Intel安全部門對于云接受程度的最新調研給企業帶來了一些好消息和壞消息。好消息是,根據一份超過1200名IT決策制定人員參與的調查報告,云相關的數據破壞頻率是很低的。但是壞消息是這些決策制定人員認為遷移的挑戰是他們面臨的最為常見的問題。從安全的角度看,將工作負載和數據移上云端時,要么是從內部數據中心移動到云上,要么是從一個云供應商處移動到另一個供應商處,肯定會面臨很多挑戰。
云遷移最主要的挑戰之一是,根據政策和數據分類需求,確保僅僅那些合適類型的數據會移動到云上。很多企業發現敏感信息也會在云上出現,他們其實根本沒有這么計劃,這通常是因為和項目團隊缺乏溝通,或者缺少對風險的理解所致,或者兩者皆有。Intel安全部門的研究里所引用的SANS調研說,40%的受訪者提到他們在云上存儲或者處理敏感數據(編者按:為Intel安全報告提供消息的作者)。其他60%認為沒有這種情況發生的受訪者,則需要小心定義政策,規定哪些數據能遷移到云上,哪些不能。
很多企業面臨的云遷移的另一個挑戰是,他們認識到并不是所有的云供應商都提供相同的服務和功能,因此,供應商綁定幾乎在所難免。項目團隊在某個特定的云供應商那構建了基礎架構之后,將特定格式的數據和系統移動到其他環境會相當困難,甚至不可能。同樣地,基于這兩個原因,從云環境上導出數據也會成為企業的負擔。
首先,從云供應商那里獲得海量數據可能需要合同里的特別條款約定,很可能要求向供應商提供存儲硬件來支持這樣的轉移。第二,導出的數據格式可能和其他供應商甚至和內部系統或者應用程序不兼容。一開始就搞清楚這些至關重要,需要確保所有數據能夠導出成企業能夠使用的格式。
安全團隊需要在云數據遷移前花時間評估目前所使用的安全控制方法,隨后比對云供應商環境里可用的方案。一定會存在這樣的情況,一些安全控制方法——和/或者供應商,在云供應商環境里可能不可用,如果沒有發現并且適當處理這些情況的話,部署就可能缺失關鍵的安全控制。云環境里無法匹配已有的安全控制方法可能會導致數據外泄、破壞,至少會導致違規。
云遷移挑戰的另一個大問題是缺少盡職的調查,來正確評估服務提供商及其安全能力。現在大部分有名氣的供應商都至少提供了SSAE 16 SOC 2,并且一些供應商還能夠提供關注于ISO 27001或者合規要求,比如PCI DSS或者HIPAA的更多深度報告。供應商管理,法務和安全以及合規團隊需要要求云供應商回答安全調查表,并且決定該供應商的風險等級。
很多公司選擇基于Cloud Security Alliance Consensus Assessments Initiative Questionnaire(云安全聯盟一致性評估工作組調查問卷)來構建自己的調查表,一些供應商已經準備好了這些問題的回答。審核這些回答可能會發現很多主要的安全挑戰,比如,加密密鑰管理和訪問,身份管理兼容性,可用的網絡控制,以及云供應商是否能夠滿足多租戶的法律和鑒證請求。
如果說為了幫助減輕云遷移的痛苦有什么靈丹妙藥的話,那就是計劃。對于所有的云項目,務必要求安全團隊參與政策的構建,確定盡職調查項目應該是什么樣子的,并且確保不要移動到任何控制和數據兼容性缺少或者不足的云服務上。
京公網安備 11010502049343號