如何正確控制云計算?
雖然云計算的應用越來越普遍,但人們并不總是信任云計算。很多企業的安全和風險管理***對于將關鍵數據和基礎設施委托給第三方云計算提供商曾經感到擔憂。
這是可以理解的,源于其網絡管理的歷史,企業的IT團隊對于管理IT基礎設施的資源非常熟悉,從他們所在的建筑物到電力和冷卻供應,再到服務器,以及存儲和網絡基礎設施。
但是,當企業將責任委托給云計算提供商時,想達到這種熟悉程度是不可能的,并且這可能會阻止組織獲得***的云計算效率和安全性。顯然,企業需要改變思維方式。
在名為“CISO 劇本:如何在云中保留正確的控制”的調查報告中,Gartner公司做出了這樣的比喻:在自己的數據中心運營業務就像自己駕駛汽車,而遷移到云端有點像在飛機上飛行。那么人們可能無法對飛機的機組人員的旅程進行控制,這可能會導致焦慮。然而,這種焦慮是不合理的,因為就像人們日常會檢查汽車測量、輪胎、玻璃清洗液一樣,每次飛行前都會嚴格檢查飛機。
總而言之,這意味著遷移到云端需要一個新的前景,企業需要了解如何控制其數據,并更好地了解云計算服務提供商做什么,以便企業放棄底層平臺的所有權。
在當今的背景下,客戶仍然擁有他們的數據,但與云計算提供商分享管理權。“控制”的概念已從基于物理位置的所有權轉變為對流程的控制。因此,信息安全和風險管理***需要采用間接控制的新方法來實現效率和安全,最重要的是讓人高枕無憂。考慮到這一點,人們將嘗試定義如何對云計算進行正確的控制。
設計正確的身份和訪問管理策略
安全團隊和開發人員可以發現難以掌握基于云計算的控制概念。但實際上,放棄其廣域網中光纖和銅纜的所有權也是類似的情況:電信運營商擁有物理基礎設施,但數據仍由客戶擁有和控制。這一切都與描述安全責任有關。一旦定義了切換點,企業就會知道除此之外,其云計算服務提供商負責安全性。
企業的責任在于設計一個身份訪問管理策略,該策略不僅涵蓋云平臺,還涵蓋云平臺向外界呈現的應用程序和服務。訪問權應基于以“***權限”為基礎授予用戶權限,而不是給予所有人更多的權限。這可以提高審計能力,并降低未經授權更改平臺的風險。
最重要的是,企業應該與云計算提供商合作,以確保對更高程度的邏輯隔離進行加密。空閑和傳輸中的數據加密通常被視為在公共云平臺上另一種保護和隔離數據的方式。雖然任何人都不可能闖入公共云數據中心,并物理竊取包含數據的磁盤驅動器,但強烈建議企業考慮使用空閑數據加密。
加強監督并重新調整審計目標
隨著監管環境越來越復雜,越來越多地要求使用云計算的組織展示其強大的治理。企業已將某些控制權委托給其云計算服務供應商,這一事實意味著企業必須證明治理程序已到位并且正在遵循。
為此,企業應該尋求與提供安全性和合規性監控和報告的云計算服務提供商合作。并且采用必要的方法和合規性證明,可確保企業云計算工作負載能夠滿足審核時間的要求。
比較企業的安全需求,并根據SLA衡量云計算服務商的性能
另一個需要密切關注的是合同條款,它約束了云計算服務商在保護客戶數據和隱私方面的作用。與超大規模云計算提供商簽訂的合同往往絕大多數都會保護這些云計算服務商,但是可以與一些云計算服務商合作,就更有利于客戶的條款達成協議。
最終的影響和建議是圍繞云計算服務提供商合同和服務等級協議(SLA)。許多云計算服務商,特別是超大規模的提供商,在其SLA上可能非常嚴格,并且在被要求更改它們時可能非常不靈活。了解云計算服務提供商在合規性的不同方面的立場非常重要。但他們能夠分享認證和證明嗎?他們的SLA對可用性等主題有多大的靈活性?如果SLA不提供服務,他們會支付服務信用嗎?在開始使用云計算服務提供商的服務之前,這些是企業需要獲得這些問題的答案。在此提出的另一條建議是將外部托管數據的安全要求與風險偏好背景下的云計算服務提供商功能進行比較。
總而言之,隨著安全風險和合規性法規的不斷增加,以及云計算服務的采用,理解云計算安全方面的共同責任非常重要。在云中放棄和保留控制之間取得適當的平衡,將使企業能夠安全地利用云計算服務的諸多優勢。控制云計算并不意味著企業應該管理云計算的每一個方面,但要確保知道應該負責什么職責,并獲得正確的控制。
