注重云安全的企業不到一半
現在越來越多的企業選擇把自己的數據放在云端,這其中包括了公有云還有企業的私有云以及混合云,這也意味著數據和網絡安全成為了這些提供商目前最大的責任,很多企業也緊緊跟隨云計算浪潮,對云計算服務所需要的基礎設施以及業務應用開始進行升級和研發,從而使得云端數據有一個安全性更高的保障。
但是無論企業將多少基礎設施和多少網絡服務和業務應用程序轉移到云中,信息和網絡的最終責任仍然落在企業自己身上。這也是為什么企業需要精心制定云安全政策的原因。盡管云服務在興起,只有不到半數的企業有正式的集中的云安全政策。這為管理員提供了充足的機會來加緊鎖定其公司的數據和網絡,上述數據我們不難看出直到云計算飛速發展的今天,仍然有很多企業沒有認識到,或者說仍舊沒有采取必要的數據安全管控措施和策略,對用戶的數據進行保護,這一點是值得云計算提供商和眾多企業用戶警醒的。
云計算策略關鍵點
云計算安全其實是一個老生常談的話題了,要想使得數據更加安全,企業內部云計算網絡的安全策略和解決方案就必不可少,在事故發生后,企業才會意識到,我們沒有想到這樣的事情會發生。的確,很多企業只有在數據受到威脅,數據丟失的時候才意識到部署云計算安全策略的重要性,但是到那時其實已經為時已晚,理想情況下,企業應該在部署云之前就創建自己的云安全政策。
在這些問題中,重要的問題是企業是否有明確的數據分類政策。企業擁有的敏感數據越多,這個問題就更加重要,特別是在受到嚴格監管的行業,例如醫療保健和金融服務公司。數據分類將幫助企業防止數據中心內重要數據的意外上傳,這還可以幫助保護在網絡服務中穿行的數據。
當然云計算安全不僅僅局限于數據分類,把數據分完類了,企業可能就要針對其他數據政策對云計算的各種應用進行部署,企業還要決定是否允許用戶直接訪問到他們托管的云計算服務器上,這樣做的好處就是用戶在數據以及資料的上傳下載會變得更加容易,但是同樣,壞處就是數據安全收到威脅系數也就在不斷上升。在確定現有政策與新的云政策重疊的地方,請檢查企業所考慮的云技術供應商是否有符合你的政策。如果云供應商沒有企業想要的任何政策或控制,就需要考慮這個供應商是否適用于本企業。
找準數據存放位置
數據的物理位置涉及法律和隱私問題。云服務供應商能否將企業的數據移到外面?國外?供應商是否能同意將企業的數據保持在特定數據中心?如果供應商政策不滿足企業的所有要求,那么企業的哪些數據應該保持在企業內部?從這些問題來看,數據分類很重要。對于企業存放在公有云當中的數據,企業管理者肯定希望從云服務提供商那里獲得一手的數據安全資料,尤其是當涉及SaaS時,這個問題尤其重要,軟件開發人員一直在努力提高其程序的性能,有時候可能與良好的安全性有沖突。有時候,開發人員被允許關閉安全功能來實現所需的性能水平。企業需要決定安全和性能的優先級。
此外,云服務基礎設施性能的高低是否與企業對于云計算投入成正比,也是企業用戶值得考慮的一點,因此,仔細考量云計算服務的各項標準以及優先級就顯得特別重要,因為企業需要確定優先級,以及確保云供應商的政策符合企業的期望。如果企業現在正在考慮制定完全的云安全政策,需要想一想將授權或批準哪些人來審核與云供應商的協議,這將讓個別員工的工作更輕松,但也將讓企業數據處于風險之中。指定特定位置來為工作用途設置云服務,并考慮違反政策后的具體后果。
云安全誰來買單
云計算的核心問題是安全,那么在談到安全問題誰該負責,可能領云計算業界的很多朋友感到頭疼,確實,這點很難界定,是SaaS服務提供商,還是IaaS服務提供商,這點確實不好說,但是,不管怎樣,對于這些提供商提供的安全策略以及數據信息來說,企業用戶對于自己的數據安全也應該負有一定的責任。
無論誰在處理這些信息。如果你在尋找基礎設施供應商,就必須確保供應商能履行其承諾,無論是通過成績、檢查還是與云供應商討論具體細節。隨著企業轉移到SaaS中,執行可接受使用、隱私、加密和數據挖掘政策仍然是企業的責任。CIO們還必須確保云供應商遵循他們自己的政策。
京公網安備 11010502049343號