ISO 27017:云服务的安全挑战和解决方案

作者: 泽林认证    E-mail： 18716705@qq.com    发布时间：2023-07-27

云计算为组织带来诸多便利的同时,也让云安全成为组织必须加以关注的问题。而ISO于2015年发布的ISO 27017国际标准则专门致力于解决云计算场景中的安全与合规问题,提供了重要的风险控制指南。

与传统IT环境不同,云计算具有资源池化、多租户共享等特点,使得数据集中化带来的安全风险加大,类别也更为复杂。供应商与客户权责不明也可能导致云安全难以落实。具体来说,云环境面临以下安全挑战:

1、由于基础设施和应用集中化,一旦防护体系被攻破,后果将会更严重;

2、资源共享可能导致客户云数据遭到非授权访问,甚至数据泄露、篡改等风险;

3、云供应商与客户在云安全责任划分上的模糊地带,可能导致某些关键安全环节投入不足。

针对上述挑战,ISO 27017标准在ISO 27002基础控制措施上做出扩展,添加了针对IaaS、PaaS和SaaS三大云服务模式的具体安全要求和实施指南。该标准覆盖了风险评估、访问控制、加密、网络隔离、数据备份、审计追踪等关键安全领域。adoption.

例如,对云基础设施的网络访问需要进行严格的访问控制和流量隔离,对云上处理和存储的客户业务数据需要进行加密,对用户操作行为需要进行审计日志记录等。通过全面执行标准要求,可以有效保障多租户环境下数据的保密性、完整性、可用性与隐私性。

综上所述,ISO 27017为组织利用云服务的同时保持安全合规提供了明确的指导方针。结合标准采取的综合防护措施,组织可以更加安心、合规地迁移到云端,充分利用云计算带来的经济与技术优势。