понедельник, 4 июня 2012 г.

NIST анализирует облака

   Несколько недель назад NIST выпустил новое руководство по безопасности и приватности публичных облачных вычислений (800-144).
   Как недавно сдавшему экзамен на CCSK мне было очень интересно сравнить данное руководство и официальные своды знаний от Cloud Security Alliance и ENISA.
   Однако, оказалось, что сравнивать данное руководство и своды знаний некорректно, т.к. цель документов разная.. руководство от NIST показывает как правильно перенести в облака, описывая необходимые для этого активности и используя описания облачной архитектуры, возможных рисков и выгод для безопасности от перехода на "облака" только как инструмент, когда своды знаний по облачной безопасности, естественно, концентрируются именно на облачной безопасности.
   Отдельно хотелось бы отметить традиционную связность руководства с другими стандартами от NIST, полезную для демонстрации разных уровней контроля для SaaS\PaaS\IaaS схему, и ссылки на CSA (в том числе на опросник по безопасности).
   В целом данное руководство не пытается подменить материалы CSA, но хорошо их дополняет, за что спасибо авторам.

P.S. Описанные на девятой страницы выгоды для безопасности базируются на предположении что провайдеры облачных сервисов имеют узких специалистов в сфере безопасности из-за наличия большой ИТ-инфраструктуры, что для России может быть не просто не совсем верно, а неверно в корне, т.к. многие промышленные компании имеют большую инфраструктуру и, соответственно, больший штат высококвалифицированных специалистов в области ИБ чем многие провайдеры облачных сервисов. К примеру - вряд ли вымпелкомовский SOC хуже безопасности Clodo (у которого по открытым данным вообще нет своего датацентра;) .

Комментариев нет:

Отправить комментарий