調(diào)研:云遷移是企業(yè)所面臨的挑戰(zhàn)之一

責任編輯:editor004

作者:Dave Shackleford

2016-08-22 15:21:01

摘自:TechTarget中國

Intel安全部門對于云接受程度的最新調(diào)研給企業(yè)帶來了一些好消息和壞消息。安全團隊需要在云數(shù)據(jù)遷移前花時間評估目前所使用的安全控制方法,隨后比對云供應商環(huán)境里可用的方案。

Intel安全部門對于云接受程度的最新調(diào)研給企業(yè)帶來了一些好消息和壞消息。好消息是,根據(jù)一份超過1200名IT決策制定人員參與的調(diào)查報告,云相關的數(shù)據(jù)破壞頻率是很低的。但是壞消息是這些決策制定人員認為遷移的挑戰(zhàn)是他們面臨的最為常見的問題。從安全的角度看,將工作負載和數(shù)據(jù)移上云端時,要么是從內(nèi)部數(shù)據(jù)中心移動到云上,要么是從一個云供應商處移動到另一個供應商處,肯定會面臨很多挑戰(zhàn)。

云遷移最主要的挑戰(zhàn)之一是,根據(jù)政策和數(shù)據(jù)分類需求,確保僅僅那些合適類型的數(shù)據(jù)會移動到云上。很多企業(yè)發(fā)現(xiàn)敏感信息也會在云上出現(xiàn),他們其實根本沒有這么計劃,這通常是因為和項目團隊缺乏溝通,或者缺少對風險的理解所致,或者兩者皆有。Intel安全部門的研究里所引用的SANS調(diào)研說,40%的受訪者提到他們在云上存儲或者處理敏感數(shù)據(jù)(編者按:為Intel安全報告提供消息的作者)。其他60%認為沒有這種情況發(fā)生的受訪者,則需要小心定義政策,規(guī)定哪些數(shù)據(jù)能遷移到云上,哪些不能。

很多企業(yè)面臨的云遷移的另一個挑戰(zhàn)是,他們認識到并不是所有的云供應商都提供相同的服務和功能,因此,供應商綁定幾乎在所難免。項目團隊在某個特定的云供應商那構建了基礎架構之后,將特定格式的數(shù)據(jù)和系統(tǒng)移動到其他環(huán)境會相當困難,甚至不可能。同樣地,基于這兩個原因,從云環(huán)境上導出數(shù)據(jù)也會成為企業(yè)的負擔。

首先,從云供應商那里獲得海量數(shù)據(jù)可能需要合同里的特別條款約定,很可能要求向供應商提供存儲硬件來支持這樣的轉移。第二,導出的數(shù)據(jù)格式可能和其他供應商甚至和內(nèi)部系統(tǒng)或者應用程序不兼容。一開始就搞清楚這些至關重要,需要確保所有數(shù)據(jù)能夠導出成企業(yè)能夠使用的格式。

安全團隊需要在云數(shù)據(jù)遷移前花時間評估目前所使用的安全控制方法,隨后比對云供應商環(huán)境里可用的方案。一定會存在這樣的情況,一些安全控制方法——和/或者供應商,在云供應商環(huán)境里可能不可用,如果沒有發(fā)現(xiàn)并且適當處理這些情況的話,部署就可能缺失關鍵的安全控制。云環(huán)境里無法匹配已有的安全控制方法可能會導致數(shù)據(jù)外泄、破壞,至少會導致違規(guī)。

云遷移挑戰(zhàn)的另一個大問題是缺少盡職的調(diào)查,來正確評估服務提供商及其安全能力?,F(xiàn)在大部分有名氣的供應商都至少提供了SSAE 16 SOC 2,并且一些供應商還能夠提供關注于ISO 27001或者合規(guī)要求,比如PCI DSS或者HIPAA的更多深度報告。供應商管理,法務和安全以及合規(guī)團隊需要要求云供應商回答安全調(diào)查表,并且決定該供應商的風險等級。

很多公司選擇基于Cloud Security Alliance Consensus Assessments Initiative Questionnaire(云安全聯(lián)盟一致性評估工作組調(diào)查問卷)來構建自己的調(diào)查表,一些供應商已經(jīng)準備好了這些問題的回答。審核這些回答可能會發(fā)現(xiàn)很多主要的安全挑戰(zhàn),比如,加密密鑰管理和訪問,身份管理兼容性,可用的網(wǎng)絡控制,以及云供應商是否能夠滿足多租戶的法律和鑒證請求。

如果說為了幫助減輕云遷移的痛苦有什么靈丹妙藥的話,那就是計劃。對于所有的云項目,務必要求安全團隊參與政策的構建,確定盡職調(diào)查項目應該是什么樣子的,并且確保不要移動到任何控制和數(shù)據(jù)兼容性缺少或者不足的云服務上。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號