混合云安全的8個關鍵考慮因素

作者：Kevin Casey 2018-05-09 09:23:28

CIOAge

混合云 采用混合云可以加強組織的安全態(tài)勢，而不是削弱。但這并不意味著改進的安全性就是一種默認設置。雖然隨著云計算技術的成熟，企業(yè)對其安全的擔憂正在下降，但安全仍然是組織需要面對和管理的持續(xù)挑戰(zhàn)。而混合云環(huán)境帶有其自身特定的安全考慮因素。

創(chuàng)新互聯(lián)公司是一家朝氣蓬勃的網(wǎng)站建設公司。公司專注于為企業(yè)提供信息化建設解決方案。從事網(wǎng)站開發(fā)，網(wǎng)站制作，網(wǎng)站設計，網(wǎng)站模板，微信公眾號開發(fā)，軟件開發(fā)，微信平臺小程序開發(fā)，10余年建站對成都公路鉆孔機等多個行業(yè)，擁有多年建站經(jīng)驗。

 

[[228664]]

采用混合云可以加強組織的安全態(tài)勢，而不是削弱。但這并不意味著改進的安全性就是一種默認設置。雖然隨著云計算技術的成熟，企業(yè)對其安全的擔憂正在下降，但安全仍然是組織需要面對和管理的持續(xù)挑戰(zhàn)。而混合云環(huán)境帶有其自身特定的安全考慮因素。

國際信息安全學習聯(lián)盟(CISA)的注冊信息系統(tǒng)安全專家(CISSP)Christopher Steffen說，“混合云環(huán)境是動態(tài)和復雜的，由于多個終端用戶從多個地點訪問多個環(huán)境而變得更加復雜?！盨teffen是Cyxtera公司的技術總監(jiān)，Cyxtera公司最近收購了Steffen之前任職的安全產(chǎn)品提供商Cryptzone公司。

Steffen和其他安全專家討論了企業(yè)的首席信息官及其團隊在保護混合云環(huán)境時必須牢記的關鍵問題。企業(yè)需要優(yōu)先考慮以下八項關鍵要素：

1.企業(yè)確保具有完整的可視性

CBI公司戰(zhàn)略計劃副總裁、網(wǎng)絡安全資深專家J. Wolfgang Goerlich指出，在IT行業(yè)中，很多首席信息官和其他IT領導者經(jīng)常在他們的環(huán)境中存在盲點，或者他們在他們的內(nèi)部部署的基礎設施的認識方面過于狹隘。

既然企業(yè)及其最終用戶可以使用數(shù)百個基于云計算的應用程序，并且多個部門可以在基礎設施即服務平臺上創(chuàng)建自己的虛擬服務器，那么跨私有云、公共云和傳統(tǒng)基礎設施的完整可見性就是必須的。Goerlich說，缺乏可見性會給企業(yè)帶來更大的安全風險。

2. 每一個資產(chǎn)都需要擁有者

如果企業(yè)缺乏全方位的可見度，那么有可能缺乏所有權。企業(yè)的每一個混合云設施都需要一個擁有者。

Goerlich說：“IT安全的一個關鍵原則是需要一個擁有者，確認每個資產(chǎn)，并讓擁有者負責對資產(chǎn)的最小權限和責任分工。缺乏可見度會導致缺乏所有權。這意味著，在通常情況下，混合云環(huán)境具有松散定義的訪問控制，并且往往沒有職責分離。過度的許可將會帶來風險，而沒有擁有者的風險是未解決的風險?！?/p>

3.混合云?嘗試混合安全

IT越來越成為企業(yè)整體業(yè)務戰(zhàn)略的驅(qū)動力，而不僅僅是服務企業(yè)，混合云模式已經(jīng)成為推動這一轉(zhuǎn)變的推動者。以類似的方式，現(xiàn)代IT需要重新思考一些舊的安全模式，例如混合安全。

Biscom公司首席執(zhí)行官Bill Ho說，“關于安全性的戰(zhàn)略不斷發(fā)展，許多企業(yè)正在采用混合方法來為他們的安全基礎設施建立更多的層次和深度。”企業(yè)的某些安全技術可能駐留在本地部署的數(shù)據(jù)中心，而另一些則在企業(yè)網(wǎng)絡之外運行更有意義。

Bill Ho解釋說，“企業(yè)有很多的理由需要內(nèi)部部署安全工具和應用程序，例如桌面防病毒、DLP、防火墻以及IDS/IPS系統(tǒng)?！逼渲幸恍┳鳛樵朴嬎惴仗峁?，有些則具有云中的組件，而應用程序或應用程序則在本地部署的數(shù)據(jù)中心中運行。一些服務最好在云端處理，比如幫助減輕DDoS攻擊的服務。

4.安全性和合規(guī)性：連接但不一樣

Steffen表示，“企業(yè)可能在沒有合規(guī)的情況下?lián)碛邪踩校侨绻麤]有出現(xiàn)安全問題，那么人們可能永遠不會遵守監(jiān)管法規(guī)。人們不要將安全性和合規(guī)性這二者混為一談，特別是當企業(yè)正在遷移到混合云模型時，應該將合規(guī)性視為企業(yè)云安全策略的一個重要但獨立的部分。

在混合云或多云環(huán)境中的合規(guī)性不一定是云應用的障礙。事實上，許多內(nèi)部控制可以交叉應用到企業(yè)的云環(huán)境中。但是，企業(yè)了解云計算提供商使用的現(xiàn)有控制措施，以及它們?nèi)绾闻c企業(yè)現(xiàn)有控制系統(tǒng)相關聯(lián)是非常重要的?！?/p>

Steffen補充道，“這可能是企業(yè)需要進行一些小規(guī)模的程序變更，才能遵守云計算提供商使用的控制措施。但這也可能意味著企業(yè)以前的安全戰(zhàn)略發(fā)生根本性轉(zhuǎn)變。在選擇云計算提供商或安全供應商之前執(zhí)行合規(guī)控制評估是必須的。”

5.企業(yè)的工具和其他供應商集成在一起嗎?

Steffen表示：“特定的云計算提供商和他們正在使用的安全工具如何與企業(yè)使用的工具集成?有很多工具可以很好地集成在一起，但是如果企業(yè)使用的安全工具集與外界不兼容，那么可能會很麻煩，可能需要尋找可與其他平臺配合的平臺和工具。因此，云計算提供商和安全供應商應提供與現(xiàn)有本地平臺和工具的簡單集成?！?/p>

6.企業(yè)需要了解自己的供應商

Steffen關于合規(guī)性和集成的建議給出一個提醒，企業(yè)保護其混合云環(huán)境在很大程度上取決于企業(yè)對所使用的平臺的了解和理解。

Biscom公司首席執(zhí)行官Bill Ho說，強大的云計算供應商實際上可以提供內(nèi)部IT安全團隊可能缺乏的專業(yè)知識。例如，他們可能會更好地實時監(jiān)控潛在威脅，例如零日攻擊。但這顯然并不是給定的。

Bill Ho說，“與任何云計算服務一樣，企業(yè)需要審核其提供商的資質(zhì)。需要調(diào)查他們的認證，了解提供商的政策，了解開放企業(yè)網(wǎng)絡的風險，并審查流程報告，例如SOC 2 Type II報告?！?/p>

7.混合模型的擴展通信

Goerlich說：“混合云帶來了對通信方面的可擴展性問題。這又一次是缺乏可見性和所有權的副產(chǎn)品，并且在使用多云和多供應商策略的組織中尤其如此?！?/p>

清晰的溝通是強有力的安全態(tài)勢的重要組成部分，特別是在涉及新的漏洞或攻擊事件時。這是企業(yè)IT領導者需要充分解決的一個領域，不僅在內(nèi)部部署，而且還包括供應商和其他第三方。

8. 進行持續(xù)的風險評估

企業(yè)從一開始就建立一個安全首要的混合云環(huán)境是很好的第一步，但它仍然只是第一步。 Goerlich指出，保護動態(tài)混合云環(huán)境需要持續(xù)的風險評估。

“組織識別漏洞和安全問題的另一種方法是通過風險評估，”Goerlich說。

他列舉了三個例子：

?供應商風險管理就像正在進行的盡職調(diào)查一樣，“可以突出顯示哪些供應商提供哪些服務，然后查詢這些供應商的安全計劃?！?/p>

?軟件組合分析可以“突出顯示代碼中的哪些第三方數(shù)據(jù)庫可能會危害企業(yè)構(gòu)建的應用程序?！?/p>

?技術漏洞評估和滲透測試可“進一步了解當前的安全狀況。由于混合云技術組織依賴的范圍和規(guī)模，如今必須以分段的方式完成?！?/p>

保持安全性增長

隨著企業(yè)的混合云策略不斷增長，企業(yè)的安全規(guī)劃也應隨之變化。

“企業(yè)需要知道自己擁有什么，知道誰擁有它，誰可以訪問它，有明確的溝通渠道，將其分解成細分市場，并進行風險評估?！?Goerlich說：“一次做好一件事，企業(yè)可以通過專注于最重要的技術，即支持關鍵業(yè)務戰(zhàn)略和功能的技術，并取得成功。隨著混合云擴展企業(yè)消費的技術，企業(yè)的領導者也必須擴大安全領域的優(yōu)先級和協(xié)作?！?nbsp;

【編輯推薦】

1. 內(nèi)部資料全分析！格力以實踐告訴你，如何五步鋪就智能之路
   
2. 把脈智能制造 看大企業(yè)如何踩對節(jié)點辦對事
3. 關于服務器虛擬化的趨勢分析
4. 智能制造風口下，自動化行業(yè)很有錢途?
5. 人工智能、物聯(lián)網(wǎng)與區(qū)塊鏈將變革金融行業(yè)

 

 

分享標題：混合云安全的8個關鍵考慮因素
網(wǎng)站網(wǎng)址：http://m.5511xx.com/article/cdopdog.html