如今,企業最有價值資產的性質已經演變。傳統上,企業資產負債表上通常是有形資本和人力資本;現在,它是定義數字時代的應用資本,受到Facebook、亞馬遜、優步等公司商業模式的啟發,許多現代公司的價值越來越無形,并且存在于其應用和數據中。
隨著價值概念的發展,保護價值所需的方法也在發展。現代企業正在管理復雜的IT資產,這些資產通常涉及IT架構和部署模型的混合,更多地依賴于多個基于云計算的數字服務。這些軟件曾經被安置在企業的私有IT環境中,但現在正在成為“軟件即服務”(SaaS),虛擬化計算基礎設施(IaaS)以及用于開發、運行和管理應用程序(PaaS)的平臺進行管理。
獲取這些服務為企業提供了更強大的基礎,可以提高效率和卓越運營,并為新企業進行創新。 調研機構IDC預測,到2020年,超過90%的企業將使用多種云計算服務和平臺。“多云”為轉變業務和增強員工和客戶體驗創造了戰略需求。
在云平臺運行應用程序,通常可以通過比企業獨立管理更高的安全性得到加強,畢竟,云計算提供商每年在基礎設施和人才上花費大量資金來保證數據安全。隨著向多云世界的轉變,基本的網絡安全假設正在發生變化。企業必須建立一個管理風險的框架,以探索多云環境可以提供的真正好處。
不斷變化的風險格局
企業現在面臨著巨大的IT風險。網絡犯罪分子越來越復雜,他們使用各種策略來攻擊企業數據——其中許多對黑客來說并不費力,但對組織來說卻帶來了持續的痛苦和挫折。此類武器包括通過“僵尸網絡”實現的自動攻擊,可在短短15秒內激活,并占據網絡攻擊的77%(Verizon 2017數據泄露調查報告)和分布式拒絕服務(DDoS)攻擊,將對企業業務造成巨大損害。
對于企業來說,其后果可能是極端的。嚴重的經濟損失有時會因企業聲譽和利益相關者的信任造成無法彌補的損害而加劇,這個風險并不遙遠。在2018年,近五分之一的公司遭遇了數據泄露行為,估計有50億個憑證在數據泄露中被盜。
談到公共云數據,網絡罪犯并不是唯一的威脅。企業需要注意自己員工產生錯誤的風險。有一些值得注意的云計算資源配置錯誤,導致私人信息暴露在互聯網上。在共同責任模式下,防范這一點的責任在于客戶而不是云計算服務提供商。
獲得應用程序的可見性和控制
為了確保基于公共云的應用程序和數據的使用安全,企業面臨的一個主要問題是可見性。許多企業仍然不清楚自己在云計算中的消費量。據估計,一般大型企業使用大約730個單獨的云計算服務和功能。企業員工了解如何使用云計算可以幫助降低風險,使他們能夠更好地將資源導向最易受攻擊的領域。
實現這一目標的方法不在技術層面,而在人員層面。如果IT安全團隊不知道應用程序正在被使用,他們就不能采取行動來保護應用程序。不同部門的員工可以輕松地啟動應用程序,但如果從一開始就不涉及IT,可能會暴露出漏洞。為了將使用不可信服務的風險降到最低,IT部門可以為首選供應商制定企業范圍的政策,并鼓勵員工采用該服務。
一個常見的例子是使用Dropbox等基于云計算的存儲應用程序。如果IT團隊知道用戶需要此服務,他們可以設置企業許可證、安裝訪問過程,并采取措施來降低風險。如果用戶不參與其中,而是開設一個免費帳戶,然后使用該帳戶存儲敏感數據,則會面臨一系列風險,從擁有登錄憑據的人員到在云計算服務器上擁有數據的人員。
需要治理協議
多云的安全使用需要強大的治理協議。可以理解的是,許多企業都在努力快速修改其政策和程序,以跟上員工采用新的云計算功能的步伐。強大的治理需要全面了解組織的云計算網絡,包括業務消費、如何添加新服務、風險緩解系統,以及數據和隱私政策和流程。
然而,沒有專業知識就無法開展治理。因此,企業需要專注于整個業務的培訓和意識建設,以提高對如何安全使用多個云計算服務的理解。簡而言之,為了使治理有效,安全性需要嵌入到組織文化中。
保護企業免受新威脅
多云架構是指允許員工無縫地訪問他們實現業務目標所需的一系列服務。這是關于轉變內部IT的運作方式,朝著消費“即服務”的方向發展,并讓工具以安全和可持續的方式跨云平臺進行設計。
公共云的創新正在以驚人的速度進行,因此隨著技術世界的發展,企業必須做好重新評估決策的準備。在這種快速變化的背景下,創建每隔幾年重新審查的長期IT戰略不太可能有效。相反,組織應該在源代碼中嵌入安全性,強調管理多云環境的技術控制和人員。
最重要的是要重視可視性、風險評估、適當的治理。有了良好計劃、強大的控制,以及可擴展的基于云計算的安全技術,企業可以降低風險,同時提高整個環境的安全性。
京公網安備 11010502049343號