云計算可以提供多種好處���,其中包括快速擴展和縮小以滿足用戶需求�����。但由于對云計算安全性的擔憂�,金融服務等高度監(jiān)管的行業(yè)領域中的組織在采用云計算技術方面的進展很慢����。
企業(yè)如何在保持安全的同時從云計算中獲得最大收益?
這種情況開始發(fā)生變化:亞馬遜公司和微軟公司等基礎設施即服務(IaaS)巨頭正在將其數(shù)據(jù)中心的足跡擴展到多個地點,從而可以將受監(jiān)管行業(yè)的信息存儲在本地����。與此同時,安全控制和策略正在幫助企業(yè)利用云計算的軟件即服務(SaaS)應用程序(如Salesforce)來提高效率�����,并加強協(xié)作�。
如今�,在某些情況下,云計算被認為比內(nèi)部部署的解決方案更安全��。但是,該技術還增加了必須考慮的安全風險�。那么企業(yè)如何保持安全,同時從云計算中獲得最大收益?
在實施云計算之前�����,企業(yè)和技術領導者需要了解風險�。重要的是,隨著網(wǎng)絡攻擊量的增加���,云計算成為了尋找竊取數(shù)據(jù)或滲透系統(tǒng)的犯罪分子的目標���。
賽門鐵克公司技術服務部首席技術官兼副總裁Darren
Thomson表示,“事實上���,基礎設施層面的云平臺已被證明是一種極好的病毒傳播器�����,如果實例上存在病毒��,由于這些環(huán)境的擴展方式����,病毒將會很快傳播?����!?/p>
同時�,錯誤配置可能會導致嚴重的問題。Thomson表示�,“人們可能會錯誤地配置操作或者沒有正確修補操作系統(tǒng),這使得它很容易受到攻擊���?�!?/p>
云計算應用程序可以使事情進一步復雜化:用戶希望提高效率���,但這會導致 “影子IT”的問題,因為技術領導者會失去組織內(nèi)部使用軟件的控制��。
Gemalto公司數(shù)據(jù)保護服務高級總監(jiān)Gary Marsden對誰應該對保護云計算中的敏感或機密數(shù)據(jù)負最大責任進行了解釋���。
云安全的逐步方法
保護云安全對于企業(yè)來說令人生畏����,因此�,專家建議采用逐步的方法。德勤公司英國分公司網(wǎng)絡風險服務總監(jiān)Jayme
Metcalfe說���,“我會考慮到風險管理��。例如用戶的云服務預期用例是什么?在用戶實施任何事情之前��,應該有一個端到端的理解���。這是很多企業(yè)倒閉的地方。他們想遷移到云平臺����,但不了解業(yè)務風險?��!?/p>
事實上�����,在遷移到云端之前�,建設性地應用安全性可以成為業(yè)務推動者�,英國電信公司安全創(chuàng)新架構師Richard
Baker表示��,“挑戰(zhàn)在于移動到云端的組織如何平衡靈活性和成本的機會�����,以及他們所提供的元素的風險�?��!?/p>
關于云安全:關鍵是評估風險
他將這種方式與消費者注冊Facebook等網(wǎng)站���,讓他們看到自己的某些情況進行了比較,并補充說����,“組織需要審視自己的態(tài)度,并接受風險�����。關鍵是評估企業(yè)的風險�����,并充分了解其數(shù)據(jù)所在����?!?/p>
Qualys公司EMEA地區(qū)首席技術安全官Darron Gibbard表示:“了解IT資產(chǎn)非常重要��。如果不知道有什么���,那么怎么能保護它?”
考慮到這一點,ECS公司負責人Allan Brearley強調(diào)���,可見性是云計算部署的關鍵��。
“企業(yè)需要了解實際擁有的數(shù)據(jù)以及需要保護的數(shù)據(jù)非常重要����。應該有一個數(shù)據(jù)庫�,而這是必要的?!?/p>
Thomson認為企業(yè)需要評估數(shù)據(jù)。他說�����,“云計算訪問安全代理(CASB)是位于云計算和用戶之間的軟件����,可以提供幫助�����。它允許企業(yè)評估數(shù)據(jù)��,并具有可見性���。但缺點是,我們需要告訴云計算訪問安全代理(CASB)要看到些什么�����?�!?/p>
云安全的其他考慮因素
PA咨詢公司的網(wǎng)絡安全負責人Elliot
Rose表示���,在使用云計算IaaS時�,企業(yè)需要確保自己的軟件開發(fā)考慮到安全要求�。Rose說,“例如��,它是如何托管的���,誰托管它?是什么控制水平?”
Thomson解釋說:“另一個重要的考慮因素是提供者和客戶之間的共同責任模型����。在該模型下,云計算提供商負責基礎設施����,因此他們的數(shù)據(jù)中心的物理安全性就是他們面臨的主要問題����。例如,如果企業(yè)網(wǎng)絡和基礎設施被黑客入侵���,他們還要對網(wǎng)絡和基礎設施安全負責��。他們有時還要對虛擬機管理程序本身負責����,但并不對客戶的數(shù)據(jù)負責�����?��!?/p>
另一個考慮因素取決于組織所在的行業(yè)�。不同類型的企業(yè)將有不同的數(shù)據(jù)保護需求:例如,政府機構或金融公司必須遵守比零售商更嚴格的監(jiān)管指導準則���。但是��,根據(jù)歐盟數(shù)據(jù)保護法規(guī)(GDPR)��,所有公司都有責任保護客戶和用戶數(shù)據(jù)�。
Rose說�����,現(xiàn)在有一種由監(jiān)管驅動的安全設計方法�。他還指出用戶有責任深入挖掘,查看供應鏈�,并實施數(shù)據(jù)影響評估。
與此同時���,McAfee公司數(shù)據(jù)隱私專家Nigel
Hawthorn指出���,“如果你是數(shù)據(jù)控制者,那么仍然需要對信息負責,無論使用哪種數(shù)據(jù)處理器��,還是將其外包給任何人�����,其中包括云計算����。”
保護云計算曾經(jīng)是一項艱巨的任務��,但如今可以應用多種控制和保護����。作為其中的一部分����,員工的支持是關鍵:企業(yè)可以培訓員工使用已批準的版本,而不是阻止云計算應用或服務��。在技術方面��,專家提倡基本的安全控制��,如加密和雙因素身份驗證����。
此外�����,Gibbard認為擁有合適的工具集非常重要����,包括網(wǎng)絡掃描和修補�����。他表示��,后者是在任何環(huán)境中防止網(wǎng)絡攻擊的簡單方法���。
Gibbard表示�,同時����,持續(xù)監(jiān)控使企業(yè)能夠跟蹤其環(huán)境中的數(shù)據(jù),他還提倡基于角色的訪問控制和確?�?梢栽L問正確的系統(tǒng)數(shù)據(jù)。
一旦企業(yè)掌握了他們需要做出安全保護的操作��,就該開始研究遷移到云端的東西�。正如Thomson警告的那樣:“沒有人擁有無限的預算,因此將所有內(nèi)容放入云端�����,并在云平臺添加安全應用程序是不現(xiàn)實的��。所有這些都需要評估�。”
