回顧即將過去的2013年,企業(yè)越來越多地開始使用云計算服務(wù),但是云計算的安全問題仍然是企業(yè)部署這些服務(wù)的最大障礙。對于大多數(shù)行業(yè)而言,云服務(wù)已經(jīng)成為企業(yè)基礎(chǔ)設(shè)施的一部分,很多員工在沒有經(jīng)過IT部門批準(zhǔn)就已經(jīng)部署了云服務(wù)。例如云服務(wù)評估公司Skyhigh Networks增加了約500項云服務(wù)。
Skyhigh Networks首席執(zhí)行官兼聯(lián)合創(chuàng)始人Rajiv Gupta表示:“員工使用云服務(wù)幾乎沒有評估這些服務(wù)的風(fēng)險。”出于這個原因,在2014年,安全要求將會成為企業(yè)的核心問題,近一半的IT經(jīng)理都關(guān)心其云資源的安全性,而35%的人認(rèn)為云安全要優(yōu)于企業(yè)內(nèi)部部署。其中一個原因是:很多云供應(yīng)商未能解決其客戶關(guān)心的問題。
安全服務(wù)供應(yīng)商Sage Data Security公司總裁Charles Burckmyer稱其客戶經(jīng)常通過他們評估第三方云服務(wù)的安全性。他表示,“客戶需要建立一個結(jié)構(gòu)化的方法來與云供應(yīng)商合作,并要有一個程序來創(chuàng)建被允許的例外情況、分配風(fēng)險和緩解這種風(fēng)險,對于大多數(shù)客戶而言,圍繞云服務(wù)的安全性是非常重要的。”
通過與其云供應(yīng)商進(jìn)行溝通,企業(yè)客戶可以創(chuàng)建一個安全的混合基礎(chǔ)設(shè)施。下面是企業(yè)應(yīng)該與云供應(yīng)商討論的五個問題:
1. 明確安全責(zé)任
云服務(wù)供應(yīng)商繼續(xù)將保護(hù)數(shù)據(jù)的責(zé)任放在客戶身上,而很多客戶認(rèn)為云服務(wù)應(yīng)該對數(shù)據(jù)承擔(dān)責(zé)任。與前幾年相比,在2013年,這種期望差距有所縮小,但根據(jù)Ponemon研究公司的調(diào)查顯示,超過三分之一的客戶仍然期望其軟件即服務(wù)供應(yīng)商保護(hù)應(yīng)用程序和數(shù)據(jù)的安全。只有8%的企業(yè)通過其信息技術(shù)和安全團(tuán)隊來評估應(yīng)用程序的安全性。
Sage Data Security的Burckmyer表示,雖然很多行業(yè)已經(jīng)轉(zhuǎn)移到云計算,但一些安全意識較強(qiáng)的行業(yè)和那些需要遵守法規(guī)的行業(yè)則止步不前,因?yàn)樵乒?yīng)商沒有明確其風(fēng)險。
他表示,“云供應(yīng)商盡職調(diào)查、了解客戶的責(zé)任以及了解你的供應(yīng)商將如何支持你履行你的職責(zé),都是非常必要的話題,從監(jiān)管和安全的角度來看,轉(zhuǎn)移到云計算的過程一直沒有很明確,因?yàn)楹芏喙?yīng)商做的還不夠。”
2.構(gòu)建能夠提供有意義日志數(shù)據(jù)的系統(tǒng)
越來越多的企業(yè)想要收集關(guān)于其數(shù)據(jù)和應(yīng)用程序在云中的安全信息。然而,很多云供應(yīng)商沒有提供詳細(xì)的日志文件,或者不能完全分離一個客戶與另一個客戶的事件信息。
“我們需要制定默認(rèn)的標(biāo)準(zhǔn)做法,即有一定量的日志信息可以主動提供給所有需要追蹤的企業(yè)來進(jìn)行各種分析,”云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示,“日志文件一直是癥結(jié)所在。”
對管理訪問日志保持審計是非常重要的,但大多數(shù)小型云服務(wù)沒有提供這種信息。
3. 加密應(yīng)該更普遍
企業(yè)不僅要求云中終端到終端加密,而且越來越多地要求云供應(yīng)商允許他們在將數(shù)據(jù)轉(zhuǎn)移到云中前,在企業(yè)內(nèi)部加密數(shù)據(jù)。
云服務(wù)管理公司Netskope首席執(zhí)行官Sanjay Ber表示,云供應(yīng)商不僅要與客戶合作,而且要制定強(qiáng)大的加密解決方案,以讓企業(yè)確保其數(shù)據(jù)的安全性,同時允許保留一些功能。
Beri說,“作為應(yīng)用程序供應(yīng)商,加密應(yīng)該是他們可以比任何人都做得更好的事情,沒有人比他們更了解應(yīng)用程序,只要他們將密鑰交給第三方管理,很多客戶都會很高興。”
4. 通知用戶異常情況
如果攻擊者獲取了賬戶信息,加密將不足以保護(hù)客戶的數(shù)據(jù)。出于這個原因,云供應(yīng)商還必須部署良好的異常檢測系統(tǒng),并與客戶共享這些系統(tǒng)的信息和審計記錄。Gupta表示:“你需要所有這些不同的工具來確保云供應(yīng)商滿足客戶的需求,這是一種分層的辦法。”
5. 如何保護(hù)從第三方的訪問
雖然云供應(yīng)商受到其所在國家以及數(shù)字所在國家的監(jiān)管,由美國國家安全局和其他國家情報局進(jìn)行的大量數(shù)據(jù)收集工作讓企業(yè)越來越多地開始詢問云供應(yīng)商,誰在請求數(shù)據(jù)、頻率如何,以及供應(yīng)商是否實(shí)現(xiàn)這些國家的請求等。
CSA的Reavis表示,“很顯然,供應(yīng)商需要讓客戶了解他們是如何管理和處理信息請求,供應(yīng)商還沒有開始看到,他們需要對政府的請求敬而遠(yuǎn)之。”
這種明確需要延伸到信息的所有權(quán),云供應(yīng)商需要強(qiáng)調(diào)其客戶仍然對這些數(shù)據(jù)擁有所有權(quán),并盡可能明確供應(yīng)商對數(shù)據(jù)的使用權(quán)。
京公網(wǎng)安備 11010502049343號