技術(shù)
導(dǎo)讀:保護(hù)云計(jì)算曾經(jīng)是一項(xiàng)艱巨的任務(wù),但如今可以應(yīng)用多種控制和保護(hù)。
云計(jì)算可以提供多種好處,其中包括快速擴(kuò)展和縮小以滿(mǎn)足用戶(hù)需求。但由于對(duì)云計(jì)算安全性的擔(dān)憂(yōu),金融服務(wù)等高度監(jiān)管的行業(yè)領(lǐng)域中的組織在采用云計(jì)算技術(shù)方面的進(jìn)展很慢。
企業(yè)如何在保持安全的同時(shí)從云計(jì)算中獲得最大收益?
這種情況開(kāi)始發(fā)生變化:亞馬遜公司和微軟公司等基礎(chǔ)設(shè)施即服務(wù)(IaaS)巨頭正在將其數(shù)據(jù)中心的足跡擴(kuò)展到多個(gè)地點(diǎn),從而可以將受監(jiān)管行業(yè)的信息存儲(chǔ)在本地。與此同時(shí),安全控制和策略正在幫助企業(yè)利用云計(jì)算的軟件即服務(wù)(SaaS)應(yīng)用程序(如Salesforce)來(lái)提高效率,并加強(qiáng)協(xié)作。
如今,在某些情況下,云計(jì)算被認(rèn)為比內(nèi)部部署的解決方案更安全。但是,該技術(shù)還增加了必須考慮的安全風(fēng)險(xiǎn)。那么企業(yè)如何保持安全,同時(shí)從云計(jì)算中獲得最大收益?
在實(shí)施云計(jì)算之前,企業(yè)和技術(shù)領(lǐng)導(dǎo)者需要了解風(fēng)險(xiǎn)。重要的是,隨著網(wǎng)絡(luò)攻擊量的增加,云計(jì)算成為了尋找竊取數(shù)據(jù)或滲透系統(tǒng)的犯罪分子的目標(biāo)。
賽門(mén)鐵克公司技術(shù)服務(wù)部首席技術(shù)官兼副總裁Darren Thomson表示,“事實(shí)上,基礎(chǔ)設(shè)施層面的云平臺(tái)已被證明是一種極好的病毒傳播器,如果實(shí)例上存在病毒,由于這些環(huán)境的擴(kuò)展方式,病毒將會(huì)很快傳播?!?/p>
同時(shí),錯(cuò)誤配置可能會(huì)導(dǎo)致嚴(yán)重的問(wèn)題。Thomson表示,“人們可能會(huì)錯(cuò)誤地配置操作或者沒(méi)有正確修補(bǔ)操作系統(tǒng),這使得它很容易受到攻擊。”
云計(jì)算應(yīng)用程序可以使事情進(jìn)一步復(fù)雜化:用戶(hù)希望提高效率,但這會(huì)導(dǎo)致 “影子IT”的問(wèn)題,因?yàn)榧夹g(shù)領(lǐng)導(dǎo)者會(huì)失去組織內(nèi)部使用軟件的控制。
Gemalto公司數(shù)據(jù)保護(hù)服務(wù)高級(jí)總監(jiān)Gary Marsden對(duì)誰(shuí)應(yīng)該對(duì)保護(hù)云計(jì)算中的敏感或機(jī)密數(shù)據(jù)負(fù)最大責(zé)任進(jìn)行了解釋。
云安全的逐步方法
保護(hù)云安全對(duì)于企業(yè)來(lái)說(shuō)令人生畏,因此,專(zhuān)家建議采用逐步的方法。德勤公司英國(guó)分公司網(wǎng)絡(luò)風(fēng)險(xiǎn)服務(wù)總監(jiān)Jayme Metcalfe說(shuō),“我會(huì)考慮到風(fēng)險(xiǎn)管理。例如用戶(hù)的云服務(wù)預(yù)期用例是什么?在用戶(hù)實(shí)施任何事情之前,應(yīng)該有一個(gè)端到端的理解。這是很多企業(yè)倒閉的地方。他們想遷移到云平臺(tái),但不了解業(yè)務(wù)風(fēng)險(xiǎn)?!?/p>
事實(shí)上,在遷移到云端之前,建設(shè)性地應(yīng)用安全性可以成為業(yè)務(wù)推動(dòng)者,英國(guó)電信公司安全創(chuàng)新架構(gòu)師Richard Baker表示,“挑戰(zhàn)在于移動(dòng)到云端的組織如何平衡靈活性和成本的機(jī)會(huì),以及他們所提供的元素的風(fēng)險(xiǎn)?!?/p>
關(guān)于云安全:關(guān)鍵是評(píng)估風(fēng)險(xiǎn)
他將這種方式與消費(fèi)者注冊(cè)Facebook等網(wǎng)站,讓他們看到自己的某些情況進(jìn)行了比較,并補(bǔ)充說(shuō),“組織需要審視自己的態(tài)度,并接受風(fēng)險(xiǎn)。關(guān)鍵是評(píng)估企業(yè)的風(fēng)險(xiǎn),并充分了解其數(shù)據(jù)所在?!?/p>
Qualys公司EMEA地區(qū)首席技術(shù)安全官Darron Gibbard表示:“了解IT資產(chǎn)非常重要。如果不知道有什么,那么怎么能保護(hù)它?”
考慮到這一點(diǎn),ECS公司負(fù)責(zé)人Allan Brearley強(qiáng)調(diào),可見(jiàn)性是云計(jì)算部署的關(guān)鍵。 “企業(yè)需要了解實(shí)際擁有的數(shù)據(jù)以及需要保護(hù)的數(shù)據(jù)非常重要。應(yīng)該有一個(gè)數(shù)據(jù)庫(kù),而這是必要的?!?/p>
Thomson認(rèn)為企業(yè)需要評(píng)估數(shù)據(jù)。他說(shuō),“云計(jì)算訪問(wèn)安全代理(CASB)是位于云計(jì)算和用戶(hù)之間的軟件,可以提供幫助。它允許企業(yè)評(píng)估數(shù)據(jù),并具有可見(jiàn)性。但缺點(diǎn)是,我們需要告訴云計(jì)算訪問(wèn)安全代理(CASB)要看到些什么?!?/p>
云安全的其他考慮因素
PA咨詢(xún)公司的網(wǎng)絡(luò)安全負(fù)責(zé)人Elliot Rose表示,在使用云計(jì)算IaaS時(shí),企業(yè)需要確保自己的軟件開(kāi)發(fā)考慮到安全要求。Rose說(shuō),“例如,它是如何托管的,誰(shuí)托管它?是什么控制水平?”
Thomson解釋說(shuō):“另一個(gè)重要的考慮因素是提供者和客戶(hù)之間的共同責(zé)任模型。在該模型下,云計(jì)算提供商負(fù)責(zé)基礎(chǔ)設(shè)施,因此他們的數(shù)據(jù)中心的物理安全性就是他們面臨的主要問(wèn)題。例如,如果企業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施被黑客入侵,他們還要對(duì)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全負(fù)責(zé)。他們有時(shí)還要對(duì)虛擬機(jī)管理程序本身負(fù)責(zé),但并不對(duì)客戶(hù)的數(shù)據(jù)負(fù)責(zé)。”
另一個(gè)考慮因素取決于組織所在的行業(yè)。不同類(lèi)型的企業(yè)將有不同的數(shù)據(jù)保護(hù)需求:例如,政府機(jī)構(gòu)或金融公司必須遵守比零售商更嚴(yán)格的監(jiān)管指導(dǎo)準(zhǔn)則。但是,根據(jù)歐盟數(shù)據(jù)保護(hù)法規(guī)(GDPR),所有公司都有責(zé)任保護(hù)客戶(hù)和用戶(hù)數(shù)據(jù)。
Rose說(shuō),現(xiàn)在有一種由監(jiān)管驅(qū)動(dòng)的安全設(shè)計(jì)方法。他還指出用戶(hù)有責(zé)任深入挖掘,查看供應(yīng)鏈,并實(shí)施數(shù)據(jù)影響評(píng)估。
與此同時(shí),McAfee公司數(shù)據(jù)隱私專(zhuān)家Nigel Hawthorn指出,“如果你是數(shù)據(jù)控制者,那么仍然需要對(duì)信息負(fù)責(zé),無(wú)論使用哪種數(shù)據(jù)處理器,還是將其外包給任何人,其中包括云計(jì)算。”
保護(hù)云計(jì)算曾經(jīng)是一項(xiàng)艱巨的任務(wù),但如今可以應(yīng)用多種控制和保護(hù)。作為其中的一部分,員工的支持是關(guān)鍵:企業(yè)可以培訓(xùn)員工使用已批準(zhǔn)的版本,而不是阻止云計(jì)算應(yīng)用或服務(wù)。在技術(shù)方面,專(zhuān)家提倡基本的安全控制,如加密和雙因素身份驗(yàn)證。
此外,Gibbard認(rèn)為擁有合適的工具集非常重要,包括網(wǎng)絡(luò)掃描和修補(bǔ)。他表示,后者是在任何環(huán)境中防止網(wǎng)絡(luò)攻擊的簡(jiǎn)單方法。
Gibbard表示,同時(shí),持續(xù)監(jiān)控使企業(yè)能夠跟蹤其環(huán)境中的數(shù)據(jù),他還提倡基于角色的訪問(wèn)控制和確保可以訪問(wèn)正確的系統(tǒng)數(shù)據(jù)。
一旦企業(yè)掌握了他們需要做出安全保護(hù)的操作,就該開(kāi)始研究遷移到云端的東西。正如Thomson警告的那樣:“沒(méi)有人擁有無(wú)限的預(yù)算,因此將所有內(nèi)容放入云端,并在云平臺(tái)添加安全應(yīng)用程序是不現(xiàn)實(shí)的。所有這些都需要評(píng)估?!?/p>