應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

安全實施云計算,最新思維指南了解一下

2018-12-07 09:42 企業(yè)網(wǎng)D1NetHERO

導讀:保護云計算曾經(jīng)是一項艱巨的任務(wù),但如今可以應(yīng)用多種控制和保護。

云計算可以提供多種好處,其中包括快速擴展和縮小以滿足用戶需求。但由于對云計算安全性的擔憂,金融服務(wù)等高度監(jiān)管的行業(yè)領(lǐng)域中的組織在采用云計算技術(shù)方面的進展很慢。

企業(yè)如何在保持安全的同時從云計算中獲得最大收益?

這種情況開始發(fā)生變化:亞馬遜公司和微軟公司等基礎(chǔ)設(shè)施即服務(wù)(IaaS)巨頭正在將其數(shù)據(jù)中心的足跡擴展到多個地點,從而可以將受監(jiān)管行業(yè)的信息存儲在本地。與此同時,安全控制和策略正在幫助企業(yè)利用云計算的軟件即服務(wù)(SaaS)應(yīng)用程序(如Salesforce)來提高效率,并加強協(xié)作。

如今,在某些情況下,云計算被認為比內(nèi)部部署的解決方案更安全。但是,該技術(shù)還增加了必須考慮的安全風險。那么企業(yè)如何保持安全,同時從云計算中獲得最大收益?

在實施云計算之前,企業(yè)和技術(shù)領(lǐng)導者需要了解風險。重要的是,隨著網(wǎng)絡(luò)攻擊量的增加,云計算成為了尋找竊取數(shù)據(jù)或滲透系統(tǒng)的犯罪分子的目標。

賽門鐵克公司技術(shù)服務(wù)部首席技術(shù)官兼副總裁Darren Thomson表示,“事實上,基礎(chǔ)設(shè)施層面的云平臺已被證明是一種極好的病毒傳播器,如果實例上存在病毒,由于這些環(huán)境的擴展方式,病毒將會很快傳播?!?/p>

同時,錯誤配置可能會導致嚴重的問題。Thomson表示,“人們可能會錯誤地配置操作或者沒有正確修補操作系統(tǒng),這使得它很容易受到攻擊?!?/p>

云計算應(yīng)用程序可以使事情進一步復雜化:用戶希望提高效率,但這會導致 “影子IT”的問題,因為技術(shù)領(lǐng)導者會失去組織內(nèi)部使用軟件的控制。

Gemalto公司數(shù)據(jù)保護服務(wù)高級總監(jiān)Gary Marsden對誰應(yīng)該對保護云計算中的敏感或機密數(shù)據(jù)負最大責任進行了解釋。

云安全的逐步方法

保護云安全對于企業(yè)來說令人生畏,因此,專家建議采用逐步的方法。德勤公司英國分公司網(wǎng)絡(luò)風險服務(wù)總監(jiān)Jayme Metcalfe說,“我會考慮到風險管理。例如用戶的云服務(wù)預(yù)期用例是什么?在用戶實施任何事情之前,應(yīng)該有一個端到端的理解。這是很多企業(yè)倒閉的地方。他們想遷移到云平臺,但不了解業(yè)務(wù)風險?!?/p>

事實上,在遷移到云端之前,建設(shè)性地應(yīng)用安全性可以成為業(yè)務(wù)推動者,英國電信公司安全創(chuàng)新架構(gòu)師Richard Baker表示,“挑戰(zhàn)在于移動到云端的組織如何平衡靈活性和成本的機會,以及他們所提供的元素的風險?!?/p>

關(guān)于云安全:關(guān)鍵是評估風險

他將這種方式與消費者注冊Facebook等網(wǎng)站,讓他們看到自己的某些情況進行了比較,并補充說,“組織需要審視自己的態(tài)度,并接受風險。關(guān)鍵是評估企業(yè)的風險,并充分了解其數(shù)據(jù)所在。”

Qualys公司EMEA地區(qū)首席技術(shù)安全官Darron Gibbard表示:“了解IT資產(chǎn)非常重要。如果不知道有什么,那么怎么能保護它?”

考慮到這一點,ECS公司負責人Allan Brearley強調(diào),可見性是云計算部署的關(guān)鍵。 “企業(yè)需要了解實際擁有的數(shù)據(jù)以及需要保護的數(shù)據(jù)非常重要。應(yīng)該有一個數(shù)據(jù)庫,而這是必要的?!?/p>

Thomson認為企業(yè)需要評估數(shù)據(jù)。他說,“云計算訪問安全代理(CASB)是位于云計算和用戶之間的軟件,可以提供幫助。它允許企業(yè)評估數(shù)據(jù),并具有可見性。但缺點是,我們需要告訴云計算訪問安全代理(CASB)要看到些什么?!?/p>

云安全的其他考慮因素

PA咨詢公司的網(wǎng)絡(luò)安全負責人Elliot Rose表示,在使用云計算IaaS時,企業(yè)需要確保自己的軟件開發(fā)考慮到安全要求。Rose說,“例如,它是如何托管的,誰托管它?是什么控制水平?”

Thomson解釋說:“另一個重要的考慮因素是提供者和客戶之間的共同責任模型。在該模型下,云計算提供商負責基礎(chǔ)設(shè)施,因此他們的數(shù)據(jù)中心的物理安全性就是他們面臨的主要問題。例如,如果企業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施被黑客入侵,他們還要對網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全負責。他們有時還要對虛擬機管理程序本身負責,但并不對客戶的數(shù)據(jù)負責?!?/p>

另一個考慮因素取決于組織所在的行業(yè)。不同類型的企業(yè)將有不同的數(shù)據(jù)保護需求:例如,政府機構(gòu)或金融公司必須遵守比零售商更嚴格的監(jiān)管指導準則。但是,根據(jù)歐盟數(shù)據(jù)保護法規(guī)(GDPR),所有公司都有責任保護客戶和用戶數(shù)據(jù)。

Rose說,現(xiàn)在有一種由監(jiān)管驅(qū)動的安全設(shè)計方法。他還指出用戶有責任深入挖掘,查看供應(yīng)鏈,并實施數(shù)據(jù)影響評估。

與此同時,McAfee公司數(shù)據(jù)隱私專家Nigel Hawthorn指出,“如果你是數(shù)據(jù)控制者,那么仍然需要對信息負責,無論使用哪種數(shù)據(jù)處理器,還是將其外包給任何人,其中包括云計算。”

保護云計算曾經(jīng)是一項艱巨的任務(wù),但如今可以應(yīng)用多種控制和保護。作為其中的一部分,員工的支持是關(guān)鍵:企業(yè)可以培訓員工使用已批準的版本,而不是阻止云計算應(yīng)用或服務(wù)。在技術(shù)方面,專家提倡基本的安全控制,如加密和雙因素身份驗證。

此外,Gibbard認為擁有合適的工具集非常重要,包括網(wǎng)絡(luò)掃描和修補。他表示,后者是在任何環(huán)境中防止網(wǎng)絡(luò)攻擊的簡單方法。

Gibbard表示,同時,持續(xù)監(jiān)控使企業(yè)能夠跟蹤其環(huán)境中的數(shù)據(jù),他還提倡基于角色的訪問控制和確保可以訪問正確的系統(tǒng)數(shù)據(jù)。

一旦企業(yè)掌握了他們需要做出安全保護的操作,就該開始研究遷移到云端的東西。正如Thomson警告的那樣:“沒有人擁有無限的預(yù)算,因此將所有內(nèi)容放入云端,并在云平臺添加安全應(yīng)用程序是不現(xiàn)實的。所有這些都需要評估?!?/p>