隨著云服務(wù)的流行度不斷提升,企業(yè)必須與IT合作決定什么是可以放于云端的,以及如何確保其它安全。
云計(jì)算獲得了企業(yè)越來越多的關(guān)注。是否意味著云服務(wù)對(duì)于企業(yè)來說已經(jīng)足夠安全可靠 ?
雖然我的回答是“適情況而定,”但對(duì)于安全經(jīng)理來說,了解概括地否定回答并不是一個(gè)可接受的答案,這一點(diǎn)很關(guān)鍵。高管和其它業(yè)務(wù)領(lǐng)導(dǎo)因基于云的廠商所提供了成本和便利的好處而受到吸引。然而,在采取任何行為之前,安全團(tuán)隊(duì)需要了解什么樣的系統(tǒng)和數(shù)據(jù)可以托管在云端,在這之前團(tuán)隊(duì)人員可以對(duì)云服務(wù)安全性時(shí)行判斷。
另外,組織需要做出決策,決定出什么可以置于云端,什么不能。一旦這些基準(zhǔn)得到解決,項(xiàng)目經(jīng)理就可以評(píng)估一下使用云供應(yīng)商的特殊功能的優(yōu)劣勢(shì)。
最重要的,安全團(tuán)隊(duì)需要了解什么樣的系統(tǒng)和數(shù)據(jù)在云中。云的一個(gè)最重大的負(fù)面影響是任何持有公司信用卡的員工都可以成為他自己的采購(gòu)員。這類影子IT場(chǎng)景導(dǎo)致更惡劣的情況,卻無從知曉。如果數(shù)據(jù)已經(jīng)遷移到云端,但是卻沒有人知道的話,安全就不能正確地審查供應(yīng)商,或持續(xù)對(duì)供應(yīng)進(jìn)行性能監(jiān)測(cè)。盲目的安全團(tuán)隊(duì)不能確保應(yīng)用安全。
在監(jiān)測(cè)確保未知的數(shù)據(jù)并沒有依賴于云服務(wù)安全后,組織需要決定出什么樣的數(shù)據(jù)和系統(tǒng)是他們希望托管于云端的。管理需求可能描述了什么可以放于云中,什么不可以。公司政策可能有更加嚴(yán)厲的需求。
那些正在尋找著手點(diǎn)的組織可以看看他們企業(yè)現(xiàn)有的數(shù)據(jù)分類政策。關(guān)于不同類型的數(shù)據(jù)必須如何處理的政策可能取消了某些來自于使用云廠商的信息和功能的資格。這些相同的協(xié)議可能也強(qiáng)調(diào)了其它適合于基于云解決方案的功能。為了得到真正的 幫助,政策可能需要擴(kuò)展到創(chuàng)建云特定的IT部門和業(yè)務(wù)線(LOB)指南中。
依賴云供應(yīng)商有好處有壞處。云服務(wù)安全可以犧牲讓IT團(tuán)隊(duì)接受。所有的 云計(jì)算都涉及到大量的控制,因?yàn)橛辛硗庖恍┤素?fù)責(zé)開通服務(wù)、運(yùn)行并維護(hù)服務(wù)器和軟件。云服務(wù)也是對(duì)攻擊者很有吸引力的目標(biāo),因?yàn)槌晒Φ耐黄瓶谔峁┐罅康慕M織數(shù)據(jù)的訪問權(quán)限。
然而,有些情況下,云選項(xiàng)可能比本地的更安全。合格云提供商已經(jīng)擁有成熟的安全運(yùn)營(yíng)項(xiàng)目,如威脅情報(bào)、備份、修補(bǔ)、入侵檢測(cè)和響應(yīng)。安全經(jīng)理需要誠(chéng)懇地問他們自己,他們的組織這些功能及其它關(guān)鍵任務(wù)運(yùn)行的有多良好。
云供應(yīng)商能夠利用一些規(guī)模經(jīng)濟(jì),這也非常吸引中小型企業(yè),同時(shí)也給企業(yè)組織增加了價(jià)值。另外,有些組織對(duì)云供應(yīng)商卸載了一些業(yè)務(wù)流程,從而減少合規(guī)工作的規(guī)模,如外部設(shè)備連接。
云供應(yīng)商可以給IT部門和LOB提供大量的價(jià)值,但向云遷移服務(wù)和數(shù)據(jù)的決定需要謹(jǐn)慎。有現(xiàn)成的決定性流程可以幫助避免創(chuàng)建影子IT操作,而且可幫助阻止數(shù)據(jù)蔓延。有了足夠的提前計(jì)劃,企業(yè)可以利用云供應(yīng)商提供的好處,而不造成IT運(yùn)營(yíng)的失控。
京公網(wǎng)安備 11010502049343號(hào)