云計(jì)算可以提供多種好處�����,其中包括快速擴(kuò)展和縮小以滿足用戶需求��。但由于對(duì)云計(jì)算安全性的擔(dān)憂�,金融服務(wù)等高度監(jiān)管的行業(yè)領(lǐng)域中的組織在采用云計(jì)算技術(shù)方面的進(jìn)展很慢。
企業(yè)如何在保持安全的同時(shí)從云計(jì)算中獲得最大收益?
這種情況開始發(fā)生變化:亞馬遜公司和微軟公司等基礎(chǔ)設(shè)施即服務(wù)(IaaS)巨頭正在將其數(shù)據(jù)中心的足跡擴(kuò)展到多個(gè)地點(diǎn)�����,從而可以將受監(jiān)管行業(yè)的信息存儲(chǔ)在本地����。與此同時(shí)���,安全控制和策略正在幫助企業(yè)利用云計(jì)算的軟件即服務(wù)(SaaS)應(yīng)用程序(如Salesforce)來提高效率�����,并加強(qiáng)協(xié)作�。
如今��,在某些情況下�����,云計(jì)算被認(rèn)為比內(nèi)部部署的解決方案更安全��。但是���,該技術(shù)還增加了必須考慮的安全風(fēng)險(xiǎn)��。那么企業(yè)如何保持安全����,同時(shí)從云計(jì)算中獲得最大收益?
在實(shí)施云計(jì)算之前,企業(yè)和技術(shù)領(lǐng)導(dǎo)者需要了解風(fēng)險(xiǎn)����。重要的是,隨著網(wǎng)絡(luò)攻擊量的增加��,云計(jì)算成為了尋找竊取數(shù)據(jù)或滲透系統(tǒng)的犯罪分子的目標(biāo)���。
賽門鐵克公司技術(shù)服務(wù)部首席技術(shù)官兼副總裁Darren
Thomson表示���,“事實(shí)上,基礎(chǔ)設(shè)施層面的云平臺(tái)已被證明是一種極好的病毒傳播器�,如果實(shí)例上存在病毒,由于這些環(huán)境的擴(kuò)展方式��,病毒將會(huì)很快傳播�。”
同時(shí)����,錯(cuò)誤配置可能會(huì)導(dǎo)致嚴(yán)重的問題�。Thomson表示��,“人們可能會(huì)錯(cuò)誤地配置操作或者沒有正確修補(bǔ)操作系統(tǒng)��,這使得它很容易受到攻擊�����?���!?/p>
云計(jì)算應(yīng)用程序可以使事情進(jìn)一步復(fù)雜化:用戶希望提高效率���,但這會(huì)導(dǎo)致 “影子IT”的問題�����,因?yàn)榧夹g(shù)領(lǐng)導(dǎo)者會(huì)失去組織內(nèi)部使用軟件的控制�����。
Gemalto公司數(shù)據(jù)保護(hù)服務(wù)高級(jí)總監(jiān)Gary Marsden對(duì)誰應(yīng)該對(duì)保護(hù)云計(jì)算中的敏感或機(jī)密數(shù)據(jù)負(fù)最大責(zé)任進(jìn)行了解釋��。
云安全的逐步方法
保護(hù)云安全對(duì)于企業(yè)來說令人生畏���,因此���,專家建議采用逐步的方法。德勤公司英國(guó)分公司網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)總監(jiān)Jayme
Metcalfe說����,“我會(huì)考慮到風(fēng)險(xiǎn)管理。例如用戶的云服務(wù)預(yù)期用例是什么?在用戶實(shí)施任何事情之前�,應(yīng)該有一個(gè)端到端的理解。這是很多企業(yè)倒閉的地方�。他們想遷移到云平臺(tái),但不了解業(yè)務(wù)風(fēng)險(xiǎn)�。”
事實(shí)上��,在遷移到云端之前����,建設(shè)性地應(yīng)用安全性可以成為業(yè)務(wù)推動(dòng)者,英國(guó)電信公司安全創(chuàng)新架構(gòu)師Richard
Baker表示����,“挑戰(zhàn)在于移動(dòng)到云端的組織如何平衡靈活性和成本的機(jī)會(huì)��,以及他們所提供的元素的風(fēng)險(xiǎn)����?��!?/p>
關(guān)于云安全:關(guān)鍵是評(píng)估風(fēng)險(xiǎn)
他將這種方式與消費(fèi)者注冊(cè)Facebook等網(wǎng)站�,讓他們看到自己的某些情況進(jìn)行了比較��,并補(bǔ)充說�����,“組織需要審視自己的態(tài)度����,并接受風(fēng)險(xiǎn)���。關(guān)鍵是評(píng)估企業(yè)的風(fēng)險(xiǎn)���,并充分了解其數(shù)據(jù)所在?����!?/p>
Qualys公司EMEA地區(qū)首席技術(shù)安全官Darron Gibbard表示:“了解IT資產(chǎn)非常重要。如果不知道有什么��,那么怎么能保護(hù)它?”
考慮到這一點(diǎn)�,ECS公司負(fù)責(zé)人Allan Brearley強(qiáng)調(diào),可見性是云計(jì)算部署的關(guān)鍵����。
“企業(yè)需要了解實(shí)際擁有的數(shù)據(jù)以及需要保護(hù)的數(shù)據(jù)非常重要。應(yīng)該有一個(gè)數(shù)據(jù)庫(kù)����,而這是必要的?��!?/p>
Thomson認(rèn)為企業(yè)需要評(píng)估數(shù)據(jù)��。他說����,“云計(jì)算訪問安全代理(CASB)是位于云計(jì)算和用戶之間的軟件�,可以提供幫助。它允許企業(yè)評(píng)估數(shù)據(jù),并具有可見性�����。但缺點(diǎn)是�,我們需要告訴云計(jì)算訪問安全代理(CASB)要看到些什么?�!?/p>
云安全的其他考慮因素
PA咨詢公司的網(wǎng)絡(luò)安全負(fù)責(zé)人Elliot
Rose表示����,在使用云計(jì)算IaaS時(shí),企業(yè)需要確保自己的軟件開發(fā)考慮到安全要求�����。Rose說���,“例如�,它是如何托管的����,誰托管它?是什么控制水平?”
Thomson解釋說:“另一個(gè)重要的考慮因素是提供者和客戶之間的共同責(zé)任模型���。在該模型下�����,云計(jì)算提供商負(fù)責(zé)基礎(chǔ)設(shè)施����,因此他們的數(shù)據(jù)中心的物理安全性就是他們面臨的主要問題。例如��,如果企業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施被黑客入侵����,他們還要對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全負(fù)責(zé)。他們有時(shí)還要對(duì)虛擬機(jī)管理程序本身負(fù)責(zé)�����,但并不對(duì)客戶的數(shù)據(jù)負(fù)責(zé)����。”
另一個(gè)考慮因素取決于組織所在的行業(yè)����。不同類型的企業(yè)將有不同的數(shù)據(jù)保護(hù)需求:例如���,政府機(jī)構(gòu)或金融公司必須遵守比零售商更嚴(yán)格的監(jiān)管指導(dǎo)準(zhǔn)則。但是����,根據(jù)歐盟數(shù)據(jù)保護(hù)法規(guī)(GDPR),所有公司都有責(zé)任保護(hù)客戶和用戶數(shù)據(jù)����。
Rose說,現(xiàn)在有一種由監(jiān)管驅(qū)動(dòng)的安全設(shè)計(jì)方法��。他還指出用戶有責(zé)任深入挖掘��,查看供應(yīng)鏈�����,并實(shí)施數(shù)據(jù)影響評(píng)估���。
與此同時(shí)���,McAfee公司數(shù)據(jù)隱私專家Nigel
Hawthorn指出,“如果你是數(shù)據(jù)控制者�,那么仍然需要對(duì)信息負(fù)責(zé),無論使用哪種數(shù)據(jù)處理器���,還是將其外包給任何人���,其中包括云計(jì)算?��!?/p>
保護(hù)云計(jì)算曾經(jīng)是一項(xiàng)艱巨的任務(wù)��,但如今可以應(yīng)用多種控制和保護(hù)����。作為其中的一部分�,員工的支持是關(guān)鍵:企業(yè)可以培訓(xùn)員工使用已批準(zhǔn)的版本,而不是阻止云計(jì)算應(yīng)用或服務(wù)��。在技術(shù)方面�,專家提倡基本的安全控制,如加密和雙因素身份驗(yàn)證���。
此外�����,Gibbard認(rèn)為擁有合適的工具集非常重要�,包括網(wǎng)絡(luò)掃描和修補(bǔ)。他表示����,后者是在任何環(huán)境中防止網(wǎng)絡(luò)攻擊的簡(jiǎn)單方法。
Gibbard表示��,同時(shí)�,持續(xù)監(jiān)控使企業(yè)能夠跟蹤其環(huán)境中的數(shù)據(jù),他還提倡基于角色的訪問控制和確?�?梢栽L問正確的系統(tǒng)數(shù)據(jù)��。
一旦企業(yè)掌握了他們需要做出安全保護(hù)的操作�����,就該開始研究遷移到云端的東西����。正如Thomson警告的那樣:“沒有人擁有無限的預(yù)算,因此將所有內(nèi)容放入云端����,并在云平臺(tái)添加安全應(yīng)用程序是不現(xiàn)實(shí)的�。所有這些都需要評(píng)估����?�!?/p>
