企业是否上云,由业务来驱动。
收集资产清单。
确定关键路径、资产、风险偏好。
评估,对资产赋值。
BIA:RTO(业务中断后,最长恢复时间)、RPO(企业允许丢失数据最大的量,时间),RTO要小于RPO,否则影响企业运营。
SPOF:the single point of failure,单点故障。
降低单点故障风险:
1、冗余备份,至少能保证数据不丢;
2、可替代流程;
3、交叉培训;
4、负载均衡,网络层、七层;
风险偏好:组织可接受的风险水平,水平、数量、风险类型;
风险容忍度:组织对风险的最大承受能力;
共享责任模型(责任边界) 客户 云服务厂商
IaaS:OS、software data 基础设施、物理安全、硬件资产
PaaS:software、data OS、all responsibilities in IaaS boundaries
SaaS:data software、all responsibilities in PaaS boundaries
DLP:对数据加密和监测
云平台数据加密不是100%可靠,只能相对提高数据安全性,比如在内存中dump操作,同样可以把数据拿出来。
确保云平台数据传输安全:机密性(TLS)、完整性(篡改)。
纵深防御:云计算厂商人员背景调查;加密、日志审计、访问控制;门卫、摄像头;合规。