擁有超過(guò)2100萬(wàn)美元資金的Netskope走出“隱形模式”,測(cè)量了超過(guò)2600個(gè)云應(yīng)用的安全,并將其作為云應(yīng)用安全報(bào)告的一部分公諸于眾,這家公 司計(jì)劃按照季刊的形式發(fā)布。基于從企業(yè)客戶收集的實(shí)時(shí)云應(yīng)用用例數(shù)據(jù),這家廠商基于30項(xiàng)安全參數(shù)為應(yīng)用打分,包括審計(jì)日志和云端分離的客戶數(shù)據(jù)。但是該公司的CEO表示,這些評(píng)級(jí)并不能簡(jiǎn)單地用于封鎖風(fēng)險(xiǎn)應(yīng)用。
Netskope CEO Sanjay Beri表示,這份報(bào)告背后的驅(qū)動(dòng)力是為了教育客戶和企業(yè)云應(yīng)用的安全性。他特別之處很多企業(yè)只是簡(jiǎn)單的不知道在云端會(huì)發(fā)生什么,尤其是提及他們所使用的 應(yīng)用,但是這些應(yīng)用無(wú)需付費(fèi)。比如,一些Netskope的企業(yè)客戶就不知道實(shí)際上使用了多少云應(yīng)用,不管是公司外部共享的文檔,甚至是共享的敏感文檔是 否得到正當(dāng)保護(hù)。
但是Beri并不希望企業(yè)簡(jiǎn)單的基于他們的安全排名就犯了封鎖應(yīng)用這樣的錯(cuò)誤。實(shí)際上,他將封鎖應(yīng)用的方法描述為“保守派”。他繼續(xù)說(shuō)道,當(dāng)業(yè)務(wù)部門(mén)的生 產(chǎn)力更高的時(shí)候,安全團(tuán)隊(duì)不再不加選擇地對(duì)應(yīng)用說(shuō)“NO”。相反,安全團(tuán)隊(duì)必須找到一種途徑說(shuō)“YES”,但是要給出警告事項(xiàng)。
盡管可以提前設(shè)置這樣的策略,但是企業(yè)必須首先能夠很好的理解云應(yīng)用如何使用。Beri描述了一個(gè)場(chǎng)景,12個(gè)云存儲(chǔ)應(yīng)用應(yīng)用于企業(yè)內(nèi) 部,Netskope的評(píng)級(jí)中,6個(gè)被認(rèn)為是有風(fēng)險(xiǎn)的。并不是要任意地鎖定這六個(gè)應(yīng)用,企業(yè)應(yīng)該研究實(shí)際上每個(gè)應(yīng)用有多少人在用,共享了哪些內(nèi)容,以及由 于他們的使用會(huì)導(dǎo)致哪些風(fēng)險(xiǎn)。如果只是兩個(gè)用戶利用一個(gè)風(fēng)險(xiǎn)應(yīng)用,企業(yè)就應(yīng)該簡(jiǎn)單地告知他們遷移到更加安全的選擇上。如果敏感內(nèi)容上傳到一個(gè)應(yīng)用,企業(yè)應(yīng) 該封鎖上傳,而不是封鎖應(yīng)用。
“因此你可以對(duì)風(fēng)險(xiǎn)性高的應(yīng)用實(shí)行‘手術(shù)’,一些必須的應(yīng)用則可以縮減。主要看一下用例模式并利用這種模式做出業(yè)務(wù)決策,”他評(píng)論道,“這并不是說(shuō)‘有六個(gè)高風(fēng)險(xiǎn)應(yīng)用?關(guān)了’,而是要先了解這些應(yīng)用。”
Beri澄清道,一個(gè)應(yīng)用被Netskope評(píng)為低風(fēng)險(xiǎn)并不意味著這個(gè)應(yīng)用可以隨時(shí)部署到企業(yè)中。該廠商的報(bào)告指出即便一些最安全的云應(yīng)用仍舊缺少一些性 能,這些性能對(duì)于企業(yè)的用例可能是必須的。當(dāng)這樣的應(yīng)用被部署,IT團(tuán)隊(duì)必須實(shí)施額外的控制,將風(fēng)險(xiǎn)降到企業(yè)可以接受的最低程度。
“看待這份報(bào)告要留有一定的保留性,‘這個(gè)應(yīng)用本身符合一些嚴(yán)格的條件,但是我還需要看看自身的解決方案環(huán)境,看是否可以管理這個(gè)應(yīng)用,’”Beri說(shuō)道。
在這份報(bào)告中,知名服務(wù),比如Salesforce.com、Box和Amazon Web服務(wù)被評(píng)為最安全的云應(yīng)用。頂尖的應(yīng)用請(qǐng)先與有審計(jì)日志這樣的功能,能夠分離客戶數(shù)據(jù),而一些低評(píng)級(jí)的應(yīng)用則缺少這些功能,而這些則是很多企業(yè)考慮 的基礎(chǔ)安全功能。應(yīng)用分類(lèi)也做了評(píng)級(jí),企業(yè)資源計(jì)劃、文檔管理和安全應(yīng)用表現(xiàn)良好,而軟件開(kāi)發(fā)、市場(chǎng)和生產(chǎn)率應(yīng)用則墊底。
整體而言,大多數(shù)云應(yīng)用包含災(zāi)難恢復(fù)和分區(qū)的數(shù)據(jù)備份功能,但是大多數(shù)不能加密數(shù)據(jù)或者管理密鑰。Beri指出,加密還會(huì)是一個(gè)熱門(mén)的話題,而且是否應(yīng)該由云應(yīng)用廠商負(fù)責(zé)還尚不清晰。出于這種觀點(diǎn),廠商應(yīng)該有一個(gè)加密的策略在將自身的產(chǎn)品推銷(xiāo)給客戶。
盡管看起來(lái)似乎很?chē)樔耍髽I(yè)會(huì)發(fā)現(xiàn)云應(yīng)用缺少一些基本的安全功能,Beri表示報(bào)告中也指出即便是最安全的應(yīng)用也并不一直是安全的。相反,他說(shuō)這些應(yīng)用是廠商認(rèn)為的重要的,也是其核心競(jìng)爭(zhēng)力產(chǎn)品的部分。
Beri說(shuō):“任何應(yīng)用一開(kāi)始都是低風(fēng)險(xiǎn)的應(yīng)用,他們也會(huì)隨著時(shí)間發(fā)展而產(chǎn)生變化。”
京公網(wǎng)安備 11010502049343號(hào)