當(dāng)我與董事會(huì)成員討論有關(guān)云安全事宜的時(shí)候,我發(fā)現(xiàn)他們可大致分為兩類:一類是顧慮到安全問(wèn)題反對(duì)把企業(yè)數(shù)據(jù)遷移至云平臺(tái)的,這類人為數(shù)較少;另一類人為數(shù)較多,他們雖擔(dān)心云安全問(wèn)題,但已經(jīng)主動(dòng)或不經(jīng)意地開(kāi)始使用云服務(wù)。這些人連同他們所在的企業(yè)正在使用Office 365、Salesforce或者Amazon Web Service (AWS)等云平臺(tái),這表明他們已經(jīng)決定將數(shù)據(jù)放在云上面。實(shí)際上他們?cè)谙蛟七w移的征程中已經(jīng)邁出了第一步,但在決策時(shí)沒(méi)有將可能面臨的安全風(fēng)險(xiǎn)考慮在內(nèi)。
我們暫且不管這些董事屬于何方陣營(yíng),我認(rèn)為有一點(diǎn)非常重要,那就是一個(gè)企業(yè)的首席信息安全官 (CISO) 必須要參與到有關(guān)云安全的討論當(dāng)中,只有這樣才能讓企業(yè)高層明白在安全方面不能只做“事后諸葛”,而是要居安思危,未雨綢繆。鑒于此,我向各位企業(yè)首席信息安全官提出如下四點(diǎn)建議:在與董事會(huì)討論云安全相關(guān)話題時(shí),這些建議需要你們重點(diǎn)強(qiáng)調(diào)。
一、 云也是一種風(fēng)險(xiǎn)
談及云安全的重要性,只有強(qiáng)調(diào)它會(huì)給業(yè)務(wù)帶來(lái)風(fēng)險(xiǎn)時(shí),董事們才更容易有所觸動(dòng)。各位董事每天都在圍繞風(fēng)險(xiǎn)做出決策,云只是所有風(fēng)險(xiǎn)里的一種。在每一場(chǎng)有關(guān)云安全的談話中,董事會(huì)成員都應(yīng)該先問(wèn)自己一個(gè)問(wèn)題,而這個(gè)問(wèn)題在任何一場(chǎng)有關(guān)風(fēng)險(xiǎn)話題的談話中都有可能會(huì)提及,那就是:當(dāng)我們把數(shù)據(jù)部署于云,如何做才能降低這些風(fēng)險(xiǎn)帶給企業(yè)的實(shí)質(zhì)性影響?
任何一款云應(yīng)用使用的數(shù)據(jù)都有所不同,這需要企業(yè)有針對(duì)性地進(jìn)行評(píng)估。例如,如果企業(yè)在云上存儲(chǔ)的是面向大眾的營(yíng)銷資料,資料泄露帶給業(yè)務(wù)的風(fēng)險(xiǎn)就不是很高。但另外一方面,如果是某一新品的源代碼庫(kù),那么泄露所帶來(lái)的風(fēng)險(xiǎn)必定是貽害無(wú)窮。
二、 公有云自帶的安全措施遠(yuǎn)遠(yuǎn)不夠
董事們應(yīng)該掌握公有云自身以及如何確保公有云安全的最基本認(rèn)識(shí)。幾乎所有云供應(yīng)商都會(huì)在其平臺(tái)上內(nèi)置某種形式的安全措施。此外,使用者往往都認(rèn)定這些由供應(yīng)商提供的安全措施足夠有效,但事實(shí)上卻遠(yuǎn)非如此。在安全方面企業(yè)和公有云供應(yīng)商應(yīng)該有著同等的責(zé)任:平臺(tái)基礎(chǔ)設(shè)施的安全應(yīng)該由云供應(yīng)商負(fù)責(zé),而確保數(shù)據(jù)安全則是企業(yè)的責(zé)任。
現(xiàn)實(shí)情況是,云上存儲(chǔ)的數(shù)據(jù)與企業(yè)內(nèi)部存儲(chǔ)的數(shù)據(jù),在安全性方面毫無(wú)差異。因此說(shuō),如果你需要部署額外安全措施來(lái)保護(hù)那些非云上存儲(chǔ)的數(shù)據(jù),那對(duì)于云上存儲(chǔ)的數(shù)據(jù)就更需要采取措施來(lái)進(jìn)行保護(hù)。此外,你所部屬的安全措施要能夠與其他安全架構(gòu)實(shí)現(xiàn)完全集成,并以高速自動(dòng)化的方式進(jìn)行協(xié)作。只有這樣,企業(yè)才有更大的機(jī)會(huì)防御網(wǎng)絡(luò)攻擊,保護(hù)數(shù)據(jù)免于外泄。
三、 云安全并不另類
云安全經(jīng)常被看作是“另類”安全,需要另類的方法來(lái)處理。每當(dāng)聽(tīng)到有人如此表述的時(shí)候,我一般會(huì)問(wèn)同一個(gè)問(wèn)題給他們:這樣的話,用我們?nèi)ス芾砭W(wǎng)絡(luò)邊緣、數(shù)據(jù)中心和移動(dòng)設(shè)備安全的方式,來(lái)管理云服務(wù)安全,豈不更好?
董事們都應(yīng)該支持在企業(yè)內(nèi)實(shí)施始終如一的安全措施,這不但可行,而且也是在云、網(wǎng)絡(luò)和端點(diǎn)成功阻截網(wǎng)絡(luò)攻擊的唯一希望。首席信息安全官們知道對(duì)多重安全措施和產(chǎn)品進(jìn)行管理和編排,會(huì)使安全環(huán)境變得復(fù)雜,產(chǎn)生偏差和風(fēng)險(xiǎn)的幾率大大增加,同時(shí)提高成本。強(qiáng)調(diào)那些風(fēng)險(xiǎn)和潛在的花費(fèi)是董事們欣賞并理解的行為,因此也會(huì)正確地區(qū)分優(yōu)先次序。
四、 保護(hù)云安全也是防御哲學(xué)中的一部分
在網(wǎng)絡(luò)安全方面,我遇到的那些積極的董事都已經(jīng)開(kāi)始采用防御哲學(xué)來(lái)指導(dǎo)工作。這套哲學(xué)的基礎(chǔ)是對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)一致的可視化和保護(hù),無(wú)論是對(duì)數(shù)據(jù)中心、網(wǎng)絡(luò)邊緣、移動(dòng)設(shè)備亦或是云。在各位首席信息安全官的協(xié)助下,這些董事開(kāi)始明白:要想阻止悲劇發(fā)生,就應(yīng)該將防御設(shè)定為主要目標(biāo),并成為在安全方面投資的決策基礎(chǔ)。對(duì)于那些希望能夠說(shuō)服董事會(huì)成員的首席信息安全官來(lái)說(shuō),最重要的是要能夠向其展示一套完整的安全方案是如何實(shí)現(xiàn)包括云在內(nèi)的各類安全的,以及最終是如何消除業(yè)務(wù)風(fēng)險(xiǎn)、阻截網(wǎng)絡(luò)攻擊的。
關(guān)于Palo Alto Networks
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過(guò)有效防御網(wǎng)絡(luò)攻擊來(lái)保護(hù)數(shù)字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬(wàn)家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開(kāi)創(chuàng)性的Security Operating Platform,通過(guò)持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過(guò)提供最真實(shí)的平臺(tái),并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng),并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。更多內(nèi)容,敬請(qǐng)登錄Palo Alto Networks官網(wǎng)www.paloaltonetworks.com。
Palo Alto Networks、Palo Alto Networks 徽標(biāo)及PAN-OS是 Palo Alto Networks, Inc. 在美國(guó)及全球行政轄區(qū)的商標(biāo)。這里使用或提到的所有其他商標(biāo)、商號(hào)或服務(wù)商標(biāo)均歸其相應(yīng)所有者所有。
公關(guān)聯(lián)系人:
Palo Alto Networks
中國(guó)區(qū)市場(chǎng)經(jīng)理
趙鑫
(+86) 10 5759 3110
智匯公關(guān)
譚新良
(+86) 10 6581 0096 ext.201
敬請(qǐng)關(guān)注Palo Alto Networks官方微信賬號(hào)
京公網(wǎng)安備 11010502049343號(hào)