報告發現,盡管83%的IT專業人士表示他們將敏感數據存儲在公共云中,但只有69%的IT專業人士表示相信公共云能夠保護他們的數據安全。而近年來針對云計算的網絡攻擊十分猖獗:據調查,使用基礎設施即服務(IaaS)或軟件即服務(SaaS)的四分之一企業的數據曾經被盜。與此同時,五分之一的受訪者表示他們遭遇了對其公共云基礎設施的重大攻擊。
調研機構Forrester公司副總裁兼首席分析師Andras Cser表示:“我們在如何保護云中的數據,如何將企業的身份轉移到云端,以及如何確保網絡安全等方面進行了大量的調查。很多時候,我們看到一些企業甚至放棄了這個領域的安全項目。”
但是,Gartner公司信息風險研究主管Daria Kirilenko表示,首席信息安全官(CISO)經常不信任云安全的原因比一些報告所暗示的更為細微。
“許多首席信息安全官(CISO)認為供應商的安全性實際上比他們自己部署的安全措施強大得多,但最終他們認為如果某些供應商出現違規行為,他們仍將對此后果負責。”Kirilenko說,“這是他們認為應該謹慎看待采用云計算的主要原因。”
Kirilenko表示,首席信息安全官也傾向于認為他們的安全團隊沒有適當的技能在組織實施云策略。“他們認為,對于組織迅速采用云計算沒有準備好提供支持。”她補充道。
Kirilenko表示,許多安全團隊缺乏云計算安全知識,因為大多數傳統的安全實踐不能遷移到云環境中,而是必須重建。
“他們毫無準備,最終他們認為如果出現問題,可能會承擔責任。”Kirilenko說。
建立一個云計算安全團隊
Kirilenko指出,即使供應商有過錯,對云中違規的責任也往往會落在企業的首席信息安全官(CISO)身上。她補充說,首席信息安全官應該向高級業務利益相關者宣傳云計算安全是由供應商和內部團隊共同承擔的事實,因為內部利益相關者犯錯時會出現很多安全問題。
Kirilenko表示:“首席信息安全官花費大量時間和精力建立一個強大的安全團隊,讓開發人員接受安全的云計算流程,而不是花費所有時間來管理和監控提供商。如果他們花費精力建立強大的安全團隊,為現在實際上繞開安全的開發人員實施云安全措施,他們將獲得更好的結果,但他們往往不能正確實施云安全,而這增加了使用其云供應商的風險。”
Cser表示,云操作、云架構或云計算安全工作者通常負責云安全,但通常會發現更多傳統安全工作者正在與新平臺進行斗爭。
Kirilenko說,談到建立一個云安全團隊時,尋找一位“獨角獸”公司或者某個云計算提供商的專家來了解云計算架構,并擁有軟件開發技能通常是不可行的。相反,首席信息安全官應該將他們的安全團隊視為一個技能組合。
“企業需要先了解自己真正需要的云技能。”Kirilenko說,“很多時候,尋找那些知道并了解每個提供者內部和外部的個人并不是非常重要,這些個體可以隨著時間的推移而發展。”
Kirilenko說,相反,企業應該建立一支有個人優勢的團隊,加入其團體安全。例如,一名員工可能具備必要的軟件開發技能,另一名員工在企業架構方面經驗豐富,而另一位則在解決方案架構方面擅長。
Kirilenko表示,首席信息安全官也應該記住,他們不需要使用自己的團隊來構建所有的云安全。還有一些公司建立了云計算卓越中心,并將人員從應用程序和基礎設施等不同功能中輪換出來,并通過這些人員加強組織的安全性。
“許多成功的公司并不認為他們的內部安全資源是一種限制,因為他們知道制定云計算策略是組織應該共同做的事情。”Kirilenko說。
Kirilenko表示,首席信息安全官也應該使開發人員容易遵守云安全準則。成功組織的另一個實踐是開發一個通用安全平臺,其中包含API和參考架構,開發人員可以使用這些平臺快速了解如何在其應用程序中實施安全準則。
“企業需要考慮如何減輕利益相關者的負擔來做好安全的事情,并需要以簡單的方式實現安全。”Kirilenko說。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號