导读:保护云计算曾经是一项艰巨的任务,但如今可以应用多种控制和保护。
云计算可以提供多种好处,其中包括快速扩展和缩小以满足用户需求。但由于对云计算安全性的担忧,金融服务等高度监管的行业领域中的组织在采用云计算技术方面的进展很慢。
企业如何在保持安全的同时从云计算中获得最大收益?
这种情况开始发生变化:亚马逊公司和微软公司等基础设施即服务(IaaS)巨头正在将其数据中心的足迹扩展到多个地点,从而可以将受监管行业的信息存储在本地。与此同时,安全控制和策略正在帮助企业利用云计算的软件即服务(SaaS)应用程序(如Salesforce)来提高效率,并加强协作。
如今,在某些情况下,云计算被认为比内部部署的解决方案更安全。但是,该技术还增加了必须考虑的安全风险。那么企业如何保持安全,同时从云计算中获得最大收益?
在实施云计算之前,企业和技术领导者需要了解风险。重要的是,随着网络攻击量的增加,云计算成为了寻找窃取数据或渗透系统的犯罪分子的目标。
赛门铁克公司技术服务部首席技术官兼副总裁Darren Thomson表示,“事实上,基础设施层面的云平台已被证明是一种极好的病毒传播器,如果实例上存在病毒,由于这些环境的扩展方式,病毒将会很快传播。”
同时,错误配置可能会导致严重的问题。Thomson表示,“人们可能会错误地配置操作或者没有正确修补操作系统,这使得它很容易受到攻击。”
云计算应用程序可以使事情进一步复杂化:用户希望提高效率,但这会导致 “影子IT”的问题,因为技术领导者会失去组织内部使用软件的控制。
Gemalto公司数据保护服务高级总监Gary Marsden对谁应该对保护云计算中的敏感或机密数据负最大责任进行了解释。
云安全的逐步方法
保护云安全对于企业来说令人生畏,因此,专家建议采用逐步的方法。德勤公司英国分公司网络风险服务总监Jayme Metcalfe说,“我会考虑到风险管理。例如用户的云服务预期用例是什么?在用户实施任何事情之前,应该有一个端到端的理解。这是很多企业倒闭的地方。他们想迁移到云平台,但不了解业务风险。”
事实上,在迁移到云端之前,建设性地应用安全性可以成为业务推动者,英国电信公司安全创新架构师Richard Baker表示,“挑战在于移动到云端的组织如何平衡灵活性和成本的机会,以及他们所提供的元素的风险。”
关于云安全:关键是评估风险
他将这种方式与消费者注册Facebook等网站,让他们看到自己的某些情况进行了比较,并补充说,“组织需要审视自己的态度,并接受风险。关键是评估企业的风险,并充分了解其数据所在。”
Qualys公司EMEA地区首席技术安全官Darron Gibbard表示:“了解IT资产非常重要。如果不知道有什么,那么怎么能保护它?”
考虑到这一点,ECS公司负责人Allan Brearley强调,可见性是云计算部署的关键。 “企业需要了解实际拥有的数据以及需要保护的数据非常重要。应该有一个数据库,而这是必要的。”
Thomson认为企业需要评估数据。他说,“云计算访问安全代理(CASB)是位于云计算和用户之间的软件,可以提供帮助。它允许企业评估数据,并具有可见性。但缺点是,我们需要告诉云计算访问安全代理(CASB)要看到些什么。”
云安全的其他考虑因素
PA咨询公司的网络安全负责人Elliot Rose表示,在使用云计算IaaS时,企业需要确保自己的软件开发考虑到安全要求。Rose说,“例如,它是如何托管的,谁托管它?是什么控制水平?”
Thomson解释说:“另一个重要的考虑因素是提供者和客户之间的共同责任模型。在该模型下,云计算提供商负责基础设施,因此他们的数据中心的物理安全性就是他们面临的主要问题。例如,如果企业网络和基础设施被黑客入侵,他们还要对网络和基础设施安全负责。他们有时还要对虚拟机管理程序本身负责,但并不对客户的数据负责。”
另一个考虑因素取决于组织所在的行业。不同类型的企业将有不同的数据保护需求:例如,政府机构或金融公司必须遵守比零售商更严格的监管指导准则。但是,根据欧盟数据保护法规(GDPR),所有公司都有责任保护客户和用户数据。
Rose说,现在有一种由监管驱动的安全设计方法。他还指出用户有责任深入挖掘,查看供应链,并实施数据影响评估。
与此同时,McAfee公司数据隐私专家Nigel Hawthorn指出,“如果你是数据控制者,那么仍然需要对信息负责,无论使用哪种数据处理器,还是将其外包给任何人,其中包括云计算。”
保护云计算曾经是一项艰巨的任务,但如今可以应用多种控制和保护。作为其中的一部分,员工的支持是关键:企业可以培训员工使用已批准的版本,而不是阻止云计算应用或服务。在技术方面,专家提倡基本的安全控制,如加密和双因素身份验证。
此外,Gibbard认为拥有合适的工具集非常重要,包括网络扫描和修补。他表示,后者是在任何环境中防止网络攻击的简单方法。
Gibbard表示,同时,持续监控使企业能够跟踪其环境中的数据,他还提倡基于角色的访问控制和确保可以访问正确的系统数据。
一旦企业掌握了他们需要做出安全保护的操作,就该开始研究迁移到云端的东西。正如Thomson警告的那样:“没有人拥有无限的预算,因此将所有内容放入云端,并在云平台添加安全应用程序是不现实的。所有这些都需要评估。”