用,因此就产生了一些新的挑战。

  职权分离也适用于许多需要外部运算服务供应商的情况,例如:基础架构服务 (Infrastructure as a Service,简称 IaaS) 云端供应商。在加密与云端领域,云端安全联盟 (Cloud Security Alliance) 的安全指南 2.1 版对于加密金钥的管理提出了下列建议:

  别将金钥管理的责任交给提供代管服务的云端供应商,这样才能达到职权分离。如此,万一因为法律要求而必须提出数据时,就不会造成云端供应商和客户之间的冲突。

  这就是资讯安全产业在职权分离方面必须解决的新挑战,也是 SecureCloud 这类方案所要解决的问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章