云风险策略完美无缺?别忘了考虑你的用户群体

云风险管理策略旨在通过缓解风险,让高风险变成较低的风险。你在制定策略时应该采取分四步走的方法,并且充分考虑到不同的用户们会如何认识和看待该策略(比如,有些用户需要的灵活性高于策略中规定的灵活性。)

如何制定云风险管理策略?

第一步:确认和识别资产

软件即服务(SaaS)用户仅限于他们用来访问SaaS应用程序的台式机、笔记本电脑,以及/或者平板电脑。

平台即服务(PaaS)开发人员使用更多的资产。PaaS开发人员可使用计算机及其工具来开发和管理应用程序;开发人员还在服务提供商提供的操作系统上运行其开发的应用程序。

基础设施即服务(IaaS)专家使用服务提供商提供的网络、存储或计算资源。

第二步:评估和分析风险

你需要评估每种资产的风险,然后将它们分类成低风险、中风险或高风险。至于风险是人为风险(比如错误的应用程序逻辑),还是自然灾害(比如地震频发地区),那没有什么关系。

第三步:实施防范措施

在实施防范措施之前,你应该确保它可以因此将高风险缓解成较低的风险。典型的防范措施包括故障切换机制、闰年识别、嵌套式防火墙以及双因子验证(比如强密码外加面部识别)。如果针对某项资产的防范措施未能带来积极的投资回报,你就应该为该资产投保。

第四步:评审资产、风险和防范措施

你应该定期评审资产、风险和防范措施(通常是每三个月或每六个月评审一次)。你在这么做的过程中可能会发现:已购置了新的资产。比如说,你从贵企业获得最新款式的平板电脑,你用它来访问SaaS应用程序。回到第一步即识别资产,从头来过。由于你用PaaS开发的某个应用程序的业务需求发生了变化,因而出现了新的风险。如果你的资产库里面没有出现任何新的资产,就回到第二步即评估风险。不然,就回到第一步,从头来过。可能需要实施新的防范措施。某项新技术可能让防范措施花较少的钱就能获得更高的成效,或者出现新的风险时,就可能需要实施新的防范措施。至于你是PaaS开发人员还是IaaS基础设施专家,那没有关系。再次执行分四步走的过程。

不同的用户可能会如何认识和看待策略?

用户怎样认识和看待云风险管理的好处,这受到以下因素的影响:

他们扮演的云角色;他们所在的部门;云服务提供商授予他们的控制措施

SaaS用户的认识

在任何一家组织,SaaS用户拥有的唯一控制权就是,可以从他们选择的任何设备来访问SaaS应用程序――该应用程序涉及会计、人力资源还是供应链跟踪,那无关紧要。该用户无法控制应用程序的开发或虚拟机。

SaaS用户可能会认为服务提供商的云风险管理策略很有限,因为提供商不会让用户使用其安全工具来扫描查找SaaS应用程序的安全漏洞。

PaaS开发人员的认识

PaaS开发人员可以使用自己喜欢的任何一种安全工具;因此,他们认为提供商的风险管理策略很灵活。PaaS开发人员控制整个应用程序的生命周期:从概念阶段直到部署阶段,他们还可以开发及构建测试防范措施的安全工具。SaaS用户对给黑客设置重重障碍、无法逾越的任何防范措施都会很满意。

PaaS开发人员无法控制操作系统的更新和支持PaaS平台的虚拟机。提供商不允许开发人员针对操作系统和虚拟机实施防范措施,他们因而可能会感到失望。

IaaS网络专家的认识

IaaS网络专家可以在虚拟基础设施中使用其自己的安全工具。网络专家可能会认为提供商的云风险管理策略非常灵活。

IaaS网络专家对防范虚拟机避免非计划停运时间所需要的工具拥有控制权。提供商不允许IaaS网络专家控制其物理服务器和网络组成的基础设施,他们可以理解。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-01-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏人称T客

CIO应该关注企业移动化建设的七大关键要素

如今,移动设备已经成为了人类不可或缺的伴侣。著名咨询机构麦肯锡(McKinsey & Company)近期发布的一份报告预测:截至2014年,将有17亿台移动设...

28660
来自专栏Youngxj

[福利]坚持管家签到60天领取QQ年费超级会员

23920
来自专栏AI科技评论

动态 | MSRA联合四大高校,共建新一代AI开放科研教育平台

微软亚洲研究院联手北京大学、中国科学技术大学、西安交通大学和浙江大学四所国内顶级院校,共建新一代人工智能开放科研教育平台,成立仪式于5月22日在MSRA举行。

16820
来自专栏企鹅号快讯

不只是全民电商,这分明是微信的“新零售”

北京通优科技发展有限公司 将“微信小店”升级为“小店小程序”,将还没连接上微信的商店都带入微信生态圈。微信突如其来的新能力,不仅极大地降低了普通店铺开发小程序的...

224100
来自专栏云计算D1net

企业的“云端漫步”道路并不平坦

云计算的发展让越来越多的企业开始考虑迁移到云端。而关于云计算的商业价值,形形色色的云计算服务商通常会告诉企业:云计算可以帮助企业节省成本,增强it系统与业...

34360
来自专栏安全领域

审视可信物联网的基础:连接。安全。盈利。

原文地址:https://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/Examining-the...

41070
来自专栏FreeBuf

解读Gartner 2016年十大信息安全技术

2016年6月13-16日,Gartner安全与风险管理峰会顺利举办,Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。 Gartn...

22890
来自专栏企鹅号快讯

2018年最具就业前景的6大编程语言!

2018年即将到来,Coding Dojo(编码道场)近期发布了 2018 最具就业前景的 7 大编程语言。 分析了来自 Indeed 的25门编程语言、栈和框...

35460
来自专栏源哥的专栏

信息安全,富人当道

信息安全,富人当道     最近几年,信息安全的话题被广泛讨论,很多企业都开始加强了信息安全工作的力度,那么信息安全工作该不该实施,该如何实施,实施的力度是多少...

8020
来自专栏应用案例

初志安全存储云解决方案

初志安全存储云解决方案 方案概述 进入DT时代,随着设备的互联互通以及多网络的接入,数据越来越集中化,为了开发大数据应用,发掘潜在的数据价值,企事业单位多个部门...

32400

扫码关注云+社区

领取腾讯云代金券