即使在雲採用成為主流之前,IT安全需求與業務戰略和最終用戶偏好衝突並不罕見。幾乎所有具備安全背景的行業人士都發現自己處於尷尬的境地不得不建議反對採用具有巨大吸引力和價值的技術,因為它會帶來太多的風險。
行業專家表示,所接觸到的IT領導者很少認為在實現業務目標和容納(合理的)用戶偏好和請求時成為一個障礙。但是,他們也瞭解潛在的安全或不合規問題的成本。不幸的是,許多IT安全團隊也遭受到被超越的挫折,無論是選擇接受風險的高管,還是用戶採用不受管制的未經授權的應用程序和平臺,都會對其組織帶來風險。
在當今的雲計算世界中,最終用戶可以根據喜好選擇更多的供應商。很多企業出於商業原因被迫轉移到雲端或被迫將數據移動到特定的雲應用程序,但是發現對雲端安全控制還不夠。
幸運的是,在過去幾年中已經出現瞭解決方案,允許IT和安全管理者採用業務驅動的請求,同時為IT團隊提供降低風險所需的安全控制。雲計算供應商花費大量的時間和資源來保護他們的基礎架構和應用程序,但他們不能確保客戶的雲端使用情況。
數據洩露的法律責任將由使用者承擔。只有使用者才能保證在組織內的兼容性使用,因此瞭解流入雲環境的數據類型很重要,並與各個利益相關者合作,實施控制措施,將風險降至可接受的水平,並符合當地或行業的法規。
提供商像往常一樣,可以將所有內容鎖定在一起,並允許用戶只在雲應用程序中使用最基本的功能。然而,這往往導致用戶體驗不佳,並導致未經授權的雲採用和影子IT。
雖然雲計算環境與內部部署的數據中心環境有著很大的不同,但許多安全原則仍然有效。作為基礎,企業應將這些原則擴展到雲計算中。三個有用的原則是:
(1)特權管理
特權管理多年來一直用於企業內部的方法來保護敏感數據,並通過限制訪問來指導合規的用戶行為。在一些雲服務(如AWS)中,管理員可以快速積累足夠的權力,在無意中或通過憑證可能導致嚴重的停機或安全問題。因此確保雲計算中的適當特權管理有助於降低風險。
除了傳統的特權管理之外,雲計算也為雲服務提供商帶來了獨特的挑戰。由於他們可以訪問用戶的雲實例,因此雲計算服務提供商也能夠訪問客戶的數據來考慮雲計算風險評估的重要性。如果用戶擔心內部威脅或直接向雲提供商提供的政府數據請求,則建議用戶評估從雲計算提供商隔離數據的選項。
(2)數據丟失保護
與利益相關者交流,並確定流入雲端的數據類型非常重要的另一個原因是確定組織需要執行哪些數據丟失保護(DLP)策略。要查找的通用數據特徵包括個人身份信息,信用卡號碼,甚至源代碼。如果組織正在使用內部部署DLP,那麼現在是查看和更新組織已經定義的模式和數據分類定義的好時機,以確保它們在將其擴展到雲計算時是有效的和相關的。
同樣重要的是要讓最終用戶知道期待什麼。如果組織決定執行阻止交易或要求對敏感交易進行額外身份驗證的政策,那麼請務必將其納入自己內部培訓材料,並提供給用戶內部文檔。它不僅可以讓用戶瞭解什麼,還可以用於內部策略和用戶的安全基礎知識。
(3)審計
任何數據安全策略的一個重要方面是保持對數據的可見性,以確保合規使用。企業需要確保在將數據和基礎架構遷移到雲端時不會失去此功能。如果用戶使用安全信息事件管理(SIEM)工具,那麼需要花費一定的時間來決定應該將哪些雲計算應用程序和交易融入到報告中。
通過將上述控件擴展到雲計算環境中,用戶可以建立一個保護業務支持技術的良好安全實踐的共同點。通過正確的工具和策略,可以確保相關的業務需求,同時保持適當的安全和治理控制。
相關推薦
