擁有超過2100萬美元資金的Netskope走出“隱形模式”,測量了超過2600個云應用的安全,并將其作為云應用安全報告的一部分公諸于眾,這家公 司計劃按照季刊的形式發(fā)布。基于從企業(yè)客戶收集的實時云應用用例數(shù)據(jù),這家廠商基于30項安全參數(shù)為應用打分,包括審計日志和云端分離的客戶數(shù)據(jù)。但是該公司的CEO表示,這些評級并不能簡單地用于封鎖風險應用。
Netskope CEO Sanjay Beri表示,這份報告背后的驅(qū)動力是為了教育客戶和企業(yè)云應用的安全性。他特別之處很多企業(yè)只是簡單的不知道在云端會發(fā)生什么,尤其是提及他們所使用的 應用,但是這些應用無需付費。比如,一些Netskope的企業(yè)客戶就不知道實際上使用了多少云應用,不管是公司外部共享的文檔,甚至是共享的敏感文檔是 否得到正當保護。
但是Beri并不希望企業(yè)簡單的基于他們的安全排名就犯了封鎖應用這樣的錯誤。實際上,他將封鎖應用的方法描述為“保守派”。他繼續(xù)說道,當業(yè)務部門的生 產(chǎn)力更高的時候,安全團隊不再不加選擇地對應用說“NO”。相反,安全團隊必須找到一種途徑說“YES”,但是要給出警告事項。
盡管可以提前設置這樣的策略,但是企業(yè)必須首先能夠很好的理解云應用如何使用。Beri描述了一個場景,12個云存儲應用應用于企業(yè)內(nèi) 部,Netskope的評級中,6個被認為是有風險的。并不是要任意地鎖定這六個應用,企業(yè)應該研究實際上每個應用有多少人在用,共享了哪些內(nèi)容,以及由 于他們的使用會導致哪些風險。如果只是兩個用戶利用一個風險應用,企業(yè)就應該簡單地告知他們遷移到更加安全的選擇上。如果敏感內(nèi)容上傳到一個應用,企業(yè)應 該封鎖上傳,而不是封鎖應用。
“因此你可以對風險性高的應用實行‘手術’,一些必須的應用則可以縮減。主要看一下用例模式并利用這種模式做出業(yè)務決策,”他評論道,“這并不是說‘有六個高風險應用?關了’,而是要先了解這些應用。”
Beri澄清道,一個應用被Netskope評為低風險并不意味著這個應用可以隨時部署到企業(yè)中。該廠商的報告指出即便一些最安全的云應用仍舊缺少一些性 能,這些性能對于企業(yè)的用例可能是必須的。當這樣的應用被部署,IT團隊必須實施額外的控制,將風險降到企業(yè)可以接受的最低程度。
“看待這份報告要留有一定的保留性,‘這個應用本身符合一些嚴格的條件,但是我還需要看看自身的解決方案環(huán)境,看是否可以管理這個應用,’”Beri說道。
在這份報告中,知名服務,比如Salesforce.com、Box和Amazon Web服務被評為最安全的云應用。頂尖的應用請先與有審計日志這樣的功能,能夠分離客戶數(shù)據(jù),而一些低評級的應用則缺少這些功能,而這些則是很多企業(yè)考慮 的基礎安全功能。應用分類也做了評級,企業(yè)資源計劃、文檔管理和安全應用表現(xiàn)良好,而軟件開發(fā)、市場和生產(chǎn)率應用則墊底。
整體而言,大多數(shù)云應用包含災難恢復和分區(qū)的數(shù)據(jù)備份功能,但是大多數(shù)不能加密數(shù)據(jù)或者管理密鑰。Beri指出,加密還會是一個熱門的話題,而且是否應該由云應用廠商負責還尚不清晰。出于這種觀點,廠商應該有一個加密的策略在將自身的產(chǎn)品推銷給客戶。
盡管看起來似乎很嚇人,企業(yè)會發(fā)現(xiàn)云應用缺少一些基本的安全功能,Beri表示報告中也指出即便是最安全的應用也并不一直是安全的。相反,他說這些應用是廠商認為的重要的,也是其核心競爭力產(chǎn)品的部分。
Beri說:“任何應用一開始都是低風險的應用,他們也會隨著時間發(fā)展而產(chǎn)生變化。”
京公網(wǎng)安備 11010502049343號