近日,一項(xiàng)針對(duì)云服務(wù)信息安全控制措施的新標(biāo)準(zhǔn)正式發(fā)布,為云服務(wù)提供商和客戶在保障數(shù)據(jù)安全方面提供了全面的實(shí)施指南。該標(biāo)準(zhǔn)不僅涵蓋了ISO/IEC 27002中相關(guān)控制措施的具體應(yīng)用,還針對(duì)云服務(wù)的獨(dú)特性,補(bǔ)充了額外的控制要求和實(shí)施建議。
在術(shù)語(yǔ)定義部分,標(biāo)準(zhǔn)對(duì)“數(shù)據(jù)泄露”進(jìn)行了明確界定:指因安全性受損,導(dǎo)致受保護(hù)數(shù)據(jù)在傳輸、存儲(chǔ)或處理過(guò)程中發(fā)生意外或非法的破壞、丟失、更改,或未經(jīng)授權(quán)的披露與訪問(wèn)。這一定義強(qiáng)調(diào)了數(shù)據(jù)泄露的嚴(yán)重性及其對(duì)云服務(wù)安全的潛在威脅。
針對(duì)云服務(wù)中常見(jiàn)的多租戶環(huán)境,標(biāo)準(zhǔn)引入了“安全多租戶”的概念。它要求通過(guò)實(shí)施嚴(yán)格的安全控制措施,有效防范數(shù)據(jù)泄露風(fēng)險(xiǎn),并確保這些控制措施能夠得到驗(yàn)證,以滿足適當(dāng)?shù)闹卫硪蟆?biāo)準(zhǔn)特別指出,當(dāng)單個(gè)租戶在多租戶環(huán)境中的風(fēng)險(xiǎn)水平不超過(guò)專用單租戶環(huán)境時(shí),方可視為實(shí)現(xiàn)了安全的多租戶關(guān)系。在高度安全的環(huán)境中,租戶身份信息也應(yīng)得到嚴(yán)格保密。
虛擬機(jī)作為云服務(wù)中的核心組件,其安全性同樣受到標(biāo)準(zhǔn)的高度關(guān)注。標(biāo)準(zhǔn)將虛擬機(jī)定義為支持客戶軟件執(zhí)行的完整環(huán)境,包括虛擬硬件、虛擬磁盤(pán)及相關(guān)元數(shù)據(jù)。通過(guò)管理程序軟件,底層物理機(jī)器能夠?qū)崿F(xiàn)多路復(fù)用,從而支持多個(gè)虛擬機(jī)的同時(shí)運(yùn)行。這一特性在提升資源利用率的同時(shí),也對(duì)虛擬機(jī)的安全防護(hù)提出了更高要求。
新標(biāo)準(zhǔn)的發(fā)布,為云服務(wù)行業(yè)提供了更為明確和具體的安全指導(dǎo),有助于提升云服務(wù)整體的安全水平,保護(hù)用戶數(shù)據(jù)免受泄露等安全威脅。隨著云服務(wù)的廣泛應(yīng)用,這一標(biāo)準(zhǔn)將在推動(dòng)行業(yè)健康發(fā)展方面發(fā)揮重要作用。
