根據(jù)ESG的研究顯示，63%的中端市場(chǎng)(即擁有250至999名員工的企業(yè))，以及大型企業(yè)(員工超過(guò)1000余人)目前正在使用軟件即服務(wù)(SaaS)，33%使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)，以及27%使用平臺(tái)即服務(wù)(PaaS)。此外，72%的企業(yè)正計(jì)劃在今年提高云計(jì)算的開(kāi)支。

[[117593]]

云計(jì)算部署中是否也存在安全風(fēng)險(xiǎn)?安全專家對(duì)此相當(dāng)關(guān)注。在最近的ESG研究調(diào)查中，信息安全專業(yè)人士指出了幾個(gè)云計(jì)算安全風(fēng)險(xiǎn)：

· 33% 的企業(yè)安全專業(yè)人士表示，缺乏對(duì)用于內(nèi)部使用的IT資源相關(guān)的安全操作的直接控制。

· 31% 的企業(yè)安全專業(yè)人士表示，對(duì)由云計(jì)算基礎(chǔ)設(shè)施供應(yīng)商存儲(chǔ)和/或處理的敏感數(shù)據(jù)和/或監(jiān)管數(shù)據(jù)的隱私關(guān)注。

· 29%的企業(yè)安全專業(yè)人士表示，缺乏對(duì)云安全基礎(chǔ)設(shè)施的安全可視性。

· 28%的企業(yè)安全專業(yè)人士表示，破壞云服務(wù)供應(yīng)商的基礎(chǔ)設(shè)施的安全泄漏事故。

· 27%的企業(yè)安全專業(yè)人士表示，在云服務(wù)提供商方面糟糕的信息安全做法。

這些安全擔(dān)憂顯然是合理的，企業(yè)也許會(huì)更加謹(jǐn)慎，但卻并沒(méi)有做出什么實(shí)際改進(jìn)。

對(duì)于想要利用SaaS、IaaS和PaaS用于金融行業(yè)和獲取商業(yè)利益的企業(yè)，安全專家必須想出一種辦法來(lái)讓企業(yè)在這樣做的同時(shí)，確保不會(huì)帶來(lái)任何不好的IT風(fēng)險(xiǎn)。

那么，我們應(yīng)該怎么做呢?在IT控制正在減弱的時(shí)代，首席信息安全官必須更好地控制他們能控制的事物。在筆者看來(lái)，這可以歸結(jié)為幾個(gè)關(guān)鍵的優(yōu)先領(lǐng)域：

1. 識(shí)別。 無(wú)論應(yīng)用程序和數(shù)據(jù)在哪里，企業(yè)都必須知道誰(shuí)正在訪問(wèn)這些資源，他們?cè)谑褂煤畏N設(shè)備，用戶的位置。他們還需要不斷地更新這些信息。在任何情況下，企業(yè)都應(yīng)該確保這種監(jiān)督水平，這意味著企業(yè)需要知道具體用戶(員工或第三方)、具體設(shè)備、具體網(wǎng)絡(luò)位置、具體時(shí)間日期等。此外，我們還需要業(yè)務(wù)背景，例如我們需要知道John Smith正在試圖從公共網(wǎng)絡(luò)訪問(wèn)財(cái)務(wù)數(shù)據(jù)，以及奇怪的IP地址、MAC地址和DNS查詢。對(duì)于Centrify、ForgeRock、Okta、Ping以及McAfee、微軟等公司而言，將這種識(shí)別帶入到云應(yīng)用程序是一個(gè)巨大的機(jī)會(huì)。

2. 數(shù)據(jù)。 網(wǎng)絡(luò)攻擊者可以發(fā)起DDoS[注]攻擊來(lái)獲取IT資產(chǎn)，但大多數(shù)攻擊都是瞄準(zhǔn)目標(biāo)本身。因此，我們需要知道數(shù)據(jù)的位置、重要程度，以及誰(shuí)在對(duì)數(shù)據(jù)做什么。這是CloudLock、Ionic Security、賽門鐵克、Varonis、Verdasys和Vormetric等公司的領(lǐng)域。

3. 可視性。 作為首席信息安全官(+本站微信networkworldweixin)，你需要了解一切，你的內(nèi)部網(wǎng)絡(luò)在發(fā)生什么，端點(diǎn)在發(fā)生什么，云計(jì)算在發(fā)生什么等。此外，你還需要從不同角度獲取內(nèi)部和外部的態(tài)勢(shì)感知。例如，如果你想要了解你的業(yè)務(wù)合作伙伴以及云計(jì)算供應(yīng)商相關(guān)的風(fēng)險(xiǎn)。與此同時(shí)，隨著工作負(fù)載從服務(wù)器到服務(wù)器跨內(nèi)部和云供應(yīng)商網(wǎng)絡(luò)移動(dòng)，你想要鎖定日志數(shù)據(jù)、web會(huì)話和網(wǎng)絡(luò)數(shù)據(jù)包，你還想要獲取威脅情報(bào)來(lái)預(yù)測(cè)內(nèi)部IT、整個(gè)行業(yè)或云供應(yīng)商合作伙伴的情況，你會(huì)想要中央的命令和控制。

還有一個(gè)比這三個(gè)方面更重要的領(lǐng)域。管理現(xiàn)在的IT安全需要對(duì)所有IT資產(chǎn)、網(wǎng)絡(luò)、傳輸?shù)囊恢碌耐暾目刂疲瑹o(wú)論它們位于企業(yè)內(nèi)部還是云計(jì)算中。這可能需要一種聯(lián)合的方法或者跨整個(gè)網(wǎng)絡(luò)的單窗格視圖，但作為首席信息安全官，你需要對(duì)一切事物的綜合可視性。

毫無(wú)疑問(wèn)，在未來(lái)云計(jì)算將會(huì)成為主導(dǎo)，但現(xiàn)在大多數(shù)企業(yè)仍然有很多內(nèi)部資源。連接內(nèi)部資源和云計(jì)算環(huán)境將會(huì)是成功的關(guān)鍵，聰明的首席信息安全官將會(huì)盡可能地構(gòu)建更少的連接，并專注于彌合其最重要的監(jiān)督和可視性方面的差距。(鄒錚編譯)