近日,一项针对云服务信息安全控制措施的新标准正式发布,为云服务提供商和客户在保障数据安全方面提供了全面的实施指南。该标准不仅涵盖了ISO/IEC 27002中相关控制措施的具体应用,还针对云服务的独特性,补充了额外的控制要求和实施建议。
在术语定义部分,标准对“数据泄露”进行了明确界定:指因安全性受损,导致受保护数据在传输、存储或处理过程中发生意外或非法的破坏、丢失、更改,或未经授权的披露与访问。这一定义强调了数据泄露的严重性及其对云服务安全的潜在威胁。
针对云服务中常见的多租户环境,标准引入了“安全多租户”的概念。它要求通过实施严格的安全控制措施,有效防范数据泄露风险,并确保这些控制措施能够得到验证,以满足适当的治理要求。标准特别指出,当单个租户在多租户环境中的风险水平不超过专用单租户环境时,方可视为实现了安全的多租户关系。在高度安全的环境中,租户身份信息也应得到严格保密。
虚拟机作为云服务中的核心组件,其安全性同样受到标准的高度关注。标准将虚拟机定义为支持客户软件执行的完整环境,包括虚拟硬件、虚拟磁盘及相关元数据。通过管理程序软件,底层物理机器能够实现多路复用,从而支持多个虚拟机的同时运行。这一特性在提升资源利用率的同时,也对虚拟机的安全防护提出了更高要求。
新标准的发布,为云服务行业提供了更为明确和具体的安全指导,有助于提升云服务整体的安全水平,保护用户数据免受泄露等安全威胁。随着云服务的广泛应用,这一标准将在推动行业健康发展方面发挥重要作用。
