Intel Security針對云計算部署的最新研究給企業(yè)同時帶來了好消息和壞消息。好消息是,根據(jù)對1200多名IT決策者的調(diào)查顯示,云技術(shù)相關(guān)的數(shù)據(jù)泄露事故發(fā)生頻率很低。但壞消息是,這些決策者稱遷移挑戰(zhàn)是他們面臨的最常見問題。從安全的角度來看,當轉(zhuǎn)移工作負載和數(shù)據(jù)到云計算時肯定會有挑戰(zhàn),無論是從內(nèi)部數(shù)據(jù)中心到云還是從云提供商到另一個云提供商。
第一個云遷移挑戰(zhàn)是確保根據(jù)政策和數(shù)據(jù)分類要求只有適當類型的數(shù)據(jù)遷移到云端。很多企業(yè)發(fā)現(xiàn)敏感數(shù)據(jù)出現(xiàn)在云端,而他們并沒有計劃將其放在云中,這通常是因為與項目團隊缺乏溝通或者缺乏對風險的了解,或兩者皆有。在Intel Security的報告中援引了SANS的調(diào)查,40%的受訪者稱他們在云中存儲或處理敏感數(shù)據(jù)。而另外60%沒有這樣做的受訪者稱,需要制定政策來明確哪些數(shù)據(jù)可遷移到云中,而哪些數(shù)據(jù)不可用。
很多企業(yè)可能面臨的另一個云遷移挑戰(zhàn)是認識到并非所有云服務(wù)提供商提供相同的服務(wù)和功能,并且,供應(yīng)商鎖定非??赡馨l(fā)生。在項目團隊在特定云服務(wù)提供商內(nèi)構(gòu)建基礎(chǔ)設(shè)施后,轉(zhuǎn)移特定格式的數(shù)據(jù)和系統(tǒng)到其它環(huán)境可能非常困難,如果說不是不可能的話。同時,從云環(huán)境導(dǎo)出數(shù)據(jù)也可能很困難,這里有兩個原因:首先,從云服務(wù)提供商檢索非常大量的數(shù)據(jù)可能需要合同中有特別處理的規(guī)定,還可能需要運輸存儲硬件到提供商來傳輸。其次,數(shù)據(jù)的格式可能與其他提供商或者內(nèi)部系統(tǒng)及應(yīng)用不兼容。這是必須解決的問題,才能確保所有數(shù)據(jù)可以企業(yè)可處理的格式導(dǎo)出。
在云數(shù)據(jù)遷移之前,安全團隊應(yīng)該花時間來評估當前內(nèi)部使用的安全控制,然后將其與云服務(wù)提供商環(huán)境中可用選項進行比較。有些安全控制在云服務(wù)提供商環(huán)境不可用,如果這些空白沒有填補或者適當處理,這可能導(dǎo)致云環(huán)境部署缺乏關(guān)鍵安全控制。當云環(huán)境中的安全控制無法匹配企業(yè)目前的安全控制,這可能導(dǎo)致數(shù)據(jù)泄露和違反合規(guī)。
混合云允許用戶在內(nèi)部存儲部分數(shù)據(jù),但對于云數(shù)據(jù)遷移,哪種最好呢?分析師Mike Matchett介紹了如何作出決定。
云遷移挑戰(zhàn)的另一個大問題是:缺乏盡職調(diào)查以適當評估服務(wù)提供商及其安全功能和態(tài)勢。大多數(shù)有信譽的提供商會提供SSAE 16 SOC 2,有些提供更深入的報告--側(cè)重ISO 27001或者PCI DSS或HIPAA等合規(guī)要求。供應(yīng)商管理、法律和安全及合規(guī)團隊應(yīng)該要求云服務(wù)提供商回答安全調(diào)查問卷,并確定該供應(yīng)商的風險水平。很多企業(yè)選擇依據(jù)云安全聯(lián)盟的《共識評估倡議調(diào)查問卷》,有些提供商已經(jīng)為此準備好答案。查看提供商的答案可了解很多主要安全挑戰(zhàn),例如加密密鑰管理和訪問、身份管理兼容性、可用的網(wǎng)絡(luò)控制,以及云服務(wù)提供商是否能夠滿足租戶的法律和取證要求。
對于緩解云遷移挑戰(zhàn)的簡單建議是:提前規(guī)劃。企業(yè)應(yīng)制定政策要求安全團隊參與所有云計算項目,確定盡職調(diào)查程序,并確保不要選擇任何控制缺失或存在數(shù)據(jù)兼容性問題的云服務(wù)。