近日,一項針對云服務信息安全控制措施的新標準正式發布,為云服務提供商和客戶在保障數據安全方面提供了全面的實施指南。該標準不僅涵蓋了ISO/IEC 27002中相關控制措施的具體應用,還針對云服務的獨特性,補充了額外的控制要求和實施建議。
在術語定義部分,標準對“數據泄露”進行了明確界定:指因安全性受損,導致受保護數據在傳輸、存儲或處理過程中發生意外或非法的破壞、丟失、更改,或未經授權的披露與訪問。這一定義強調了數據泄露的嚴重性及其對云服務安全的潛在威脅。
針對云服務中常見的多租戶環境,標準引入了“安全多租戶”的概念。它要求通過實施嚴格的安全控制措施,有效防范數據泄露風險,并確保這些控制措施能夠得到驗證,以滿足適當的治理要求。標準特別指出,當單個租戶在多租戶環境中的風險水平不超過專用單租戶環境時,方可視為實現了安全的多租戶關系。在高度安全的環境中,租戶身份信息也應得到嚴格保密。
虛擬機作為云服務中的核心組件,其安全性同樣受到標準的高度關注。標準將虛擬機定義為支持客戶軟件執行的完整環境,包括虛擬硬件、虛擬磁盤及相關元數據。通過管理程序軟件,底層物理機器能夠實現多路復用,從而支持多個虛擬機的同時運行。這一特性在提升資源利用率的同時,也對虛擬機的安全防護提出了更高要求。
新標準的發布,為云服務行業提供了更為明確和具體的安全指導,有助于提升云服務整體的安全水平,保護用戶數據免受泄露等安全威脅。隨著云服務的廣泛應用,這一標準將在推動行業健康發展方面發揮重要作用。
