Seguridad en la nube a través de control frente a la propiedad
Tradicionalmente, el control de los flujos de información directamente de la propiedad de la plataforma subyacente. En el modelo de seguridad tradicional ubicación implica la propiedad, que a su vez implica el control. Construir las capas de confianza con la raíz de confianza anclado a la pieza específica de hardware. La virtualización se rompe el enlace entre la ubicación y la aplicación. En la nube (al menos "nube pública") se rompe el vínculo entre la propiedad y el control.
Como hemos examinado en muchas columnas anteriores estamos avanzando rápidamente desde una posición centrada en el modelo de seguridad para una mayor identidad y el modelo centrado en datos. La imparable de las fuerzas de conectividad ubicua y la movilidad han roto la ubicación centrado en el modelo de seguridad y el perímetro de la estrategia, y nos dejó en busca de un mejor modelo para la seguridad. En el proceso, ciertos supuestos fundamentales también han cambiado. Cuando la seguridad es la ubicación céntrica, a continuación, la ubicación, la propiedad y el control están alineados. La lógica del modelo de seguridad coincide con la seguridad física de modelo y un perímetro separa de confianza (en propiedad, local) de que no son de confianza (otros (remoto). A medida que nos movemos más allá de este modelo, debemos examinar los vínculos entre la ubicación, la propiedad y el control.
El Control de la información es, en efecto, no depende de propiedad total o en una ubicación fija. Un ejemplo sencillo es el cifrado de clave pública. I mantener la posesión de una clave privada y puedo controlar el acceso a la misma. Generalmente la clave privada se almacena en una ubicación segura. Pero a partir de la posesión de la clave me pueden ejercer control sobre la información sin tener que poseer el resto de la infraestructura. Puedo construir una confianza VPN a través de una confianza infraestructura.
La clave aquí es que el público de la computación en la nube nos obliga a ejercer el control sin la propiedad de la infraestructura. Podemos ejercer el control y la seguridad de la información a través de una combinación de cifrado, los contratos con los acuerdos de nivel de servicio y por (contractual) la imposición de normas mínimas de seguridad en los proveedores. Si aquellos que están en el lugar, entonces no hay ninguna razón intrínseca por qué un entorno de cloud computing no puede ser seguro y cumple. No necesitamos dueño de los bienes con el fin de ejercer de seguridad, ya que tenemos que tener Internet para poder confiar en una VPN.
Auditores y reguladores están en continua adaptación a las nuevas tecnologías y modelos de negocio. En la medida que podamos demostrar claramente de control a través de la tecnología y de los contratos que debe ser capaz de hacer un entorno de cloud computing como compatible y tan segura como una propiedad privada de las instalaciones.
Hable con su auditores acerca de su comprensión de los riesgos a medida que se refiere a la ubicación, la propiedad y el control. Una vez que separar claramente los conceptos que usted podría encontrar que es más fácil tener esa discusión.
Autor: Keylogger.Org Equipo