展現云安全領導力時需要考慮什么?
企業的決策者必須將其各個領域的安全放在首位,而對于云計算來說,這一點并沒有什么不同。
但是,存儲設備生產商希捷公司最近發布的一個研究報告表明,盡管安全是數據存儲策略中經常被提及的驅動因素,但在大中型企業工作的行業專業人士中,有三分之二的人表示其安全性不足。
考慮到這一點,企業的決策者如何有效地展現云計算安全領導力?
確保完全可見
首先,企業領導者必須確保員工對從目標到性能的所有云計算運營和應用程序具有完全的可見性。
Netskope公司EMEA地區首席信息安全官Neil Thacker表示:“企業決策者可以通過獲得對云計算的真正了解對其組織真正意義的全面可見性和洞察力,來證明其在組織中的云安全領導地位。而只關注他們在AWS、Azure或谷歌云基礎設施或MS365或GSuit的部署,那么可能會喪失80%以上的云計算資產。
例如,企業擁有一個正在使用的所有云計算服務的實時清單,通常包括1000多個云計算應用程序,每個應用程序都代表一種風險。企業領導者應了解每種應用程序的業務和技術目標,同時還要考慮合規性要求、用戶體驗、性能、可靠性,以及最終的業務許可成本。
這些風險中的許多都可以通過一些基本原則來克服,例如保護每個云計算服務、確保與每個服務的連接安全、對每個服務應用威脅和數據保護,以及最終確保云計算安全的消費者(即員工)有一個安全和高性能的網絡來訪問這些服務。”
了解責任
展現這一領域的安全領導力還包括了解企業負責云計算部署的哪些方面,并承擔這些責任。
Orange Cyber??defense公司英國市場負責人Stuart Reed解釋說:“決定利用云計算的功能不僅是一項業務決定,還應考慮相關的責任及其對資源的影響。至關重要的是要記住,外包控制并不等于外包責任,企業領導者應了解云計算提供商處理哪些安全任務以及自己的組織負責哪些安全任務。
盡職調查是必不可少的,云計算提供商應至少具有與企業應用在自己的組織相同的風險框架和控制措施。在理想情況下應該更好。
隨著涉及配置不足的網絡泄露的案例不斷增多,重要的是要了解如何穩健地配置服務以確保最佳性能和安全性。證明安全性被包裝在云計算項目的核心而不是附件中,可以使安全性成為可擴展和可持續計劃的推動者。”
制定明確的戰略
企業在制定云安全策略時,應該牢記與云計算提供商之間的關系,了解雙方的責任,這樣安全人員就可以清楚地了解情況。
F5 Networks 公司首席技術官Lori MacVittie說,“公共云提供商都采用一種共享的安全責任模式,這種模式在服務提供商和企業之間有明確的劃分。也就是公共云提供商負責云計算基礎設施安全,企業負責應用程序和系統等其他事項的安全,從這個意義上講,沒有‘云安全’這個單一的概念。
這一區別很重要,因為在大多數情況下,企業IT員工對云計算基礎設施操作的知識有限。通過明確區分這兩方面,企業領導者可以了解其組織只對受其控制的系統和應用程序的安全性負責。這一區別還將重點轉移到IT團隊可以保護的領域,這使他們有信心推進保護公共云中應用程序和系統的策略和服務。
因此,企業領導層必須制定一個安全策略,清楚地描述操作和應用方面的問題。對于企業來說,這意味著要保護儀表板和控制臺,并適當遵守云提供商服務(例如Amazon S3)的最佳實踐。這兩者都是云計算安全的重要組成部分。
通過展現對共享云安全責任模式的認識,并就保護應用程序、系統和服務的需求提供明確的方向,企業領導者將幫助安全人員更加自信地實現云安全。”
自動化和DevOps
云計算提供商通常支持自動化和DevOps,并且這些技術能夠加快任務的完成。此外,它們還可以進行自動安全檢查,從而可以為安全人員騰出更多的時間。
Red Hat公司首席安全架構師Mike Bursell說:“有時候不必展現領導能力,因為已經掌握了一切。”一般而言,自動化為云計算的應用提供幫助,而云計算的安全性也必須實現自動化。
企業的安全控件需要集成到整個DevOps生命周期中,這樣就不會出現瓶頸,而企業中為數不多的安??全專家之一會在部署前檢查所有內容。與其相反,安全性應該是生命周期的一部分,并且是內置和自動化的,因此可以通過檢查異常來管理安全性:在出現問題時可以通過專家解決,如果一切都能正常進行部署,那可以實現自動化。這使企業的開發和運營團隊擺脫繁重瑣碎的人工檢查工作,并使企業的安全專家團隊可以專注于應對網絡攻擊和漏洞等真正的問題。”
警惕云蔓延
理光公司IT、通信和工作場所總監John Chambers認為,企業決策者要考慮的云安全領導力的最后一個方面是云蔓延的可能性。
Chambers說:“云計算應該被視為一項至關重要的長期投資,因為它無疑將使企業員工的工作更輕松,并有助于防止安全威脅。此外,基于云計算的基礎設施可以提供可擴展性和彈性,以提供適應季節性需求高峰所需的原始計算和存儲容量。
但是,需要注意避免‘云蔓延’——在這種情況下,額外的資源被激活,并在不再需要時沒有停用,這可能會導致不可預見的成本大幅增加。
云計算為企業在異常情況下繼續運作提供了更大的潛力。重要的是要記住,在家工作的只有員工個人和他們的設備,其余大部分業務活動都應該在云端進行。而現在員工開展的工作都能在任何地方進行。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號