通过云服务是现成的,但并不是所有的都可以在Cyber Essentials的范围内。以下是一个(非常)简短的解释,以及为什么这很重要:
Cyber Essentials (CE)是一个“政府支持、行业支持的方案,帮助组织保护自己免受常见的在线威胁”
它为组织应用和管理一组基本的安全控制提供独立的验证。因此,为我们自己的内部基础设施获得CE非常简单。然而,当涉及到云服务时,事情就没那么简单了。
云的3种主要类型是:
- Saas——软件即服务
- 平台即服务
- Iaas——基础设施即服务
还有其他口味可供选择,但出于本文的目的,我们将集中讨论上述口味。
SaaS是您连接到的打包软件,对于每个客户看起来都是相同的。你不能控制更新,也不能控制升级发生的时间。你可以获得某种程度的定制(例如品牌),但整个堆栈由第三方负责。
PaaS是云堆栈的下一层,提供可以构建应用程序和服务的平台。很少(如果有的话)业务人员会与PaaS进行交互,因为它主要面向开发人员和运维专业人员。
IaaS是堆栈中的最低层。这是指通过虚拟化接口或管理程序提供预配置的硬件。没有提供高级基础设施软件,如操作系统,这必须由买方提供并嵌入他们自己的虚拟应用程序。
“这和Cyber Essentials有什么关系?”我听到你问了。CE是基于组织(即Kent)应用和管理满足标准所需的5个控制集——只有通过I开云体育app客服aaS我们才能做到这一点,并提供所需的保证。
然而,对于PaaS和SaaS,我们不管理控件(由服务提供商管理),因此它们不在范围之内。这并不意味着我们不能使用这些技术,但我们必须谨慎对待我们在不同类型的云中放置的东西。
所以我们来到了百万美元问题——“这真的重要吗?”嗯,实际上是这样的。任何合约/授权/数据共享协议等,如指定Cyber Essentials为一项要求,则所有数据储存和处理必须在经CE认证的环境中进行。对于Kent来说,这意味着我们开云体育app客服自己的基础设施中的任何东西,或者我们未来可能包括的任何IaaS云。
如果我们将这些数据放到PaaS或SaaS云中,我们就违反了合同,可能会受到相应的处罚。
随着云服务的发展趋势,特别是PaaS和SaaS, Cyber Essentials无疑将在范围内包括这些服务。在此之前,我们需要小心我们在不同类型的云中放置什么。
[1]https://www.gov.uk/government/publications/cyber-essentials-scheme-overview