云安全最佳实践促进快速部署

日期: 2010-05-06 作者:Laura Smith翻译:陈德彦 来源:TechTarget中国 英文

因为安全问题,很多公司已经避开了云计算,但Sun Bancorp公司的子公司Sun国家银行采取了一种务实的方法利用云的潜力实现快速部署。该银行的首席信息官说,这种方法不只是连接几台路由器和VPN的问题,而是一系列详细的合作伙伴评估、风险评估和合同谈判的云安全最佳实践。   上个月,Sun国家银行开始提供移动银行业务。据这家总部位于新泽西州Vineland城市的银行的高级副总裁和首席信息官Angelo Valletta说,这是使用云服务在不到四个月的时间实现的一个壮举。

该银行在70多个办事处,拥有约800名员。Sun国家银行现在提供短消息服务(SMS),SMS是用于帐户信息查询的文本;并提供从开……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

因为安全问题,很多公司已经避开了云计算,但Sun Bancorp公司的子公司Sun国家银行采取了一种务实的方法利用云的潜力实现快速部署。该银行的首席信息官说,这种方法不只是连接几台路由器和VPN的问题,而是一系列详细的合作伙伴评估、风险评估和合同谈判的云安全最佳实践。

  上个月,Sun国家银行开始提供移动银行业务。据这家总部位于新泽西州Vineland城市的银行的高级副总裁和首席信息官Angelo Valletta说,这是使用云服务在不到四个月的时间实现的一个壮举。该银行在70多个办事处,拥有约800名员。Sun国家银行现在提供短消息服务(SMS),SMS是用于帐户信息查询的文本;并提供从开启互联网功能的手机和PDA,使用浏览器访问其网站的功能;客户也可以下载一个应用程序到他们的PDA上,实现一键访问该网站。

  Valletta说:“在去年第四季度,我们决定向我们的客户提供移动渠道。我们希望能够赶在用户需要此渠道之前实现,为此我们和一家云平台供应商合作,以协助交付。”

  Sun国家银行选择了位于加利福尼亚州Larkspur 城市的mFoundry公司。这是一家云供应商,其硬件和软件后端基础设施被银行、支付公司以及手机银行和移动支付的商户广泛使用。mFoundry的平台还可以作为移动钱包的基础。

  Valletta说:“很多人选择一家云供应商,并向他们交代,期待一切都会被周到地照顾。在我看来,它就是你把它付诸表决。云会像你如何管理它一样安全。” Valletta将参加5月18日在纽约市的CIO论坛圆桌讨论。

  首先,Sun国家银行要求mFoundry提供SAS 70(审计准则第70号说明)Type II认证,这是一种审计,用于评估服务组织内的内部控制。Valletta说,这项要求是对所有面向银行的云供应商的基准。他说:“这是一个[我们的伙伴作出]的投资,要求第三方进来,并评估他们。”

  Sun国家银行随后审查了SAS 70审计,以充分了解供应商的脆弱性在哪儿,并在特定的时间,使用一套内部的流程去解决它们。此外,如果mFoundry或另一家直接的服务提供商以一种联合的模式外包给第三方,那么那家供应商也需要SAS 70审计。这已经超出了典型情况下Sun国家银行谈判的服务级别协议。

  许多IT专业人士认为,确保在云中的安全,SAS 70审计是不够的。Valletta表示同意,但他说这是一个开始。他说:“在合同中,我们也建立了这样的权利,就是走进组织,从脆弱性立场,完成我们自己的审计和检查。”这是Sun国家银行的部分投资,以保持外包职能给云提供商以消除威胁的透明度。

  Valletta说:“我们还进行风险评估。我们基于应用评价合作伙伴,并询问,这是否是对我们组织的关键应用?最后,我们的供应商不管理数据——他们只提供我们业务流程。”

  实现云安全需要投入更多的钱——它要求IT部门具有新的技能集,也就是说,懂技术并能调查业务环境的人,他们从自上而下的角度承担责任,同时能够从合作伙伴的角度分析合同。

  专家对云安全的建议

  根据位于凤凰城的咨询公司Securosis公司的首席执行官Rich Mogull 说,Sun国家银行的经验表明,在一个迅速变化的环境中,然而,必须使用事实上的标准来驯服一种复杂的级别。

  Mogull说:“云最大的问题是,它不仅是狂野的西部,它还是一个破旧的酒吧。买方,要小心了。您需要了解你正将什么[应用]搬到云中,你从那些提供商那儿得到的服务级别协议(SLA)是什么。”

  业内专家说,最常被转移到云环境的应用程序和IT流程包括,开发、测试、协作、分析、批处理作业和灾难恢复。

  Mogull建议:“这一切都依赖于风险承受能力。从较低价值的业务部分开始,不要移动私有的、受到严格监管的数据库。”

  Mogull继续说:“了解数据将受到怎样的保护是重要的,因为即使大供应商也有断供”。他说,提供跨网络数据安全的防火墙和安全套接字层(SSL)是不够的;企业可能想加密放在云端的数据,但他们需要自己管理密钥。云安全联盟(CSA)执行董事Jim Reavis赞成Mogull对云前沿的谨慎评估。

  Reavis说:“带领公司远离云不是我们的观点,但同随着在技术中出现的任何新的干扰,我们看到了许多初创的公司在未来几年内可能脱离业务。并且较大的供应商可以决定改变策略,使你迁移到另一个产品。”

  尽管如此,雷维斯期待在三年内,大公司将从内部云部署转移到公共云部署。在内部云部署中,他们正试验诸如多租约(在一个大的银行案例中,需要对经纪人和贸易分析家进行分段)的事情。这是互联网安全的例子,他预测:“在他们能够完全解决以前,竞争的业务驱动力将控制人们的手。”

  去年12月,CSA发布了一套云安全最佳实践准则,适用于内部和外部的努力。最近,它发布了一份文件,列出了对云计算的主要安全威胁,并将很快公布一份针对安全控制的云控制控制矩阵,因为它们与现有的标准相关。

  在回应Securosis的Mogull和Sun国家银行的Valletta时,Reavis说:“企业应采取业务用例和应用方法,然后审视特定的安全担忧。这是一个很容易实现的务实做法,解决方案是显而易见的。”

  Sun国家银行的最佳做法产生了一个新生技术方法的安全部署。Valletta沉思自语说:“从去年第四季度的决定,到2月中旬软营销活动,再到3月给我们客户群的艰难交付——如果我们不利用外部供应商,我们将不会得以快速实现。云平台将帮助我们将移动非常快地[带入]市场中。”

相关推荐