導讀:保護云計算曾經(jīng)是一項艱巨的任務,但如今可以應用多種控制和保護。
云計算可以提供多種好處,其中包括快速擴展和縮小以滿足用戶需求。但由于對云計算安全性的擔憂,金融服務等高度監(jiān)管的行業(yè)領域中的組織在采用云計算技術方面的進展很慢。
企業(yè)如何在保持安全的同時從云計算中獲得最大收益?
這種情況開始發(fā)生變化:亞馬遜公司和微軟公司等基礎設施即服務(IaaS)巨頭正在將其數(shù)據(jù)中心的足跡擴展到多個地點,從而可以將受監(jiān)管行業(yè)的信息存儲在本地。與此同時,安全控制和策略正在幫助企業(yè)利用云計算的軟件即服務(SaaS)應用程序(如Salesforce)來提高效率,并加強協(xié)作。
如今,在某些情況下,云計算被認為比內部部署的解決方案更安全。但是,該技術還增加了必須考慮的安全風險。那么企業(yè)如何保持安全,同時從云計算中獲得最大收益?
在實施云計算之前,企業(yè)和技術領導者需要了解風險。重要的是,隨著網(wǎng)絡攻擊量的增加,云計算成為了尋找竊取數(shù)據(jù)或滲透系統(tǒng)的犯罪分子的目標。
賽門鐵克公司技術服務部首席技術官兼副總裁Darren Thomson表示,“事實上,基礎設施層面的云平臺已被證明是一種極好的病毒傳播器,如果實例上存在病毒,由于這些環(huán)境的擴展方式,病毒將會很快傳播?!?/p>
同時,錯誤配置可能會導致嚴重的問題。Thomson表示,“人們可能會錯誤地配置操作或者沒有正確修補操作系統(tǒng),這使得它很容易受到攻擊?!?/p>
云計算應用程序可以使事情進一步復雜化:用戶希望提高效率,但這會導致 “影子IT”的問題,因為技術領導者會失去組織內部使用軟件的控制。
Gemalto公司數(shù)據(jù)保護服務高級總監(jiān)Gary Marsden對誰應該對保護云計算中的敏感或機密數(shù)據(jù)負最大責任進行了解釋。
云安全的逐步方法
保護云安全對于企業(yè)來說令人生畏,因此,專家建議采用逐步的方法。德勤公司英國分公司網(wǎng)絡風險服務總監(jiān)Jayme Metcalfe說,“我會考慮到風險管理。例如用戶的云服務預期用例是什么?在用戶實施任何事情之前,應該有一個端到端的理解。這是很多企業(yè)倒閉的地方。他們想遷移到云平臺,但不了解業(yè)務風險?!?/p>
事實上,在遷移到云端之前,建設性地應用安全性可以成為業(yè)務推動者,英國電信公司安全創(chuàng)新架構師Richard Baker表示,“挑戰(zhàn)在于移動到云端的組織如何平衡靈活性和成本的機會,以及他們所提供的元素的風險?!?/p>
關于云安全:關鍵是評估風險
他將這種方式與消費者注冊Facebook等網(wǎng)站,讓他們看到自己的某些情況進行了比較,并補充說,“組織需要審視自己的態(tài)度,并接受風險。關鍵是評估企業(yè)的風險,并充分了解其數(shù)據(jù)所在?!?/p>
Qualys公司EMEA地區(qū)首席技術安全官Darron Gibbard表示:“了解IT資產(chǎn)非常重要。如果不知道有什么,那么怎么能保護它?”
考慮到這一點,ECS公司負責人Allan Brearley強調,可見性是云計算部署的關鍵。 “企業(yè)需要了解實際擁有的數(shù)據(jù)以及需要保護的數(shù)據(jù)非常重要。應該有一個數(shù)據(jù)庫,而這是必要的。”
Thomson認為企業(yè)需要評估數(shù)據(jù)。他說,“云計算訪問安全代理(CASB)是位于云計算和用戶之間的軟件,可以提供幫助。它允許企業(yè)評估數(shù)據(jù),并具有可見性。但缺點是,我們需要告訴云計算訪問安全代理(CASB)要看到些什么。”
云安全的其他考慮因素
PA咨詢公司的網(wǎng)絡安全負責人Elliot Rose表示,在使用云計算IaaS時,企業(yè)需要確保自己的軟件開發(fā)考慮到安全要求。Rose說,“例如,它是如何托管的,誰托管它?是什么控制水平?”
Thomson解釋說:“另一個重要的考慮因素是提供者和客戶之間的共同責任模型。在該模型下,云計算提供商負責基礎設施,因此他們的數(shù)據(jù)中心的物理安全性就是他們面臨的主要問題。例如,如果企業(yè)網(wǎng)絡和基礎設施被黑客入侵,他們還要對網(wǎng)絡和基礎設施安全負責。他們有時還要對虛擬機管理程序本身負責,但并不對客戶的數(shù)據(jù)負責。”
另一個考慮因素取決于組織所在的行業(yè)。不同類型的企業(yè)將有不同的數(shù)據(jù)保護需求:例如,政府機構或金融公司必須遵守比零售商更嚴格的監(jiān)管指導準則。但是,根據(jù)歐盟數(shù)據(jù)保護法規(guī)(GDPR),所有公司都有責任保護客戶和用戶數(shù)據(jù)。
Rose說,現(xiàn)在有一種由監(jiān)管驅動的安全設計方法。他還指出用戶有責任深入挖掘,查看供應鏈,并實施數(shù)據(jù)影響評估。
與此同時,McAfee公司數(shù)據(jù)隱私專家Nigel Hawthorn指出,“如果你是數(shù)據(jù)控制者,那么仍然需要對信息負責,無論使用哪種數(shù)據(jù)處理器,還是將其外包給任何人,其中包括云計算?!?/p>
保護云計算曾經(jīng)是一項艱巨的任務,但如今可以應用多種控制和保護。作為其中的一部分,員工的支持是關鍵:企業(yè)可以培訓員工使用已批準的版本,而不是阻止云計算應用或服務。在技術方面,專家提倡基本的安全控制,如加密和雙因素身份驗證。
此外,Gibbard認為擁有合適的工具集非常重要,包括網(wǎng)絡掃描和修補。他表示,后者是在任何環(huán)境中防止網(wǎng)絡攻擊的簡單方法。
Gibbard表示,同時,持續(xù)監(jiān)控使企業(yè)能夠跟蹤其環(huán)境中的數(shù)據(jù),他還提倡基于角色的訪問控制和確??梢栽L問正確的系統(tǒng)數(shù)據(jù)。
一旦企業(yè)掌握了他們需要做出安全保護的操作,就該開始研究遷移到云端的東西。正如Thomson警告的那樣:“沒有人擁有無限的預算,因此將所有內容放入云端,并在云平臺添加安全應用程序是不現(xiàn)實的。所有這些都需要評估?!?/p>