当安全性考量持续成为避免使用公有云之主因的同时,却有许多人认为公有云应能确保越来越多使用模式的安全性。安全性防护失败会对使用者造成损害,但对云端服务提供商(Cloud Service Providers, CSP)的冲击却相当小。报告认为云端使用者往往不知如何使用云端安全服务,且CSP提供的安全性机制常常是不够适当的,报告将摘录最重要的新机制与技术,来协助安全性专家寻找最适合企业且以具经济性、可控制性与符合规范的方式使用公有云。
以下介绍具颠覆性效益且于2-5年可被产业广泛使用的数位安全(Digital Security),目前处于过度期望的高峰期(Peak of Inflated Expectations),市场渗透率为1-5%;以及具高度效益且于2年内可能被产业广泛使用的云端安全性评估(Cloud Security Assessments),目前正处于稳定攀升光明期(Slope of Enlightenment),市场渗透率为20-50%
一、 数位安全
(一) 定义:数位安全性为提供信任、保护、安全性予网路资产(如软体与资讯)与实体资产的领域。数位安全为仅重视网路资产的网路安全的超集合(superset),其为IT、物联网、操作技术层(Operational Technology, OT)与实体安全性管理领域的汇整。
(二) 商业效益:备受瞩目的网路攻击将造成垂直性的危害,例如:联网汽车(connected automobile)、医疗装置、建筑物自动化与其他以资产为中心的产业,虽然目前仍相当少见,但网路攻击依然驱动了前述产业早期的数位安全性支出。随着政府对网路攻击的重视持续提高,将可能衍生出潜在的规范,且因数位基础设施的网路实体系统的关联性问题,将导致数位安全中的一般安全管理与安全法规发生重复规范的情况。数位安全仍将成为进入数位商业的首要障碍,不过长期来看,这些新兴的数位安全管理技术将能使数位生态系统更为稳固、安全与有弹性。
二、 云端安全性评估
(一) 定义:公有云服务的供应商与采购者需要标准化的评估方式,以判断供应商的安全性与连续性。需要使用由认证机构授权发布的控制标准与流程指南,并由独立的评估者正式评估服务提供商的安全情况,以及让评估者公开分享观点。
(二) 发展现况:全球的第一级(Tier 1)云端服务商,如Amazon Web Services (AWS)、Box、Dropbox、Google、微软、Salesforce与Workday皆已完成正式的第三方安全性评估。约有一半的第二级(Tier 2)云端服务提供商正着手进行一项以上的正式安全性评估,云端安全性评估经纪商表示,约有一半的软体即服务(SaaS)流量是流向受评估的供应商。正式的评估已逐渐成为云端服务提供商的标准,Gartner预测,在未来数年内,第一级与第二级云端服务提供商将成功完成云端安全性的评估。
(三) 商业效益:高资源密集度的手动风险评估流程一直阻碍着云端运算市场的发展,且费时费力的问卷调查却仅能提供些微的风险资讯。使用正式的云端风险评估不仅能减少因安全性考量与缺乏透明度引起的市场阻力,且可作为提供商倾向持续投资于安全性的讯号。正式的安全性评估能够让采购者更专注于服务的功能性,而不需浪费时间在判断云端服务提供商是否具备足够的安全性。
本文来自互联网,不代表前途科技立场,如若转载,请注明出处:https://accesspath.com/tech/5672226/
