《企業(yè)網(wǎng)D1Net》9月18日訊
現(xiàn)在已經(jīng)很少有人質(zhì)疑云通過更大的業(yè)務(wù)敏捷性、服務(wù)的快速擴(kuò)張性以及減少成本所實(shí)現(xiàn)的效益。但是安全仍然被視為企業(yè)采納云服務(wù)的一個主要擔(dān)憂。
頻繁的黑客事件,有組織的網(wǎng)絡(luò)犯罪以及國家資助的攻擊者不僅在這些信息損失擔(dān)憂中發(fā)揮著影響,還用成熟的方法指向潛在受害者。
對于那些想要收獲云的效率和成本效益的人來說,挑戰(zhàn)在于找到新的保護(hù)其實(shí)體及虛擬資產(chǎn)的新方法——而這需要整個企業(yè)的途徑。
云安全從自家開始
評估和管理安全風(fēng)險對每個想要實(shí)現(xiàn)成功云過渡的組織來說都必須是首要精神。
不同的部署模型——公有云、私有云、混合云——每種都有它們自己的安全漏洞和風(fēng)險。且這些增長取決于潛在身份不明的用戶的范圍。
雖然這些挑戰(zhàn)都確實(shí)存在,但是從內(nèi)到外有條不紊地工作提供了關(guān)鍵。CIO們和CISO們必須聚焦于確保自己企業(yè)的云服務(wù)使用,而不是僅僅看一般情況下云是否安全。具有諷刺意味的是,云計算安全的關(guān)鍵始于國內(nèi)。
本質(zhì)上,共有5個關(guān)鍵領(lǐng)域需要被考慮:
云接入設(shè)備——用戶從廣泛的設(shè)備上訪問云,包括臺式電腦、筆記本電腦、PDA、手機(jī)、只能手機(jī)、平板電腦等。一個越來越明顯的趨勢模糊了個人和企業(yè)計算設(shè)備的邊界,使得組織們控制安全性變得越來越難。
云平臺——未來的企業(yè)云很可能是鏈接物理和虛擬化IT資源的混合系統(tǒng),全都必須被安全地裝備。這包括惡意軟件和數(shù)據(jù)保護(hù)措施,以及網(wǎng)絡(luò)和主機(jī)安全解決方案。
身份和訪問管理——安全生態(tài)系統(tǒng)在云中可能不是完全在你的控制之下,所以恰當(dāng)?shù)陌踩?yīng),治理以及管理工具必須在適當(dāng)?shù)奈恢靡员銏蟾婧蜋z查缺口。外包對于那些不想管理他們自己的安全性、身份和訪問管理系統(tǒng)的人來說是一個不錯的選擇。
安全和合規(guī)管理——在云中,這要求的要高于單純的安全產(chǎn)品——你必須還擁有安全敏感的人以及流程來保證環(huán)境安全地運(yùn)行。
云利益相關(guān)者——基本上有3個范疇的利益相關(guān)者與云相交互,每一個都有其獨(dú)特的安全屬性:
·消費(fèi)者,可能是個體也可能是與某組織有關(guān)的群體
·負(fù)責(zé)交付云安全的服務(wù)人員。
·制定滿足審計和符合規(guī)定的需求的總體安全水平服務(wù)治理有關(guān)人員
達(dá)到安全云部署的4個步驟:
IT安全性的傳統(tǒng)周長屏障在復(fù)雜的云環(huán)境中不在有效,它沒有清晰的識別邊界。雖然技術(shù)答案只是解決方案的一部分,但是一個全面的計劃需要總業(yè)務(wù)的參與。安全性必須被整合到整個企業(yè)的業(yè)務(wù)和數(shù)據(jù)流程中——不僅僅在周邊或是在云中。
第一步:基于風(fēng)險的途徑
建立一個機(jī)遇已感知風(fēng)險的途徑對于準(zhǔn)備將應(yīng)用程序和數(shù)據(jù)移向云端的組織們來說必不可少。任何對潛在風(fēng)險的審查都必須從分先影響全部企業(yè)的方式的視角去進(jìn)行。
組織們需要在識別問題并找到介于安全和維持業(yè)務(wù)積極性之間的準(zhǔn)確平衡兩個方面具有前瞻性。
這里有四個基于風(fēng)險的方法的主要部分:
·從遵從性和操作的視角評估不同層次的風(fēng)險。
·按優(yōu)先順序解決安全問題。
·不斷監(jiān)視并敢刪環(huán)境安全性。
·在轉(zhuǎn)換計劃中只使用已證實(shí)安全的技術(shù)和靈活的采購模式。
第二步:安全設(shè)計應(yīng)用程序
大多應(yīng)用程序都不是為了運(yùn)行于一個有敵意的環(huán)境中而設(shè)計的。
因此CIO們必須確保所有數(shù)據(jù)和應(yīng)用程序在被部署于一個云平臺前已被徹底檢查并修復(fù)過了。
這樣的目的是使它們能自衛(wèi),這就要求從開發(fā)者到應(yīng)用程序開發(fā)和數(shù)據(jù)管理的新的策略。他們需要關(guān)注信息保護(hù)來確保機(jī)密性、完整性和可用性。
最好是架構(gòu)安全應(yīng)在新系統(tǒng)的需求和設(shè)計階段就用安全措施、訪問控制和內(nèi)置于細(xì)粒度水平的加密被處理過。
第三步:正在進(jìn)行的審計和管理
連續(xù)的合規(guī)檢測必須在合適的位置來確保云服務(wù)安全交付。傳統(tǒng)的按月或按年審計的體制在一個不斷變化的環(huán)境中已經(jīng)意義甚微。
為了確保安全泄露事件發(fā)生時的法定檢查和分析,持續(xù)的監(jiān)控和事件記錄和日志文件的維護(hù)是需要的。
這種信息必須是促進(jìn)快速反應(yīng)、通知、和控制措施所即時可用的。
第四步:基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全
當(dāng)使用基于云的服務(wù)時,一個企業(yè)對基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全有著最低的直接控制,包括操作程序,網(wǎng)絡(luò)配置和入侵防護(hù)。
這些都是關(guān)鍵領(lǐng)域,所以用戶對服務(wù)供應(yīng)商的政策進(jìn)行一次徹底的審查,作為合同談判和服務(wù)采購中盡職調(diào)查的一部分,是很重要的。
如果他們不能滿足標(biāo)準(zhǔn),看看其他的選擇。
整個企業(yè)的方法
安全問題不應(yīng)成為企業(yè)延遲進(jìn)入云的一個理由。
安全風(fēng)險確實(shí)存在,但是如果一個整體企業(yè)計劃被采用,它們是可以被管理的。這不是使云變得安全——這是使一個企業(yè)的云服務(wù)使用變得安全。
總之,組織們應(yīng)該:
·建立一個基于風(fēng)險的方法來使用云服務(wù)的可行性。
·設(shè)計在云中運(yùn)行的應(yīng)用程序。
·采用動態(tài)的審計和管理。
·評估云服務(wù)供應(yīng)上的安全措施。
云正在快速發(fā)展,對于計劃著一個安全路線的企業(yè)來說這個機(jī)會是很重要的。
京公網(wǎng)安備 11010502049343號