混合IT環境的興起,以及與云和本地服務的混合,給高管們帶來了新的安全問題。
安全專家認為,這是因為技術和安全領導者不僅要面對云和本地系統的威脅,還要面對企業在混合IT環境中一起使用這些系統時,所出現的漏洞。
“隨著復雜性的擴大,有越來越多不同的環境–而且,這些環境往往會不斷增加–運營,管理和安全性會變得更復雜,” Ed Moyle說,他是Rolling Meadows的全球獨立非盈利協會ISACA的新興業務和技術總監。
Moyle和其他幾位安全專家都表示:混合IT環境需要一個網絡安全計劃,為其本地組件提供可靠的戰略,同時包含保護其云計劃的方法。
對這一安全規劃和協議中新出現的問題,大多數企業都意識到了挑戰。軟件公司SolarWinds最近的一份報告發現,69%的IT專業人士表示,他們的企業使用三個云供應商的環境。
報告“IT Trends Report: Portrait of a Hybrid IT Environment”也發現,62%的北美受訪者表示,基礎設施新增的復雜性是一個挑戰,而47%的受訪者表示“缺乏對云基礎設施安全性的控制和可視性”造成了復雜性。
然而,同一份報告也發現,只有39%的北美受訪者表示,他們的企業在其混合IT開發戰略中包含安全性。
共享的,一致的責任咨詢公司Protiviti的全球信息安全項目總監Scott Laliberte表示,企業IT領導者首先應該認識到,混合IT環境需要劃分安全責任,而這種責任并不存在于現有的本地或云場景中。
他解釋說:“你們有共享的責任,有云供應商的責任和企業自身的責任 – 也許還有一些第三方應用供應商的負責。”
Laliberte說,在與供應商的合同中,企業應該明確說明供應商將會承擔哪些安全工作,以及企業承擔的部分。
“Cybercrime: The Madness Behind the Methods”一書的作者Richard White說,許多IT企業,特別是中小企業,都沒有采取這一措施。
“他們積極參與,但是他們幾乎或者根本不知道他們將失去對數據的直接控制和可視性,”White說,他是馬里蘭大學網絡安全和信息保障課程的負責人,同時也是Oxford Solutions的總經理。
“他們不明白在云層面或服務水平協議中應該承擔什么責任,責任范圍非常模糊。”
專家表示,分配安全責任,并記錄每個人的責任只是必需完成的一部分。企業IT還必須明確他們將如何監督和管理這些雙重責任 – 并確保雙方都完成這些責任。
Laliberte說:“真正了解誰對哪一件事負責,對于那些不在企業直接控制范圍內的控制權,你可以做哪些盡職調查,以及如何獲得合規性證據。”
專家說,對于許多IT企業來說,很大一部分困難是在混合IT環境中保持一致的安全策略。例如,無論應用和基礎設施位于何處,都應該在任何需要的地方應用和實施諸如數據泄漏防護功能和終端用戶行為分析等工具。
Laliberte說,云訪問安全代理,CASB在這方面很有幫助。CASB是一種軟件工具或服務,位于企業的本地基礎設施與其云供應商之間,確保兩點之間的流量符合設定的安全策略。
但是,盡管CASB在監督和指標方面可以創建一致性,但它們并不是萬能的。“它也有缺點,它可能成為故障點,有些可能會帶來潛在的彈性和其他安全問題,”Laliberte解釋說。
更好的治理,更多的動力混合IT環境還經常需要額外的安全措施,這在本地環境中,或云設置中可能不需要。
專家們指出,企業可能需要對傳輸中的數據進行加密,當數據在本地和云之間移動,如果數據始終處于一個環境中,可能不需要這樣做。而且,混合環境在使用加密時,需要有額外的考慮。
Laliberte說:“加密密鑰的管理可能被忽視。通常情況下,這是由云供應商負責的,企業沒有控制權。加密也是如此:供應商通常負責控制加密。”
Moyle說,在混合環境中,意外后果的風險也會增加,一個進程的升級可能會影響其他方面的安全性。
網絡安全領導人認為,混合IT環境的額外復雜性也提高了對強有力治理的需求。而且,治理必須統一,企業不應該有兩個完全獨立的治理運營 – 一個用于本地,一個用于云。
“安全已經很難,為什么要分開管理?”Laliberte說。
其他人則認為,有這么多的責任需要明確,分配和監督,沒有勤奮和動態的監管就不能做好。專業服務公司PwC的合伙人Shawn Connors表示,治理方面仍然令人困惑。
Connors說:“技術方面,比如如何把所有東西連接在一起,都是很好理解的。但是執行政策和標準,并理解其中的職責和責任,則不是,” “如果我必須從治理政策中完成X,Y,Z,我需要了解它是什么,并將其寫入我與云服務供應商簽訂的合同中,并規定標準。這似乎仍然很困惑。”
京公網安備 11010502049343號