|
选择安全服务提供商提供的云计算安全服务可以降低成本、提供技术方面的灵活性,还能满足法规遵从要求。
Ken Emerson有理由感到担心。他是位于新泽西州拉瑟福德的鲍林斯普林斯储蓄银行(Boiling Springs Savings Bank)的战略规划主管兼CIO,他需要着手处理一大堆法规遵从问题,尤其是这家银行在确保敏感数据安全方面的问题。比如说,需要进行II级审计准则声明(SAS 70 Type II)评审,以便遵守《萨班斯-奥克斯利法案》和《金融服务现代化法案》之类的法规。
SAS 70 Type II是一项特别的审计,核实一家公司在处理用户交易方面的运营和内部控制。鲍林斯普林斯储蓄银行既可以选择请一家独立公司来进行评审,费用由银行自己出;也可以选择求助于已经落实了一套评审系统的公司。当时,Emerson正与一家互联网服务提供商(ISP)在合作。对方虽提供安全服务方案,却没有落实SAS评审系统。
鲍林斯普林斯储蓄银行是一家年收入达11亿美元的互助储蓄银行,在新泽西州北部的14个地区设有网点,只有五名IT人员。它还需要请一家独立公司来对自己的网络环境进行一年一次的渗透测试。另外,这家银行需要加强对整个网络基础设施的保护,远离越来越频繁出现的IT安全威胁,并且尽量减小其业务面临的风险。
于是Emerson决定采用云计算安全方案,与托管安全服务提供商(MSSP)Perimeter Internetworking公司合作,以满足上述这些需求。
他说:“云计算安全对我们来说很有意义。安全行业是你追我赶的领域,你一定要比最新威胁或者法规遵从要求领先一步;而外包是解决这个问题的一个好办法。我们的云计算安全提供商拥有专家人员,他们了解窃贼的想法,并且为最糟糕的情况作好了防备。”
对Emerson来说,说服银行的管理班子和董事会这是最佳解决方案并不困难。他说:“我们可以清楚地表明具有的优点。我们节省了专职员工的费用、安全技术和网络集成费用以及所需要的渗透测试费用。我们很容易满足SAS和联邦存储保险公司(FDIC)的检查要求,证明这项投资能够带来积极回报。我们的董事会很快认可了这种概念:部署云计算安全,作为一项保险措施。”
Emerson之前也考虑过传统的MSSP解决方案(需要监控用户端设备),作为云计算安全方案的替代选择。但他在评估之后,认为这类服务很快就会过时。他发现,如果使用这些替代方案,还是需要员工花时间来安装及维护用户端设备,然后消除误报。另外,提供商满足不了他对SAS 70 Type II评审的要求,也满足不了其他任何法规遵从要求。
Emerson说:“我们之所以选择Perimeter,是因为它们通过了FDIC的检查,进行了自己的SAS 70 Type II审计,还因为它们进行了自己的渗透测试。因为我用到专业服务公司(service bureau),所以就会担心有人可能闯入我的网络。于是,我们寻求更加完整、全面的网络安全解决方案。”
|
