如何維護云中的安全合規性
獲得遵守權對組織是重要的,而這對客戶也很重要,因為他們需要依賴組織的合規性認證、評估和審核來做出購買決定。對于規定開展交易要求并最終執行審計的監管者來說,這一點很重要。而且對于組織來說,需要避免遭受昂貴的監管罰款、危險的違規行為,從而導致組織的聲譽受損。
隨著最好的軟件工具轉向云端,許多企業都擔憂不能充分利用它們。在外部控制系統上維護安全性和遵從性標準可能會讓人望而生畏。或者更糟的是,管理者可能會認為,由于服務和數據不在他們的數據中心運行,這讓他們有些無所適從。行業機構最近發布了關于云計算安全合規性中的關鍵挑戰的概述,認為這些方案在各行業的公司中發揮重要的作用。
事實是,采用云計算服務有很大的好處,而云優先安全方法對于維護安全性和合規性至關重要。
云計算應用程序的安全隱患是什么?
云應用程序可以隨時隨地訪問,專為合作而設計,使用靈活且適應團隊的需求。它們具有較低的基礎設施和維護成本,并且通常采用和操作的速度快,成本低廉。在許多情況下,它們僅僅是同類產品中最好的解決方案,提供比本地數據中心部署的競爭對手提供更好的解決方案和更頻繁的更新。
但這并不意味著他們沒有風險。這些基于云計算的應用程序具有與本地數據中心的應用程序相同的風險,它們自身也有一些獨特的風險。
- 安全性難以跨平臺進行評估和管理。用于云應用的安全控制分布在人員,流程,技術甚至多個公司:組織,組織的供應商,以及用于提供應用程序的任何供應商。
- 組織的聲譽總是受到威脅。安全漏洞或負面的合規性裁定可能會對組織的聲譽造成災難。缺乏消費者信心帶來的銷售損失和股價下跌的損失。負面的媒體關注使未來的產品和服務受到質疑,而社交媒體則加劇了這種損害。而消費者不會關心違約來自組織的業務或是第三方云服務。
- 組織可能會遭遇起訴。消極的合規調查結果可能導致一些行業的懲罰性,財務性甚至刑事制裁。真正的法律遵從還包括能夠響應政府的查詢,例如訴訟中的傳票或訴訟請求,而無論數據發生在哪里,或面臨法院的處罰。
- 威脅不斷發展。日益增長的威脅包括數據竊取,惡意軟件,損壞和勒索軟件,組織控制之外的網絡上的邊緣系統特別脆弱。勒索軟件可能讓組織的整個業務中斷數小時或數天。如果沒有有效的數據保護解決方案,唯一的希望是支付贖金,并希望組織的數據得到恢復。
舊的數據保護模式已經過時
數據不僅僅存在于數據中心中,也保存在筆記本電腦和其他移動設備上,遍布本地部署數據中心和基于云計算的應用程序。看到單一的、集中的數據視圖似乎是不可能的。除此之外,零碎的操作流程取決于部門,應用程序或設備而有所不同的流程,會減慢組織的發展速度,使執行安全性和響應審計請求變得困難。
另一方面,將組織的數據安全性的責任推給云服務提供商是不安全的。如果組織的供應商確實提供高級安全功能,則由組織實施這些功能,并維護法規要求的內部部署安全策略。
第四方風險評估
組織和SaaS供應商之間不僅需要分擔責任,還必須考慮第四方。考慮組織的供應商用于服務交付的服務提供商,如Amazon Web Services或Microsoft Azure。幸運的是,合規性審核允許組織衡量第四方風險。現代的數據安全方法需要針對整個服務鏈的安全框架,審核和認證,而不僅僅是組織的內部部署解決方案或直接供應商的解決方案。
顯然,采用云服務時會有很多風險。組織想利用這些應用程序提供的巨大好處,則需要一種新的數據保護方法。而傳統的模式不能勝任這項工作。
現代數據保護方法
一個偉大的數據安全解決方案將保護組織的數據,無論它在哪里。在評估選項以確保解決方案真正涵蓋數據安全需求的各個方面時,這些都是一些關鍵問題:
- 是否提供連續監控?組織需要全面了解自己的攻擊面。監控方法應該是以數據為中心的,而不是以應用為中心,所以無論數據在哪里,都可以進行覆蓋。監控應該在風險成為問題之前預測風險,無論它們來自數據中心還是云端。
- 數據本身有多安全?數據需要在運行中和空閑時都得到充分的保護。提供商是否為組織提供唯一的加密密鑰?他們是否可以訪問組織的數據(如果組織受到攻擊,會使其變得脆弱)?
- 訪問控制有哪些選項?基于角色的訪問控制選項管理潛在的利益沖突和欺詐。每當有人訪問或更改數據時,實時審核記錄都會留下蹤跡。
- 如何保存和維護數據?組織需要工具來回應審計和法律咨詢。數據必須在所有數據環境中收集,保存,保留,歸檔和索引,以便在發生訴訟或傳喚的情況下輕松獲得。
- 如果發生災難怎么辦?傳統備份模式包括獲取另一個數據中心的備份,設計和實施故障轉移流程,并進行年度測試。但是它們只保護本地數據,使遠程端點容易受到攻擊。
云計算的災難恢復系統應盡量減少昂貴和耗時的基礎架構,管理和測試。他們還應該覆蓋移動設備,包括加密,殺毒和地理位置等。
安全對現代企業至關重要。合規性認證可以防止法律上的困擾,并建立信任,云端的SaaS解決方案可以實現。而安全系統保護組織的數據,業務和客戶。
