讓主管們夜不能寐的四大云安全誤區(qū)
譯文盡管云計算在企業(yè)的采用率有所增加,但許多主管還是小心翼翼,不敢將數(shù)據(jù)遷移到云端。雖然他們不愿采用云主要源自安全和隱私方面的問題,但是那些擔(dān)心并非總是有根有據(jù)。
TierPoint LLC是一家總部位于圣路易斯的云和主機托管服務(wù)提供商,首席安全官Paul Mazzucco表示,實際上,許多企業(yè)組織擔(dān)心云安全基本上歸因于誤區(qū)。Mazzucco在近日于紐約召開的云計算博覽會上表示,尤其是下列四大誤區(qū)讓主管們夜不能寐。
第一大誤區(qū):云端數(shù)據(jù)天生就不大安全。
Mazzucco表示,許多主管誤以為放在云端的數(shù)據(jù)要比放在企業(yè)內(nèi)部的數(shù)據(jù)來得岌岌可危。
與此同時,最近重大數(shù)據(jù)泄露事件紛紛傳出之后,業(yè)務(wù)主管們在企業(yè)內(nèi)部圍繞云安全展開越來越多的討論,這些問題越發(fā)讓人憂心忡忡。
Jon Williams是總部位于南卡羅來納州格林維爾的律師事務(wù)所Ogletree Deakins的區(qū)域支持主管。他說:“我們有一個技術(shù)委員會,其成本基本上是我們事務(wù)所的幾位大股東,他們根本就不是IT人員。如今所有這些IT決策都要受到審批,我們會把想法告訴給他們,他們也把想法告訴我們。不過他們其實在一個勁地挑剔、提出問題。”
Mazzucco表示,盡管業(yè)務(wù)主管們很擔(dān)心,但數(shù)據(jù)在云端通常要比在企業(yè)內(nèi)部來得安全。這是由于,絕大多數(shù)云服務(wù)提供商一開始就將安全(常常使用多層次方法)納入到其基礎(chǔ)設(shè)施中。
將數(shù)據(jù)遷移到云端還減小了影子IT的風(fēng)險。所謂的影子IT是指,用戶繞過IT部門,訪問未經(jīng)批準的云應(yīng)用程序。
Mazzucco表示,大多數(shù)主管以為本公司運行的基于云的應(yīng)用程序至多不超過50個,而企業(yè)實際使用的云應(yīng)用程序平均超過500個。制定一項正式的云戰(zhàn)略讓IT部門擁有更大的透明度和控制度。
第二大誤區(qū):安全戰(zhàn)略可以等一等。
自任何云部署項目一開始,制定云安全戰(zhàn)略就應(yīng)該是業(yè)務(wù)部門和IT部門關(guān)注的首要事項。據(jù)Mazzucco聲稱,在部署后打上安全補丁了事是沒有哪家公司愿意冒的風(fēng)險。
他說:“這是現(xiàn)在得趕緊采取的措施。”
即便企業(yè)組織已落實了適當(dāng)?shù)陌踩胧⑶彝ㄟ^服務(wù)級別協(xié)議(SLA)確保云服務(wù)提供商同樣落實了適當(dāng)?shù)陌踩胧粘1O(jiān)控和報告也應(yīng)該總是一個優(yōu)先事項。
第三大誤區(qū):通過認證的云服務(wù)提供商保證數(shù)據(jù)肯定能得到保護。
許多企業(yè)組織完全憑借云服務(wù)提供商擁有的合規(guī)或監(jiān)管認證數(shù)量來評估對方的安全模型。Mazzucco提醒,但不應(yīng)該是這樣。相反,IT部門應(yīng)該總是“進入到下一個階段”,評估提供商的云環(huán)境。
他說:“總是要核實提供商向你出示的合規(guī)認證。”
為此,企業(yè)應(yīng)該對提供商進行獨立的安全評估,或者請第三方開展這項工作。首先,要參照云安全聯(lián)盟的《共識評估倡議調(diào)查問卷》(Consensus Assessment Initiative Questionnaire),它列出了云用戶和審查人員應(yīng)當(dāng)詢問潛在云服務(wù)提供商的一系列問題。
此外,企業(yè)組織應(yīng)該總是要求提供商的安全實踐/做法至少有一定的透明度,并且盡可能在SLA中加以注明。
第四大誤區(qū):弄好后就不用管。
正如IT部門不應(yīng)該在部署后胡亂拼湊安全戰(zhàn)略那樣,它們也不能在投入使用后就忘了該戰(zhàn)略。
Mazzacco表示,可靠的云安全模型應(yīng)該不斷完善。它應(yīng)該需要多層次方法,需要日常的高級威脅檢測,需要實時警報,還需要一致的監(jiān)控和報告機制。不斷更新反病毒和反惡意軟件技術(shù)在云環(huán)境下應(yīng)當(dāng)與在內(nèi)部環(huán)境下來得同樣要緊。
Mazzucco說:“說到云安全,過去那種‘眼不見心不煩’的心態(tài)很危險,要不得。當(dāng)然,讓一支專設(shè)的小組查看計算環(huán)境的所有層次、所有日志以及安全環(huán)境的方方面面,這比老方法要好得多。”
英文:Four cloud security myths debunked
