隨著最好的軟件工具轉(zhuǎn)向云端,許多企業(yè)都擔(dān)憂不能充分利用它們。在外部控制系統(tǒng)上維護(hù)安全性和遵從性標(biāo)準(zhǔn)可能會讓人望而生畏。或者更糟的是,管理者可能會認(rèn)為,由于服務(wù)和數(shù)據(jù)不在他們的數(shù)據(jù)中心運(yùn)行,這讓他們有些無所適從。行業(yè)機(jī)構(gòu)最近發(fā)布了關(guān)于云計(jì)算安全合規(guī)性中的關(guān)鍵挑戰(zhàn)的概述,認(rèn)為這些方案在各行業(yè)的公司中發(fā)揮重要的作用。
事實(shí)是,采用云計(jì)算服務(wù)有很大的好處,而云優(yōu)先安全方法對于維護(hù)安全性和合規(guī)性至關(guān)重要。
云計(jì)算應(yīng)用程序的安全隱患是什么?
云應(yīng)用程序可以隨時(shí)隨地訪問,專為合作而設(shè)計(jì),使用靈活且適應(yīng)團(tuán)隊(duì)的需求。它們具有較低的基礎(chǔ)設(shè)施和維護(hù)成本,并且通常采用和操作的速度快,成本低廉。在許多情況下,它們僅僅是同類產(chǎn)品中最好的解決方案,提供比本地?cái)?shù)據(jù)中心部署的競爭對手提供更好的解決方案和更頻繁的更新。
但這并不意味著他們沒有風(fēng)險(xiǎn)。這些基于云計(jì)算的應(yīng)用程序具有與本地?cái)?shù)據(jù)中心的應(yīng)用程序相同的風(fēng)險(xiǎn),它們自身也有一些獨(dú)特的風(fēng)險(xiǎn)。
•安全性難以跨平臺進(jìn)行評估和管理。用于云應(yīng)用的安全控制分布在人員,流程,技術(shù)甚至多個(gè)公司:組織,組織的供應(yīng)商,以及用于提供應(yīng)用程序的任何供應(yīng)商。
•組織的聲譽(yù)總是受到威脅。安全漏洞或負(fù)面的合規(guī)性裁定可能會對組織的聲譽(yù)造成災(zāi)難。缺乏消費(fèi)者信心帶來的銷售損失和股價(jià)下跌的損失。負(fù)面的媒體關(guān)注使未來的產(chǎn)品和服務(wù)受到質(zhì)疑,而社交媒體則加劇了這種損害。而消費(fèi)者不會關(guān)心違約來自組織的業(yè)務(wù)或是第三方云服務(wù)。
•組織可能會遭遇起訴。消極的合規(guī)調(diào)查結(jié)果可能導(dǎo)致一些行業(yè)的懲罰性,財(cái)務(wù)性甚至刑事制裁。真正的法律遵從還包括能夠響應(yīng)政府的查詢,例如訴訟中的傳票或訴訟請求,而無論數(shù)據(jù)發(fā)生在哪里,或面臨法院的處罰。
•威脅不斷發(fā)展。日益增長的威脅包括數(shù)據(jù)竊取,惡意軟件,損壞和勒索軟件,組織控制之外的網(wǎng)絡(luò)上的邊緣系統(tǒng)特別脆弱。勒索軟件可能讓組織的整個(gè)業(yè)務(wù)中斷數(shù)小時(shí)或數(shù)天。如果沒有有效的數(shù)據(jù)保護(hù)解決方案,唯一的希望是支付贖金,并希望組織的數(shù)據(jù)得到恢復(fù)。
舊的數(shù)據(jù)保護(hù)模式已經(jīng)過時(shí)
數(shù)據(jù)不僅僅存在于數(shù)據(jù)中心中,也保存在筆記本電腦和其他移動(dòng)設(shè)備上,遍布本地部署數(shù)據(jù)中心和基于云計(jì)算的應(yīng)用程序。看到單一的、集中的數(shù)據(jù)視圖似乎是不可能的。除此之外,零碎的操作流程取決于部門,應(yīng)用程序或設(shè)備而有所不同的流程,會減慢組織的發(fā)展速度,使執(zhí)行安全性和響應(yīng)審計(jì)請求變得困難。
另一方面,將組織的數(shù)據(jù)安全性的責(zé)任推給云服務(wù)提供商是不安全的。如果組織的供應(yīng)商確實(shí)提供高級安全功能,則由組織實(shí)施這些功能,并維護(hù)法規(guī)要求的內(nèi)部部署安全策略。
第四方風(fēng)險(xiǎn)評估
組織和SaaS供應(yīng)商之間不僅需要分擔(dān)責(zé)任,還必須考慮第四方。考慮組織的供應(yīng)商用于服務(wù)交付的服務(wù)提供商,如Amazon Web Services或Microsoft Azure。幸運(yùn)的是,合規(guī)性審核允許組織衡量第四方風(fēng)險(xiǎn)。現(xiàn)代的數(shù)據(jù)安全方法需要針對整個(gè)服務(wù)鏈的安全框架,審核和認(rèn)證,而不僅僅是組織的內(nèi)部部署解決方案或直接供應(yīng)商的解決方案。
顯然,采用云服務(wù)時(shí)會有很多風(fēng)險(xiǎn)。組織想利用這些應(yīng)用程序提供的巨大好處,則需要一種新的數(shù)據(jù)保護(hù)方法。而傳統(tǒng)的模式不能勝任這項(xiàng)工作。
現(xiàn)代數(shù)據(jù)保護(hù)方法
一個(gè)偉大的數(shù)據(jù)安全解決方案將保護(hù)組織的數(shù)據(jù),無論它在哪里。在評估選項(xiàng)以確保解決方案真正涵蓋數(shù)據(jù)安全需求的各個(gè)方面時(shí),這些都是一些關(guān)鍵問題:
•是否提供連續(xù)監(jiān)控?組織需要全面了解自己的攻擊面。監(jiān)控方法應(yīng)該是以數(shù)據(jù)為中心的,而不是以應(yīng)用為中心,所以無論數(shù)據(jù)在哪里,都可以進(jìn)行覆蓋。監(jiān)控應(yīng)該在風(fēng)險(xiǎn)成為問題之前預(yù)測風(fēng)險(xiǎn),無論它們來自數(shù)據(jù)中心還是云端。
•數(shù)據(jù)本身有多安全?數(shù)據(jù)需要在運(yùn)行中和空閑時(shí)都得到充分的保護(hù)。提供商是否為組織提供唯一的加密密鑰?他們是否可以訪問組織的數(shù)據(jù)(如果組織受到攻擊,會使其變得脆弱)?
•訪問控制有哪些選項(xiàng)?基于角色的訪問控制選項(xiàng)管理潛在的利益沖突和欺詐。每當(dāng)有人訪問或更改數(shù)據(jù)時(shí),實(shí)時(shí)審核記錄都會留下蹤跡。
•如何保存和維護(hù)數(shù)據(jù)?組織需要工具來回應(yīng)審計(jì)和法律咨詢。數(shù)據(jù)必須在所有數(shù)據(jù)環(huán)境中收集,保存,保留,歸檔和索引,以便在發(fā)生訴訟或傳喚的情況下輕松獲得。
•如果發(fā)生災(zāi)難怎么辦?傳統(tǒng)備份模式包括獲取另一個(gè)數(shù)據(jù)中心的備份,設(shè)計(jì)和實(shí)施故障轉(zhuǎn)移流程,并進(jìn)行年度測試。但是它們只保護(hù)本地?cái)?shù)據(jù),使遠(yuǎn)程端點(diǎn)容易受到攻擊。
云計(jì)算的災(zāi)難恢復(fù)系統(tǒng)應(yīng)盡量減少昂貴和耗時(shí)的基礎(chǔ)架構(gòu),管理和測試。他們還應(yīng)該覆蓋移動(dòng)設(shè)備,包括加密,殺毒和地理位置等。
安全對現(xiàn)代企業(yè)至關(guān)重要。合規(guī)性認(rèn)證可以防止法律上的困擾,并建立信任,云端的SaaS解決方案可以實(shí)現(xiàn)。而安全系統(tǒng)保護(hù)組織的數(shù)據(jù),業(yè)務(wù)和客戶。
京公網(wǎng)安備 11010502049343號