Cosa guida i controlli di sicurezza nei modelli cloud: requisiti aziendali? O SLA?

1

Mi sto preparando per l'esame CCSP e un'altra domanda di test mi sta buttando fuori.

La domanda recita:

In all cloud models, security controls are driven by which of the following:

A. Virtualization engine
B. Hypervisor
C. SLAs
D. Business Requirements

Ho scelto C. SLA perché:

  • Le risposte di virtualizzazione e hypervisor sono troppo tecniche e non rientrano nel contesto di questa domanda.
  • Il fornitore di servizi cloud potrebbe non avere necessariamente gli stessi obiettivi di business del cliente, quindi un requisito aziendale per il cliente potrebbe non essere in linea con gli obiettivi o gli obiettivi di sicurezza del provider cloud.
  • Lo SLA è un documento mutuamente contrattuale che descrive l'entità dell'affidabilità del servizio e l'ambito della responsabilità complessiva per entrambe le parti nel cloud.

Esempio: se il fornitore di servizi cloud decide di vendere tutte le informazioni sui clienti al concorrente di un cliente, ciò sarebbe in violazione (si spera) dei termini di sicurezza e divulgazione indicati nello SLA ... giusto?

Ovviamente però, ho sbagliato comunque secondo il materiale di preparazione del test. Qualcuno potrebbe elaborare per favore?

Il materiale di preparazione del test considera "D. Requisiti aziendali" la risposta corretta.

    
posta Mike B 13.04.2018 - 16:56
fonte

2 risposte

1

I requisiti aziendali impongono tutto. Persino opzioni insicure, costose, obsolete o addirittura illegali. Business definisce lo SLA, definisce l'architettura, definisce ciò che rivelerà e cosa non lo farà. Definisce quali tasse pagheranno e quali saranno eluse.

Se l'azienda afferma che la nuova infrastruttura deve essere eseguita su MS-DOS, Netware ed Ethernet 10base2, cosa farai? Rifiuta di lavorare, prova a cambiare idea agli amministratori, o vai su eBay per acquistare una busta di connettori BCN ?

La sicurezza di solito non è implementata perché l'azienda lo vuole, ma di solito perché sono obbligati a farlo. La sicurezza è vista come una sincronizzazione monetaria. Non guadagni direttamente dalla spesa per la sicurezza, quindi la gestione di solito spende di più su persone, marketing e server. È un'area che non mostra nulla quando le cose vanno bene, ma viene grigliata quando le cose non vanno bene.

    
risposta data 13.04.2018 - 18:04
fonte
1

Lo SLA è in atto per garantire che i livelli di servizio siano raggiunti al fine di soddisfare i requisiti aziendali. I requisiti aziendali superano qualsiasi altra cosa. Ricevo il tuo ragionamento sopra, ma gli SLA non sono autonomi e siedono tra i controlli di sicurezza e i requisiti aziendali. Lo SLA può essere utilizzato per misurare i controlli di sicurezza, ma sono in grado di soddisfare i requisiti aziendali anziché solo per il gusto di farlo.

    
risposta data 13.04.2018 - 17:07
fonte

Leggi altre domande sui tag