云客户担心安全性-尽管云可以提供灵活性和可扩展性,但这仍然是组织犹豫采用云服务的关键原因。 一个主要的关注点是云服务提供商(CSP)处理客户数据时要格外注意和关注的能力。
这样做的主要因素是担心数据可能落入错误的手中,以及客户对粗心的操作员有什么控制权。 但是,还有其他一些问题:客户身份,虚拟服务器上的资产隔离以及CSP停业时资产会发生什么等问题,这些问题也都在潜在的云用户的脑海中产生。
ISO 27001系列解决了其中一些问题,但新标准ISO/IEC 27017走得更远,并为潜在的云客户提供了更多的安心。 解决云提供商针对云服务提供商的控件和指南的典型云标准和技术标准。
该标准不仅有助于定义职责分离:ISO/IEC 27017还详细介绍了服务提供商应实施的安全控制类型-有助于减少采用云的障碍。 ISO/IEC 27017为云服务提供商提供了一种指示已实施控制级别的方法。
这意味着文件化的证据(由独立来源(例如对某些标准的认证)支持)表明已实施了适当的政策,最重要的是,已引入了何种类型的控制措施。 在签订任何合同之前,应与云客户共享此信息,以帮助减轻将来的任何潜在问题。
如果独立审核不可行或会对信息安全造成更大风险,则该标准确实为CSP提供了一种进行自我评估的选项。 在这种情况下,CSP必须告知客户他们已进行自我评估。
ISO 27017的特点:
它提供了有关谁负责云服务提供商和云客户之间的责任的明确说明
合同终止时的资产清算/归还
保护和分离客户的虚拟环境
虚拟机配置
与云环境相关的管理操作和过程
云端客户对云端活动的监控
虚拟和云网络环境对齐