云計算技術當然具有一定的優勢，但與任何大規模部署一樣，采用云計算也可能面臨無法預料的挑戰。“云計算只是別人的數據中心”，這個概念讓很多人感到困惑，因為這可能假設企業放棄安全責任，因為“別人會照顧它”。

 

云計算系統、網絡和應用程序并非實際位于企業的控制范圍內，而是安全責任和風險的一種緩解。云計算基礎設施提供商可以在設置運營環境的方式、放置的內容，如何保護數據，以及如何監控環境方面實現大量控制。企業在整個環境中管理風險，并與現有安全框架保持一致是最重要的。

 

 

根據歐盟發布的通用數據保護法規和美國一些地區(亞利桑那州、科羅拉多州、加利福尼亞州和其他州)的類似政策，組織在保護云中的數據時面臨更高的要求。其解決方案并不像在數據中心安裝數據丟失防護軟件那么簡單，因為企業現在擁有很多不屬于自己但仍需要可見性和控制權的服務、系統和基礎設施。

 

共享或交換信息的云計算服務和基礎設施也難以管理：那么誰擁有服務級別協議?是否需要一個控制臺可以監控一切?DevOps迫使企業實施微分段，并調整防火墻規則變更管理流程。此外，采用無服務器計算允許開發人員運行代碼，而無需擔心基礎設施和平臺，為組織提供了降低成本和提高工作效率的方法。但是，如果沒有處理虛擬私有云和工作負載部署，事情可能會失控，就會開始看到重要數據可能泄漏。

 

 

組織可以采取幾個步驟來幫助降低在云中的數據風險。

 

1.設計保持一致。首先，將組織的云計算環境與網絡安全框架保持一致。通常，組織將業務迅速地遷移到云平臺，以至于應用于其內部部署數據中心的安全控制措施可能不會有效地遷移到云平臺。此外，組織可以采用軟件即服務(SaaS)應用程序(如Salesforce或Office 365)上的安全措施。但即使使用這些合法的業務應用程序，如果組織沒有正確的數據，數據可能會丟失能見度和控制力。因此，使云計算提供商技術與網絡安全框架和業務運營程序保持一致，可以實現高度安全、更高效的云平臺，從而提供更好的結果和成功的部署。

 

2.應該像對待局域網和數據中心那樣對待云計算系統和網絡。例如，亞馬遜公司的共享責任模型概述了其安全責任從何處結束，以及其安全責任從何處開始。盡管計算層存在威脅(正如人們在Meltdown、Foreshadow和Spectre中看到的那樣)，最近的云計算數據泄露事件已經顯示出組織安全責任領域的崩潰，即操作系統安全、數據加密和訪問控制。如果組織有管理服務器配置、漏洞管理、修補、身份和訪問管理、加密、分段、防火墻規則、應用程序開發和監控的標準，需要注意這些標準是否適用于云計算服務，并且定期進行審核。

 

3.有效的安全控制。很多組織通常會警告那些為了獲得靈活性和效率卻接入不安全無線接入點的員工，提醒他們注意安全。提供惡意檢測和入侵防御系統功能的無線控制器有助于控制這種行為。通過云計算技術，員工可以根據需要設置云計算存儲賬戶、無服務器計算環境和虛擬專用網絡，以避免繁瑣的變更控制程序，降低成本，并獲得類似的靈活性和效率。通過重新架構傳統網絡調整數十年前的流程和程序，實施云計算代理或云計算訪問安全代理(CASB)技術，并將其與強大的端點安全控制和有效的意識活動相結合，組織可以提供這種級別的靈活性和效率，但仍然可以提供數據保護。

 

4.密切關注。網絡安全運營中心(CSOC)不再僅僅關注本地網絡和數據中心。安全運營中心(CSOC)使用的運營監控程序、威脅搜尋、情報和事件響應也適用于組織數據所在的云計算環境。監控組織數據可能駐留的SaaS應用程序具有挑戰性，但可以使用有效的端點安全性以及云計算訪問解決方案(CASB和代理)的監控來完成。對于無服務器環境，根據組織的網絡安全運營中心(CSOC)要求，這可能意味著第三方監控平臺或解決方案的應用超出云計算提供商提供的范圍。在所有情況下，事件記錄和觸發器都需要反饋到網絡安全運營中心(CSOC)以便與本地事件數據、分析和威脅情報相關聯。

 

由于可用的云計算服務，組織難以管理風險。從“盡一切努力完成工作”到“做對企業有利的事情”的文化轉變需要大量的協調努力和時間，但其根源在于安全成為業務推動者。

 

如果需要繼續保護業務，組織必須在技術決策中包含安全性，并且其安全性必須了解業務需求和技術變化才能成為推動者。為了幫助阻止員工自己尋求技術問題解決方案，IT團隊和安全團隊必須開發他們的資產和功能，以提供速度和便利，或者需要不斷努力跟上這種需求。