安全專家表示�,隨著多云環(huán)境的發(fā)展�,已經(jīng)推出了許多安全實踐,并且組織在制定自己的安全策略時都應(yīng)采取一些關(guān)鍵步驟����。數(shù)據(jù)泄露或入侵者警報將使組織安全團隊高度緊張,因為他們致力于阻止損害并確定原因�。
即使IT團隊在其自己的基礎(chǔ)設(shè)施上運行所有操作,其應(yīng)對大量的任務(wù)也面臨更多的挑戰(zhàn)���。隨著組織將更多的工作負(fù)載遷移到云平臺����,然后采用多個云計算提供商的服務(wù)���,這將變得越來越復(fù)雜����。
云計算服務(wù)提供商RightScale公司發(fā)布的“2018年云計算狀態(tài)報告”表明�����,997名科技專業(yè)人士中有77%的人認(rèn)為云安全是一項挑戰(zhàn)�,29%的人表示這是一項重大挑戰(zhàn)。
安全專家表示����,他們對此并不感到驚訝,特別是考慮到RightScale公司的調(diào)查受訪者中81%的人采用的是多云戰(zhàn)略��。
“多云環(huán)境增加了實施和管理安全控制的復(fù)雜性��,”管理咨詢機構(gòu)Protiviti公司的技術(shù)咨詢業(yè)務(wù)總經(jīng)理兼全球負(fù)責(zé)人Ron Lefferts說�。
他和其他安全領(lǐng)導(dǎo)人表示���,組織在將更多工作負(fù)載遷移到云時�����,可以將安全放在首位����。
多云面臨的安全挑戰(zhàn)
但人們也應(yīng)該認(rèn)識到多云環(huán)境帶來了額外的挑戰(zhàn)���,需要作為整體安全戰(zhàn)略的一部分加以解決。
“在這個多云的世界里�����,一切都與協(xié)調(diào)有關(guān)��,在合同����、技術(shù)和人員方面都是如此����?��!眹H安全咨詢委員會(ISACA)董事會主席Christos K.
Dimitriadis說�����,“現(xiàn)在�,如果發(fā)生事故,企業(yè)需要確保所有實體都得到協(xié)調(diào)�,共同努力確定違規(guī)行為進行分析,并制定改進計劃����,以使控制更加有效?�!?/p>
以下是安全專家稱為多云環(huán)境復(fù)雜安全策略的三個因素���。
(1)復(fù)雜性增加��。在多個云計算提供商之間協(xié)調(diào)安全策略�、流程和響應(yīng)以及擴展的連接點網(wǎng)絡(luò)增加了復(fù)雜性�����。
非營利性貿(mào)易組織云安全聯(lián)盟(CSA)的ERP安全工作組的研究員兼聯(lián)合主席Juan
Perez-Etchegoyen說�����,“組織可以在全球多個地方擴展其數(shù)據(jù)中心。然后必須遵守其所在國家或地區(qū)的法規(guī)��,如今擁有龐大且數(shù)量不斷增加的法規(guī)�����,這些法規(guī)正在推動組織需要實施的控制和機制����,并且所有這些都增加了人們保護數(shù)據(jù)的復(fù)雜性?��!?/p>
(2)缺乏可見性��。IT組織通常不了解員工使用的所有云計算服務(wù),員工可以輕松地繞過企業(yè)IT部門自行購買軟件即服務(wù)產(chǎn)品或其他基于云計算的服務(wù)���。
“因此�,人們正試圖保護數(shù)據(jù)���、服務(wù)��、業(yè)務(wù)����,而不清楚地了解數(shù)據(jù)的位置?����!盌imitriadis說�。
(3)新的威脅。安全風(fēng)險管理公司的創(chuàng)始人兼首席執(zhí)行官Jeff Spivey說�,企業(yè)安全領(lǐng)導(dǎo)者也應(yīng)該認(rèn)識到,多云環(huán)境的出現(xiàn)可能會產(chǎn)生新的威脅���。
“人們正在創(chuàng)造一些尚不了解所有漏洞的東西�����,但可能會發(fā)現(xiàn)這些漏洞�����?���!彼f。
構(gòu)建多云策略
安全專家表示���,隨著多云環(huán)境的發(fā)展��,出現(xiàn)了許多安全最佳實踐��,并且組織在制定自己的安全策略時都應(yīng)采取一些關(guān)鍵步驟�����。
首先是識別數(shù)據(jù)所在的所有云平臺��,并確保組織擁有一個強大的數(shù)據(jù)治理計劃�,“組織需要全面了解數(shù)據(jù)�����,以及與信息相關(guān)的IT服務(wù)和資產(chǎn)����?����!盌imitriadissays說。
Dimitriadis除了擔(dān)任ISACA董事會主席之外���,還是游戲解決方案供應(yīng)商和運營商INTRALOT
集團的信息安全��、信息合規(guī)和知識產(chǎn)權(quán)保護負(fù)責(zé)人����,他們承認(rèn)這些安全建議不僅適用于多云環(huán)境����。
然而,他表示�,當(dāng)數(shù)據(jù)遷移到云平臺,并在不同的云平臺上傳播時�����,采取這些基礎(chǔ)措施變得更加重要�����。
統(tǒng)計數(shù)據(jù)表明了為什么擁有強大的安全基礎(chǔ)如此重要的原因:畢馬威公司和Oracle公司發(fā)布的2018年云計算威脅報告對450名網(wǎng)絡(luò)安全和IT專業(yè)人員進行了調(diào)查��。報告表明90%的企業(yè)將其基于云計算的數(shù)據(jù)的一半歸類為敏感數(shù)據(jù)����。
該報告還發(fā)現(xiàn)��,82%的受訪者擔(dān)心組織的員工不遵守云計算安全策略�����,38%的受訪者擔(dān)心檢測和響應(yīng)云計算安全事件��。
國際安全咨詢委員會(ISACA)領(lǐng)導(dǎo)者�����,賽門鐵克公司首席技術(shù)官兼企業(yè)策略傳播者Ramsés
Gallego表示����,為了應(yīng)對這種情況����,企業(yè)應(yīng)該對信息進行分類,以創(chuàng)建安全的平流層��,這一措施認(rèn)識到并非所有數(shù)據(jù)都需要相同級別的信任和驗證才能訪問或鎖定���。
安全專家還建議企業(yè)實施其他傳統(tǒng)安全措施��,作為保護多云環(huán)境的必要基礎(chǔ)層�����。除了數(shù)據(jù)分類策略外���,Gallego還建議使用加密和身份和訪問管理(IAM)解決方案,例如雙因素身份驗證�。
畢馬威公司新興技術(shù)風(fēng)險服務(wù)實踐的合伙人Sailesh
Gadia說,企業(yè)隨后需要標(biāo)準(zhǔn)化其政策和架構(gòu)��,以確保一致的應(yīng)用和自動化�����,以盡可能幫助限制偏離這些安全標(biāo)準(zhǔn)�。
“企業(yè)投入的努力水平應(yīng)取決于數(shù)據(jù)的風(fēng)險和敏感性。因此���,如果企業(yè)使用云平臺進行非機密數(shù)據(jù)存儲/處理��,那么就不需要采用更高級別的安全方法����。”Gadia說���。
他還指出�����,標(biāo)準(zhǔn)化和自動化可以提高效率����,這不僅可以降低總成本����,還可以讓安全領(lǐng)導(dǎo)者將更多資源用于更高價值的任務(wù)。
專家表示�����,這些基本要素應(yīng)該是更廣泛��、更有凝聚力的戰(zhàn)略的一部分���,并指出企業(yè)在采用管理安全工作的框架時表現(xiàn)良好�����。其共同框架包括國家標(biāo)準(zhǔn)與技術(shù)研究所的NIST;ISACA信息相關(guān)技術(shù)控制目標(biāo)(COBIT);ISO
27000系列;云安全聯(lián)盟的云控制矩陣(CCM)�����。
設(shè)定云計算供應(yīng)商的期望
Dimitriadis說��,所選擇的框架不僅應(yīng)該指導(dǎo)企業(yè)�����,還應(yīng)該指導(dǎo)云計算供應(yīng)商�����。
“我們需要做的是將這些納入與云計算提供商的協(xié)議中�。然后�,企業(yè)能夠圍繞其試圖保護的數(shù)據(jù)和服務(wù)構(gòu)建控制措施?���!彼忉尩馈?/p>
安全專家表示�����,與云計算提供商的談判以及隨后的服務(wù)協(xié)議應(yīng)解決提供的數(shù)據(jù)隔離類型、數(shù)據(jù)存儲以及供應(yīng)商方可以訪問的數(shù)據(jù)����,以及供應(yīng)商如果出現(xiàn)問題應(yīng)如何應(yīng)對,其中包括他們將如何與為企業(yè)提供服務(wù)的其他云計算供應(yīng)商合作和協(xié)調(diào)�。
Jeff Spivey表示,組織必須清楚地了解從每個云計算提供商那里獲得的服務(wù)����,以及他們是否具備管理和管理服務(wù)的能力。
Spivey補充道����,“組織要具體說明期望是什么以及如何衡量它們,因此必須清楚地了解從每個提供商處獲得的服務(wù)�����,以及他們是否具備管理和服務(wù)的能力�。”
但Gallego表示����,不要提供給云計算提供商過多的安全權(quán)限。
云計算供應(yīng)商通常通過強調(diào)他們代表企業(yè)客戶所做的工作來提供他們的服務(wù)。雖然這項工作確實包括安全服務(wù)����,但Gallego指出,“這還不夠�,因為云計算供應(yīng)商從事云計算業(yè)務(wù),而不是從事安全業(yè)務(wù)�����?��!?/p>
因此,他表示�,企業(yè)安全領(lǐng)導(dǎo)者必須將他們的安全計劃制定到一個精細(xì)的層面——“誰有權(quán)訪問何時以及如何訪問”,然后將其提供給每個云計算提供商以協(xié)助執(zhí)行這些計劃����。
他補充說:“云計算提供商需要贏得用戶的信任?����!?/p>
采用新興技術(shù)
根據(jù)安全專家的說法�����,政策、治理甚至傳統(tǒng)的安全措施(如雙因素身份驗證)雖然都是必不可少的���,但還不足以應(yīng)對跨多個云平臺分散工作負(fù)載所帶來的復(fù)雜性�����。
企業(yè)必須采用旨在使企業(yè)安全團隊更好地管理和實施其多云安全策略的新興技術(shù)����。
Gallego和其他人指出了云計算訪問安全代理(CASB)等解決方案��,企業(yè)在其自身與云計算服務(wù)提供商之間提供本地軟件�����,以整合和實施安全措施���,如身份驗證���、憑據(jù)映射、設(shè)備配置��、加密和惡意軟件檢測。
他們還列出了人工智能技術(shù)���,這些技術(shù)可以從中學(xué)習(xí)����,然后分析網(wǎng)絡(luò)流量����,以更加準(zhǔn)確地檢測需要工作人員關(guān)注的異常,從而限制資源必須調(diào)查的良性事件的數(shù)量���,并將這些資源重定向到最有可能出現(xiàn)問題的事件。
他們引用了繼續(xù)使用自動化作為優(yōu)化多云環(huán)境中安全性的關(guān)鍵技術(shù)���。Spivey指出:“那些取得成功的組織就是那些能夠自動完成大部分工作并專注于治理和管理的組織��?�!?/p>
此外�,Spivey和其他人表示��,雖然用于保護數(shù)據(jù)跨越多個云平臺的確切技術(shù)(如CASB)可能是多云環(huán)境所獨有的��,但他們強調(diào)總體安全原則遵循的是解決人員、過程和技術(shù)問題的長期方法制定最佳策略����。
“人們正在談?wù)摬煌募夹g(shù)和不同的場景,并更多地關(guān)注數(shù)據(jù)�����,但這與組織必須實現(xiàn)的概念相同�。”O(jiān)napsis公司首席技術(shù)官的Perez-Etchegoyen說��,“對于多云環(huán)境����,技術(shù)方法雖然有所不同,但總體戰(zhàn)略將是相同的��?���!?/p>
