云應(yīng)用的普遍使用給負(fù)責(zé)管理企業(yè)云平臺(tái)的IT和安全人員帶來了很多阻礙和挑戰(zhàn)。據(jù)Ponemon Institute所做的調(diào)查顯示超過半數(shù)受訪者所在企業(yè)正在向云端轉(zhuǎn)移機(jī)密或敏感數(shù)據(jù),然而57%的運(yùn)維人員承認(rèn)自己對(duì)于敏感信息的存儲(chǔ)并沒有一個(gè)全面的認(rèn)識(shí)。
云計(jì)算正在全球范圍內(nèi)向各行各業(yè)擴(kuò)展,顯而易見基于云的SaaS應(yīng)用會(huì)越來越多地取代現(xiàn)有的關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)。很多企業(yè)都看到了應(yīng)用云計(jì)算的好處,但挑戰(zhàn)與顧慮是難免的。本文中列舉了幫助企業(yè)應(yīng)對(duì)有關(guān)云計(jì)算的隱私、法規(guī)及安全問題的18個(gè)小貼士,希望可以使企業(yè)更順利地使用云計(jì)算。
問題
用戶的風(fēng)險(xiǎn)意識(shí):商業(yè)用戶只看到云應(yīng)用提高生產(chǎn)力的一面,而IT部門又不十分了解企業(yè)數(shù)據(jù)在應(yīng)用中的使用方式。有些商業(yè)用戶還會(huì)撇開IT與安全政策自己去訂閱云服務(wù)。
云服務(wù)條款:企業(yè)所遵守的數(shù)據(jù)相關(guān)政策標(biāo)準(zhǔn)與云服務(wù)提供商所遵守的并不相同,但用戶在訂閱云應(yīng)用時(shí)看到使用條款就直接點(diǎn)同意了。
虛擬化:虛擬化技術(shù)是SaaS和云平臺(tái)的核心,但它自身也有一定的安全風(fēng)險(xiǎn)。作為云計(jì)算用戶,應(yīng)主動(dòng)了解云服務(wù)提供商所使用的虛擬化技術(shù)并在必要時(shí)采取適當(dāng)?shù)拇胧┮越档惋L(fēng)險(xiǎn)。
身份驗(yàn)證與訪問控制:Perspecsys公司的研究顯示31%的受訪企業(yè)不允許員工通過移動(dòng)設(shè)備訪問云應(yīng)用中的企業(yè)數(shù)據(jù),但堵不如疏,積極主動(dòng)地采取安全措施才能保證無論存儲(chǔ)于何處都保證數(shù)據(jù)處于保護(hù)中。
數(shù)據(jù)控制權(quán):云計(jì)算技術(shù)應(yīng)用中碰到的數(shù)據(jù)隱私問題正在阻礙云計(jì)算的應(yīng)用,使用公有SaaS云服務(wù)就相當(dāng)于將數(shù)據(jù)交給云服務(wù)提供商,因此企業(yè)正面臨敏感信息的控制權(quán)問題。
數(shù)據(jù)存儲(chǔ)位置:某些客戶信息需要存儲(chǔ)于特定的地理位置,這是企業(yè)經(jīng)常碰到的一個(gè)問題。如此一來企業(yè)就很難使用在世界其他地區(qū)運(yùn)營的云服務(wù),監(jiān)管和數(shù)據(jù)隱私顧慮使得數(shù)據(jù)存儲(chǔ)位置成了企業(yè)應(yīng)用云計(jì)算過程中的一個(gè)重大挑戰(zhàn)。
數(shù)據(jù)隱私:商業(yè)敏感數(shù)據(jù)通常需要更嚴(yán)格的保護(hù)。無論儲(chǔ)存在企業(yè)內(nèi)部或是云端,數(shù)據(jù)發(fā)生泄露倒霉的都是企業(yè)自身。所以無論數(shù)據(jù)儲(chǔ)存在哪里都有必要采取嚴(yán)格的安全措施。
法律法規(guī):企業(yè)對(duì)于敏感信息的使用和保護(hù)必須要遵守相關(guān)的法律法規(guī)。
數(shù)據(jù)保護(hù)條款:越來越多的企業(yè)要求對(duì)云服務(wù)提供商所維護(hù)的數(shù)據(jù)進(jìn)行一定的處理,例如采取更嚴(yán)格的安全措施。
應(yīng)對(duì)
開放:企業(yè)IT部門需要尋找在遵守行業(yè)標(biāo)準(zhǔn)等方面持開放態(tài)度的云技術(shù),同時(shí)也需要相互之間能夠進(jìn)行對(duì)接集成的安全解決方案以使云端環(huán)境在使用中可以得到完全的信任。
追蹤企業(yè)數(shù)據(jù):今天的數(shù)字經(jīng)濟(jì)時(shí)代,信息可以自由地流動(dòng),這使得追蹤敏感信息變得越來越難。所以企業(yè)應(yīng)當(dāng)了解企業(yè)內(nèi)部及云端所使用的數(shù)據(jù)安全工具,特別是云數(shù)據(jù)加密和記號(hào)化工具。
測試:Caliber Security Partners的John Overbaugh表示:對(duì)網(wǎng)絡(luò)和架構(gòu)進(jìn)行測試是重要的安全策略。雖然部署到云上與傳統(tǒng)的部署方式相比有一些變化,但還是有辦法做測試的,重點(diǎn)是提前規(guī)劃、修改測試的策略以及管理領(lǐng)導(dǎo)層的期望,但最重要的還是在進(jìn)行測試之前和測試中做好與云服務(wù)提供商和安全機(jī)構(gòu)的溝通工作。
備份:無論數(shù)據(jù)是否儲(chǔ)存在云端,備份都是一個(gè)好主意。
使用多個(gè)云服務(wù):使用多個(gè)不同云服務(wù)的策略可以降低數(shù)據(jù)丟失或系統(tǒng)宕機(jī)的風(fēng)險(xiǎn),企業(yè)可以開發(fā)在不同云環(huán)境中實(shí)施統(tǒng)一的數(shù)據(jù)保護(hù)政策的安全平臺(tái),如果可以簡化密匙和政策管理就更好了。
安全教育:除了流程和技術(shù),人的因素對(duì)信息安全也有著關(guān)鍵的影響,提前對(duì)企業(yè)雇員進(jìn)行安全教育才能避免他們犯下大錯(cuò)。
建立全面的數(shù)據(jù)管理政策:為了符合企業(yè)內(nèi)部和法律上的數(shù)據(jù)隱私要求,必須建立起行之有效的數(shù)據(jù)管理政策,數(shù)據(jù)應(yīng)根據(jù)敏感性進(jìn)行分類并根據(jù)其分類施以相應(yīng)的安全手段。
實(shí)施數(shù)據(jù)安全服務(wù):企業(yè)可以考慮在公司內(nèi)部以軟件即服務(wù)的形式實(shí)現(xiàn)加密和記號(hào)化這樣的功能,如此便可以減少在云端儲(chǔ)存和處理數(shù)據(jù)的安全風(fēng)險(xiǎn)。
正確的加密方式:密匙和數(shù)據(jù)應(yīng)分開儲(chǔ)存。IT部門應(yīng)負(fù)責(zé)密匙的保管并確保加密算法的強(qiáng)度,同時(shí)還應(yīng)確保數(shù)據(jù)加載到內(nèi)存之后仍然得到有效保護(hù)。
通常數(shù)據(jù)在處理過程中不會(huì)云端的加密算法所保護(hù),所以企業(yè)最好自己掌控敏感數(shù)據(jù)的加密過程。
京公網(wǎng)安備 11010502049343號(hào)