最佳实践云安全：企业的内部和外部云计算是否安全？

去年，英国政府内阁办公室概述了发表在2014年8月14日的“云计算安全原则”构成的指导文件。这些原则涉及到传输中的数据保护、资产保护。例如客户数据需要一定程度的客户之间的分离，以确保被损害的客户账户不会影响服务或另一个客户的数据，这就需要开发一种治理框架，并管理托管服务提供商（MSP）或云计算服务提供商（CSP）的工作人员，以下用几方面例举。

云安全就是一个如此重要的问题，因为数据就是是任何现代组织的黄金和石油。无论是大型企业还是小型公司，他们都需要考虑如何防止影响他们的云服务的黑客攻击。然而，并不是所有的攻击都发生在组织的外部。有时，他们从一个组织内部或从一个服务提供商开始的。但只要进行安全审计和云计算安全原则实施到位，云计算环境可以是安全的，在许多情况下，甚至比你的内部IT更加安全。

云计算安全合规

企业没有必要为自己从零开始制定一个云安全原则，因为一般都会参考有据可查的最佳实践，例如英国内阁办公室的指导性文件。而，根据适用于不同的垂直行业的法律义务和监管框架，云计算的安全性需要应用的水平不同。金融服务部门是一个垂直的行业，必须采用严格的云计算安全框架，以保护他们的客户的个人和财务数据。因为这个原因，他们经常选择一个私有去或或混合云模式。

大多数工业部门必须遵守的关键标准是ISO27001（ISO/IEC27001:2013）：“使用该系列标准将帮助你的组织管理资产安全，如财务信息、知识产权，员工资料或第三方托付给你的信息”，国际标准组织的网站表示，企业还可以考虑ISO/IEC27002（ISO/IEC27018:2014）标准。

一些标准并不局限于云计算安全原则。云计算的相互联系意味着，他们往往涉及企业的整个IT系统。所以，找到一个托管服务提供商或拥有所有正确的云凭证的云服务提供商，这是至关重要的，但最薄弱的环节可能是你自己的IT内部。它需要满足托管服务提供商（MSP）和电信运营商（CSP）必须遵守的相同的标准。

以下是一些最佳实践：

国际标准化组织（ISO）有一些实体都在努力帮助企业制定和实施云安全最佳实践。例如，有云安全联盟（CSA）发布了其顶级的云计算安全威胁报告。国家和国际组织例如CSA，以及具体部门相关行业机构，可以帮助企业保持地了解最新的法律规定和行业法规。这将使企业知道什么是最好的做法，以及应该如何应用。

标准的操作系统

其出发点是一个标准操作环境（SOE）。国有企业组织可以在其整个IT领域实施安全和优化的Linux系统中的可重复的流程，无论是在公司内部，物理基础设施，虚拟化，混合云或计算中。

一个企业需要一个良好的管理平台（SOEMP）执行良好的实践。使用SOEMP技术，如RedHat的Satellite服务器和Puppet，系统管理员必须积极地管理国有企业，并确保其安全的权力。

对于许多组织来说，答案是使用遵循ISO/IEC27001提供的云安全原则的管理服务供应商：2013。服务提供者将有机会获得最好的管理工具，这些工作人员非常熟悉部署，并一贯和彻底地执行。最重要的是，这样的供应商面临着日常的商业压力和职业生涯的忧虑，在因此企业内，有时会采用最佳的安全实践。

小贴士：

·确保您使用的是托管服务提供商提供的服务。

·检查是否遵循ISO/IEC27001:2013等有关标准和规定，并为你的行业提供指导。

·为了保证数据的安全，你需要最好的管理工具。

·阅读英国内阁府对云计算安全的原则文档，以确保云系统和云服务保持安全的蓝图。

·管服务提供商（MSP）和电信运营商（CSP）合作，以确保自己的内部系统不会处于云安全链中最薄弱的环节

。在理想情况下，云计算供应商将监测利用，在优化规模的情况下关闭临时工作负载，并为客户节省成本。