安全实施云计算指南的最新思维
网友 企业网

企业如何在保持安全的同时从云计算中获得最大收益?

 

这种情况开始发生变化:亚马逊公司和微软公司等基础设施即服务(IaaS)巨头正在将其数据中心的足迹扩展到多个地点,从而可以将受监管行业的信息存储在本地。与此同时,安全控制和策略正在帮助企业利用云计算的软件即服务(SaaS)应用程序(如Salesforce)来提高效率,并加强协作。

 

如今,在某些情况下,云计算被认为比内部部署的解决方案更安全。但是,该技术还增加了必须考虑的安全风险。那么企业如何保持安全,同时从云计算中获得最大收益?

 

在实施云计算之前,企业和技术领导者需要了解风险。重要的是,随着网络攻击量的增加,云计算成为了寻找窃取数据或渗透系统的犯罪分子的目标。

 

赛门铁克公司技术服务部首席技术官兼副总裁Darren Thomson表示,“事实上,基础设施层面的云平台已被证明是一种极好的病毒传播器,如果实例上存在病毒,由于这些环境的扩展方式,病毒将会很快传播。”

 

同时,错误配置可能会导致严重的问题。Thomson表示,“人们可能会错误地配置操作或者没有正确修补操作系统,这使得它很容易受到攻击。”

 

云计算应用程序可以使事情进一步复杂化:用户希望提高效率,但这会导致 “影子IT”的问题,因为技术领导者会失去组织内部使用软件的控制。

 

Gemalto公司数据保护服务高级总监Gary Marsden对谁应该对保护云计算中的敏感或机密数据负最大责任进行了解释。

 

云安全的逐步方法

 

保护云安全对于企业来说令人生畏,因此,专家建议采用逐步的方法。德勤公司英国分公司网络风险服务总监Jayme Metcalfe说,“我会考虑到风险管理。例如用户的云服务预期用例是什么?在用户实施任何事情之前,应该有一个端到端的理解。这是很多企业倒闭的地方。他们想迁移到云平台,但不了解业务风险。”

 

事实上,在迁移到云端之前,建设性地应用安全性可以成为业务推动者,英国电信公司安全创新架构师Richard Baker表示,“挑战在于移动到云端的组织如何平衡灵活性和成本的机会,以及他们所提供的元素的风险。”

 

关于云安全:关键是评估风险

 

他将这种方式与消费者注册Facebook等网站,让他们看到自己的某些情况进行了比较,并补充说,“组织需要审视自己的态度,并接受风险。关键是评估企业的风险,并充分了解其数据所在。”

 

Qualys公司EMEA地区首席技术安全官Darron Gibbard表示:“了解IT资产非常重要。如果不知道有什么,那么怎么能保护它?”

 

考虑到这一点,ECS公司负责人Allan Brearley强调,可见性是云计算部署的关键。 “企业需要了解实际拥有的数据以及需要保护的数据非常重要。应该有一个数据库,而这是必要的。”

 

Thomson认为企业需要评估数据。他说,“云计算访问安全代理(CASB)是位于云计算和用户之间的软件,可以提供帮助。它允许企业评估数据,并具有可见性。但缺点是,我们需要告诉云计算访问安全代理(CASB)要看到些什么。”

 

云安全的其他考虑因素

 

PA咨询公司的网络安全负责人Elliot Rose表示,在使用云计算IaaS时,企业需要确保自己的软件开发考虑到安全要求。Rose说,“例如,它是如何托管的,谁托管它?是什么控制水平?”

 

Thomson解释说:“另一个重要的考虑因素是提供者和客户之间的共同责任模型。在该模型下,云计算提供商负责基础设施,因此他们的数据中心的物理安全性就是他们面临的主要问题。例如,如果企业网络和基础设施被黑客入侵,他们还要对网络和基础设施安全负责。他们有时还要对虚拟机管理程序本身负责,但并不对客户的数据负责。”

 

另一个考虑因素取决于组织所在的行业。不同类型的企业将有不同的数据保护需求:例如,政府机构或金融公司必须遵守比零售商更严格的监管指导准则。但是,根据欧盟数据保护法规(GDPR),所有公司都有责任保护客户和用户数据。

 

Rose说,现在有一种由监管驱动的安全设计方法。他还指出用户有责任深入挖掘,查看供应链,并实施数据影响评估。

 

与此同时,McAfee公司数据隐私专家Nigel Hawthorn指出,“如果你是数据控制者,那么仍然需要对信息负责,无论使用哪种数据处理器,还是将其外包给任何人,其中包括云计算。”

 

保护云计算曾经是一项艰巨的任务,但如今可以应用多种控制和保护。作为其中的一部分,员工的支持是关键:企业可以培训员工使用已批准的版本,而不是阻止云计算应用或服务。在技术方面,专家提倡基本的安全控制,如加密和双因素身份验证。

 

此外,Gibbard认为拥有合适的工具集非常重要,包括网络扫描和修补。他表示,后者是在任何环境中防止网络攻击的简单方法。

 

Gibbard表示,同时,持续监控使企业能够跟踪其环境中的数据,他还提倡基于角色的访问控制和确保可以访问正确的系统数据。

 

一旦企业掌握了他们需要做出安全保护的操作,就该开始研究迁移到云端的东西。正如Thomson警告的那样:“没有人拥有无限的预算,因此将所有内容放入云端,并在云平台添加安全应用程序是不现实的。所有这些都需要评估。”


CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢