La sicurezza del Cloud attraverso il controllo contro la proprietà
Tradizionalmente, il controllo dei flussi di informazioni direttamente dalla proprietà della piattaforma sottostante. Nel tradizionale modello di protezione posizione implica la proprietà, che a sua volta comporta il controllo. Costruire i livelli di fiducia con il root of trust ancorata a un particolare pezzo di hardware. La virtualizzazione si interrompe il collegamento tra la posizione e l'applicazione. Cloud (almeno "public cloud") suddivide ulteriormente il legame tra la proprietà e il controllo.
Come abbiamo esaminato in molti articoli precedenti ci stiamo rapidamente passando da una posizione di sicurezza orientata ad un modello più identità e modello incentrato sui dati. L'inarrestabile forze di connettività e la mobilità hanno rotto la posizione centrica e il modello di protezione perimetrale strategia, e ci ha lasciato la ricerca di un modello migliore per la sicurezza. Nel processo, alcuni fondamentali presupposti sono cambiati. Quando la sicurezza è la posizione-centrica, quindi, la collocazione, la proprietà e il controllo sono allineati. La logica del modello di sicurezza coincide con la fisica e il modello di protezione perimetrale separa di fiducia (di proprietà, locale) dal non attendibile (altri remoto). Come ci muoviamo al di là di questo modello dobbiamo esaminare i legami tra la collocazione, la proprietà e il controllo.
Controllo delle informazioni, infatti, non è dipendente sul totale della proprietà o di un luogo fisso. Un semplice esempio è la crittografia a chiave pubblica. Io mantenere la proprietà di una chiave privata e il controllo di accesso. Di solito la chiave privata viene memorizzata in un luogo sicuro. Ma dalla proprietà di un tasto posso esercitare un controllo sulle informazioni, senza dover possedere il resto dell'infrastruttura. Posso costruire un trusted VPN su un non attendibili le infrastrutture.
La chiave qui è che la pubblica cloud computing richiede a tutti noi di esercitare il controllo, senza la proprietà dell'infrastruttura. Siamo in grado di esercitare il controllo e la sicurezza delle informazioni attraverso una combinazione di crittografia, i contratti con i contratti di servizio e da (contrattualmente) imposizione di norme minime di sicurezza sui fornitori. Se quelli sono a posto, quindi non c'è inerente motivo per cui un ambiente di cloud computing non può essere resa sicura e conforme. Non abbiamo bisogno di proprie attività, al fine di esercitare la sicurezza, non più di quanto abbiamo bisogno di Internet per la fiducia di una VPN.
I sindaci e le autorità di regolamentazione sono in continuo adattamento alle nuove tecnologie e modelli di business. Come lungo come si può chiaramente dimostrare il controllo attraverso la tecnologia e i contratti di noi dovrebbe essere in grado di rendere un ambiente di cloud computing come compatibile e sicura come una società privata di proprietà della struttura.
Parlate ai vostri conti circa la loro comprensione di rischio per quanto riguarda la collocazione, la proprietà e il controllo. Una volta che si separano nettamente i concetti si potrebbe trovare più facile per avere quella discussione.
Autore: Keylogger.Org Team