【51CTO.com 綜合消息】2009年11月9日,信息安全事業(yè)部日前發(fā)布了新一期的RSA ®安全概要，題為《云計算中的身份識別和數(shù)據(jù)保護(hù)：建立可信任環(huán)境的最佳實施方案》。此概要為需要應(yīng)對云計算中的身份認(rèn)證和數(shù)據(jù)安全挑戰(zhàn)的機構(gòu)提供了指導(dǎo)和最佳的可行方案。本期的RSA安全概要集合了云計算安全領(lǐng)域的頂級技術(shù)專家的意見，以幫助機構(gòu)了解如何構(gòu)建與云服務(wù)有關(guān)的可信任環(huán)境，如何防御網(wǎng)絡(luò)欺詐，如何應(yīng)對云環(huán)境下新的法規(guī)遵從的挑戰(zhàn)。

RSA安全概要的作者為多位來自EMC和VMware的業(yè)界最著名的安全和虛擬化專家，包括RSA, EMC信息安全事業(yè)部首席技術(shù)官Bret Hartman，VMware研發(fā)中心首席技術(shù)官兼高級副總裁Stephen Herrod博士以及其它EMC資深技術(shù)專家。在本期的安全概要里，作者們一致認(rèn)為云計算的安全存在著巨大的發(fā)展?jié)摿?，將超過當(dāng)前信息安全可能達(dá)到的水平。云計算環(huán)境下，安全協(xié)議可以構(gòu)建在虛擬化層，不僅僅是部署在常見的應(yīng)用層。通過深入地在技術(shù)層面植入安全策略，使其遍及云環(huán)境的虛擬化基礎(chǔ)架構(gòu)，企業(yè)可以擁有更強大、更智能的安全解決方案，從而保護(hù)他們的用戶和數(shù)據(jù)。

構(gòu)建云環(huán)境下的關(guān)聯(lián)：決定信任誰

RSA安全概要認(rèn)為云計算中所需的數(shù)據(jù)保護(hù)和用戶認(rèn)證的多項技術(shù)、服務(wù)、方法和相當(dāng)多的實際應(yīng)用知識已經(jīng)存在于企業(yè)架構(gòu)中，只需更加策略地延展到云的架構(gòu)中。阻礙云計算成為主流服務(wù)平臺的主要原因是信任不足，特別是云計算資源的擁有者、提供商與租用這一服務(wù)的公司間的信任不足。作者們?yōu)楦鳈C構(gòu)提供了如何通過準(zhǔn)許可行的云計算性能和安全標(biāo)準(zhǔn)來改善云計算的可信任環(huán)境。該概要還列出了管理私有云的可信任環(huán)境的最佳實踐方案。

欺詐防護(hù)：防止壞人侵入

云計算的發(fā)展也伴隨著發(fā)展更快的、由欺詐行為驅(qū)動的“黑云”的出現(xiàn)。潛在的網(wǎng)絡(luò)欺詐成為企業(yè)和他們的用戶使用云服務(wù)的主要牽絆。企業(yè)需要擴展他們的強大的身份認(rèn)證和欺詐識別能力來對抗未經(jīng)授權(quán)的接入、網(wǎng)絡(luò)釣魚、惡意軟件，甚至是知識產(chǎn)權(quán)的偷竊行為。RSA安全概要為如何更好地實施多層次的、基于風(fēng)險的身份認(rèn)證服務(wù)和保護(hù)不斷復(fù)雜的網(wǎng)絡(luò)欺詐的攻擊提供了具體的建議。

云計算中的數(shù)據(jù)法規(guī)遵從管理

可在虛擬層提供幾乎所有與應(yīng)用服務(wù)相關(guān)的活動的可視性，是云計算顯著的優(yōu)勢之一。虛擬層高度細(xì)化的監(jiān)測能力可大大改進(jìn)云計算中審計和法規(guī)遵從的報告流程。但云計算環(huán)境也確實給法規(guī)遵從帶來了一些新的挑戰(zhàn)。云計算中物理邊界的缺乏使得涉及具體權(quán)限的隱私立法的法規(guī)遵從變得相當(dāng)困難。

RSA信息安全報告提供了改進(jìn)法規(guī)遵從的具體建議，諸如導(dǎo)入云計算供應(yīng)商日志到安全信息系統(tǒng)、事件管理系統(tǒng)、部署“數(shù)據(jù)意識”云存儲平臺，從而可以依據(jù)政策和法規(guī)的規(guī)定智能地分配數(shù)據(jù)。

云計算中數(shù)據(jù)和身份保護(hù)從業(yè)人員指南

RSA全新的安全報告最后還提出了可以幫助安全從業(yè)人員更好地保護(hù)云計算中數(shù)據(jù)和用戶身份的技術(shù)解決方案和服務(wù)。這些方案和服務(wù)圍繞數(shù)據(jù)中心監(jiān)測和多重租賃、數(shù)據(jù)加密和密碼隨機化、聯(lián)合身份管理、基于風(fēng)險的強身份認(rèn)證、防欺詐和惡意軟件檢測、云計算的項目管理和審計、數(shù)據(jù)丟失防護(hù)和法規(guī)遵從。

面對當(dāng)前最緊迫的信息安全風(fēng)險和機遇，RSA安全概要旨在為安全管理者提供實質(zhì)性的建議。每個安全概要由一個選定的專家反應(yīng)小組來定制，他們動員各組織就一個重大新課題分享專業(yè)知識。RSA安全概要既提供大全景的深入見解，也提供實用的技術(shù)建議，是當(dāng)今據(jù)有超前意識的安全從業(yè)者重要的閱讀資料。今天發(fā)布的是RSA第二篇安全概要，即“云計算中的身份識別和數(shù)據(jù)保護(hù)：建立可信任環(huán)境的最佳實施方案”，現(xiàn)在已經(jīng)可以從www.rsa.com下載。