國際信息安全學習聯盟(CISA)的注冊信息系統安全專家(CISSP)Christopher Steffen說,“混合云環境是動態和復雜的,由于多個終端用戶從多個地點訪問多個環境而變得更加復雜。”Steffen是Cyxtera公司的技術總監,Cyxtera公司最近收購了Steffen之前任職的安全產品提供商Cryptzone公司。
Steffen和其他安全專家討論了企業的首席信息官及其團隊在保護混合云環境時必須牢記的關鍵問題。企業需要優先考慮以下八項關鍵要素:
1.企業確保具有完整的可視性
CBI公司戰略計劃副總裁、網絡安全資深專家J. Wolfgang Goerlich指出,在IT行業中,很多首席信息官和其他IT領導者經常在他們的環境中存在盲點,或者他們在他們的內部部署的基礎設施的認識方面過于狹隘。
既然企業及其最終用戶可以使用數百個基于云計算的應用程序,并且多個部門可以在基礎設施即服務平臺上創建自己的虛擬服務器,那么跨私有云、公共云和傳統基礎設施的完整可見性就是必須的。Goerlich說,缺乏可見性會給企業帶來更大的安全風險。
2. 每一個資產都需要擁有者
如果企業缺乏全方位的可見度,那么有可能缺乏所有權。企業的每一個混合云設施都需要一個擁有者。
Goerlich說:“IT安全的一個關鍵原則是需要一個擁有者,確認每個資產,并讓擁有者負責對資產的最小權限和責任分工。缺乏可見度會導致缺乏所有權。這意味著,在通常情況下,混合云環境具有松散定義的訪問控制,并且往往沒有職責分離。過度的許可將會帶來風險,而沒有擁有者的風險是未解決的風險。”
3.混合云?嘗試混合安全
IT越來越成為企業整體業務戰略的驅動力,而不僅僅是服務企業,混合云模式已經成為推動這一轉變的推動者。以類似的方式,現代IT需要重新思考一些舊的安全模式,例如混合安全。
Biscom公司首席執行官Bill Ho說,“關于安全性的戰略不斷發展,許多企業正在采用混合方法來為他們的安全基礎設施建立更多的層次和深度。”企業的某些安全技術可能駐留在本地部署的數據中心,而另一些則在企業網絡之外運行更有意義。
Bill Ho解釋說,“企業有很多的理由需要內部部署安全工具和應用程序,例如桌面防病毒、DLP、防火墻以及IDS/IPS系統。”其中一些作為云計算服務提供,有些則具有云中的組件,而應用程序或應用程序則在本地部署的數據中心中運行。一些服務最好在云端處理,比如幫助減輕DDoS攻擊的服務。
4.安全性和合規性:連接但不一樣
Steffen表示,“企業可能在沒有合規的情況下擁有安全感,但是如果沒有出現安全問題,那么人們可能永遠不會遵守監管法規。人們不要將安全性和合規性這二者混為一談,特別是當企業正在遷移到混合云模型時,應該將合規性視為企業云安全策略的一個重要但獨立的部分。
在混合云或多云環境中的合規性不一定是云應用的障礙。事實上,許多內部控制可以交叉應用到企業的云環境中。但是,企業了解云計算提供商使用的現有控制措施,以及它們如何與企業現有控制系統相關聯是非常重要的。”
Steffen補充道,“這可能是企業需要進行一些小規模的程序變更,才能遵守云計算提供商使用的控制措施。但這也可能意味著企業以前的安全戰略發生根本性轉變。在選擇云計算提供商或安全供應商之前執行合規控制評估是必須的。”
5.企業的工具和其他供應商集成在一起嗎?
Steffen表示:“特定的云計算提供商和他們正在使用的安全工具如何與企業使用的工具集成?有很多工具可以很好地集成在一起,但是如果企業使用的安全工具集與外界不兼容,那么可能會很麻煩,可能需要尋找可與其他平臺配合的平臺和工具。因此,云計算提供商和安全供應商應提供與現有本地平臺和工具的簡單集成。”
6.企業需要了解自己的供應商
Steffen關于合規性和集成的建議給出一個提醒,企業保護其混合云環境在很大程度上取決于企業對所使用的平臺的了解和理解。
Biscom公司首席執行官Bill Ho說,強大的云計算供應商實際上可以提供內部IT安全團隊可能缺乏的專業知識。例如,他們可能會更好地實時監控潛在威脅,例如零日攻擊。但這顯然并不是給定的。
Bill Ho說,“與任何云計算服務一樣,企業需要審核其提供商的資質。需要調查他們的認證,了解提供商的政策,了解開放企業網絡的風險,并審查流程報告,例如SOC 2 Type II報告。”
7.混合模型的擴展通信
Goerlich說:“混合云帶來了對通信方面的可擴展性問題。這又一次是缺乏可見性和所有權的副產品,并且在使用多云和多供應商策略的組織中尤其如此。”
清晰的溝通是強有力的安全態勢的重要組成部分,特別是在涉及新的漏洞或攻擊事件時。這是企業IT領導者需要充分解決的一個領域,不僅在內部部署,而且還包括供應商和其他第三方。
8. 進行持續的風險評估
企業從一開始就建立一個安全首要的混合云環境是很好的第一步,但它仍然只是第一步。 Goerlich指出,保護動態混合云環境需要持續的風險評估。
“組織識別漏洞和安全問題的另一種方法是通過風險評估,”Goerlich說。
他列舉了三個例子:
•供應商風險管理就像正在進行的盡職調查一樣,“可以突出顯示哪些供應商提供哪些服務,然后查詢這些供應商的安全計劃。”
•軟件組合分析可以“突出顯示代碼中的哪些第三方數據庫可能會危害企業構建的應用程序。”
•技術漏洞評估和滲透測試可“進一步了解當前的安全狀況。由于混合云技術組織依賴的范圍和規模,如今必須以分段的方式完成。”
保持安全性增長
隨著企業的混合云策略不斷增長,企業的安全規劃也應隨之變化。
“企業需要知道自己擁有什么,知道誰擁有它,誰可以訪問它,有明確的溝通渠道,將其分解成細分市場,并進行風險評估。” Goerlich說:“一次做好一件事,企業可以通過專注于最重要的技術,即支持關鍵業務戰略和功能的技術,并取得成功。隨著混合云擴展企業消費的技術,企業的領導者也必須擴大安全領域的優先級和協作。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號