企業之中,云風險評估經常會半途而廢,但是如果有了標準或框架,這一流程將會得到簡化。Expert Dave討論了一些可行的選項。
隨著企業不斷向云中遷移的速度加快,你可能很自然地就會想到安全和合規團隊將會對所使用的云服務提供商和云服務進行深入的風險評估。可悲的是,事實并不想像那樣。
Tenable Network Security最近發布了“2017全球網絡安全保證報告卡”發現,云風險評估在全世界范圍內,被認為是最大的企業安全漏洞之一。該報告顯示,60%的受訪者有能力執行云風險評估,但這一數字從前一年開始下降。另外,許多人對于他們的風險評估能力,以及容器化和DevOps 環境并不自信,這兩者在當今企業的許多云部署方案中都起著關鍵作用。
許多企業為風險評估而努力有幾個原因。首先,云部署涉及的一些技術較新,且演進比較快,導致多數情況下的具體安全控制和風險參數無法確定。此外,云提供商在不斷地更新和改變他們的環境和服務產品,使得風險評估的確保成為了一個移動的標靶。再加上變化的合規性和監管環境,致使執行云為核心的風險評估更加讓人生畏。
云風險評估沒有進行的另一個原因,有可能是由于云安全技能短缺,更有可能是缺乏足夠的人力來完成工作。
云風險評估框架
幸運的是,有幾個組織正在努力創建和發布云風險評估框架和標準,企業風險團隊可以利用這些機制來幫助指導和執行自己的風險分析工作。
歐洲網絡和信息安全局(ENISA)發布了一個合理的風險評估框架,可用于確定涉及云的風險。
ENISA發布了兩個文檔——一個是一般的云信息保證框架,所有組件都需要評估云基礎架構的安全性; 第二份文件是框架補充指南,提供了總體風險評估綱要。ENISA文檔提供了云計算風險的主要類別,包括人員安全、物理安全、操作、應用程序保證等等。
可以幫助組織從安全角度評估云供應商環境的另一個指南是,云安全聯盟(CSA)共識評估計劃調查問卷。這一指南涵蓋了許多與ENISA相同的領域,但也符合CSA Cloud Controls Matrix,并且比ENISA文檔更新更頻繁。
最后一個文檔,可能會在規劃云風險評估時發現可以用的上,它是來自于“共享評估”的“云風險”指南,該指南提出了與云風險審查有關的一些建議,但不像ENISA或CSA那樣提供了可用的框架。
無論以哪個框架組織為起點——并且審查和使用不止一個參考和建議將更有優勢,而安全和風險團隊需要增強和修改這些指南,從而來滿足自己獨特的需求。
此外,這些指南對于混合云架構的內部控制具有較少的規定;相反,它們主要側重于云提供商內部和/或向租戶提供的控制。
要確保強調了數據安全控制,如加密和密鑰管理、基于角色的訪問控制和多因素身份驗證、數據生命周期控制和法律請求,以及合同中的數據泄露通知。
最重要的是,確保要有一個治理計劃,有助于在安全團隊和其他業務利益相關者之間進行有關云風險的有意義的對話。 管理人員應該對云部署、對企業的潛在影響以及他們可用選項存在的風險有很好的了解。開發一個記錄良好且可重復的云風險評估流程是實現此目標的最佳途徑。
京公網安備 11010502049343號