欧美成人午夜精品免费福利,日韩成人免费在线视频,国产成人91精品

云計算場景：云風(fēng)險所有責(zé)任尚不清晰

責(zé)任編輯：jackye

作者：Dave Shackleford

2017-01-04 09:31:21

摘自：TechTarget中國

企業(yè)想使用基于云的服務(wù)和應(yīng)用；但是，安全團(tuán)隊需要評估風(fēng)險，并且提出適用于云環(huán)境的控制方案。CISO盡力應(yīng)對很多安全責(zé)任，包括審查技術(shù)性項目團(tuán)隊，并且溝通云風(fēng)險以及可能需要說服其他執(zhí)行官和董事會成員。

企業(yè)想使用基于云的服務(wù)和應(yīng)用；但是，安全團(tuán)隊需要評估風(fēng)險，并且提出適用于云環(huán)境的控制方案。聽起來很簡單，對吧？然而，保護(hù)云資產(chǎn)帶來了數(shù)不清的挑戰(zhàn)——因為云供應(yīng)商缺少透明度，控制方案無法天生適應(yīng)云環(huán)境。并且最常見的憂慮之一正是CISO所關(guān)注的：為業(yè)務(wù)里更多的云風(fēng)險制定所有權(quán)。

CISO盡力應(yīng)對很多安全責(zé)任，包括審查技術(shù)性項目團(tuán)隊，并且溝通云風(fēng)險以及可能需要說服其他執(zhí)行官和董事會成員。不幸的是，常見的誤解是信息安全組織“負(fù)責(zé)”IT項目的風(fēng)險，無論是本地項目還是云項目。對于那些嘗試更為靈活能夠適應(yīng)快速變更以及具有挑戰(zhàn)的業(yè)務(wù)需求的CIO來說，在和其他利益相關(guān)人討論云供應(yīng)商，安全控制和部署場景時，很容易就會忽略這些問題。

是安全官們站出來控制風(fēng)險評估相關(guān)的探討，并且完成審核的時候了。這樣業(yè)務(wù)所有人才能夠?qū)嶋H理解提出的云風(fēng)險并且為之負(fù)責(zé)——而不是由信息安全組織來負(fù)責(zé)。

1.成熟的風(fēng)險評估

在很多公司里——至少，在我工作的公司里，安全團(tuán)隊仍然掙扎著開發(fā)并且實現(xiàn)成熟的風(fēng)險評估，以及審核云項目的流程。原因有很多——安全團(tuán)隊沒有足夠的資源，管理層漠不關(guān)心，對變化反應(yīng)很慢，從DevOps團(tuán)隊回推回來等等。從供應(yīng)商管理那里買入和采購團(tuán)隊，讓法務(wù)團(tuán)隊參與，這些對于正確評估合同風(fēng)險至關(guān)重要。安全官們必須平衡輸入和所有團(tuán)隊的參與，提供云風(fēng)險相關(guān)的客觀建議。確保商業(yè)領(lǐng)導(dǎo)者理解如下幾點很重要：

將資產(chǎn)挪到云上并不會免除公司保護(hù)自己系統(tǒng)，應(yīng)用程序和數(shù)據(jù)的責(zé)任。

在披露云控制以及內(nèi)部安全實踐和流程里，云供應(yīng)商并不是完全透明的。任何風(fēng)險相關(guān)的討論，以及對某些風(fēng)險的接受，都必須警告所有利益相關(guān)人，他們很可能會需要基于受限的信息做出決策。

在進(jìn)行任何云部署之前，都需要仔細(xì)審核合規(guī)需求，并且這要求額外的資源和時間。另外，對于受合規(guī)以及監(jiān)管法則管控的數(shù)據(jù)，任何選中的云供應(yīng)商必須能夠滿足所有這些必需的需求。

法務(wù)和供應(yīng)商管理團(tuán)隊需要仔細(xì)審核所有合同語言，這也要求額外的資源和時間。任何新的云服務(wù)供應(yīng)商需要在業(yè)務(wù)部門簽署應(yīng)用程序和服務(wù)合同之前徹底地仔細(xì)檢查。

很有可能并非所有內(nèi)部的安全控制和流程都能在云環(huán)境里工作，這可能會危害到合規(guī)狀態(tài)，或者顯著增加云風(fēng)險。

要想創(chuàng)建出和當(dāng)前內(nèi)部安全狀態(tài)同等的安全條件，很可能需要額外的產(chǎn)品和服務(wù)。審核所有可選的方案需要時間和資源，很可能需要額外花費來確保云上的覆蓋率。這些花費還需要適應(yīng)云團(tuán)隊建議的財務(wù)和定價預(yù)測。

2.云安全策略

在任何公司里，董事會和CEO會最終負(fù)責(zé)新的IT項目帶來的任何風(fēng)險，并且會對決策帶來的任何違反或者妥協(xié)場景負(fù)責(zé)任。但是，安全官們必須確保業(yè)務(wù)領(lǐng)導(dǎo)者意識到他們實際上在做什么，并且對這些風(fēng)險負(fù)責(zé)。通常的看法是數(shù)據(jù)保管人——通常是IT團(tuán)隊，負(fù)責(zé)新項目期間導(dǎo)致的云風(fēng)險。解除這樣誤解的最佳起點是開發(fā)出包含下面幾點的全面的云安全策略：

清晰定義高層執(zhí)行官：沒有高層執(zhí)行官或者組織，云策略很可能就得不到在公司內(nèi)貫徹執(zhí)行所需的足夠支持。云安全策略還必須包括一些聲明，比如誰會“簽發(fā)”云供應(yīng)商。是CIO嗎？

數(shù)據(jù)類型和分類，明確哪些能夠放在云上哪些不能，或者首先需要什么樣的控制或額外度量。

需要解決的合規(guī)要求，如果有的話。

CISO必須確保對云計算服務(wù)的使用符合當(dāng)前現(xiàn)有法律的要求；符合IT安全最佳實踐、標(biāo)準(zhǔn)和需求；符合風(fēng)險管理策略。這也適用于隱私法規(guī)和規(guī)范。確保執(zhí)行官或者團(tuán)隊顯式簽署所有云計算的使用也很重要，并且他們要接受到文檔化的云風(fēng)險評估結(jié)果的通知。直到流程在公司內(nèi)被接受，云項目的真正風(fēng)險負(fù)責(zé)人才不會出錯——需要負(fù)責(zé)的是資深執(zhí)行官和數(shù)據(jù)所有者。

云計算 DevOps 安全策略