企業(yè)想使用基于云的服務(wù)和應(yīng)用；但是，安全團(tuán)隊(duì)需要評(píng)估風(fēng)險(xiǎn)，并且提出適用于云環(huán)境的控制方案。聽起來很簡單，對(duì)吧？然而，保護(hù)云資產(chǎn)帶來了數(shù)不清的挑戰(zhàn)——因?yàn)樵乒?yīng)商缺少透明度，控制方案無法天生適應(yīng)云環(huán)境。并且最常見的憂慮之一正是CISO所關(guān)注的：為業(yè)務(wù)里更多的云風(fēng)險(xiǎn)制定所有權(quán)。

CISO盡力應(yīng)對(duì)很多安全責(zé)任，包括審查技術(shù)性項(xiàng)目團(tuán)隊(duì)，并且溝通云風(fēng)險(xiǎn)以及可能需要說服其他執(zhí)行官和董事會(huì)成員。不幸的是，常見的誤解是信息安全組織“負(fù)責(zé)”IT項(xiàng)目的風(fēng)險(xiǎn)，無論是本地項(xiàng)目還是云項(xiàng)目。對(duì)于那些嘗試更為靈活能夠適應(yīng)快速變更以及具有挑戰(zhàn)的業(yè)務(wù)需求的CIO來說，在和其他利益相關(guān)人討論云供應(yīng)商，安全控制和部署場景時(shí)，很容易就會(huì)忽略這些問題。

是安全官們站出來控制風(fēng)險(xiǎn)評(píng)估相關(guān)的探討，并且完成審核的時(shí)候了。這樣業(yè)務(wù)所有人才能夠?qū)嶋H理解提出的云風(fēng)險(xiǎn)并且為之負(fù)責(zé)——而不是由信息安全組織來負(fù)責(zé)。

1.成熟的風(fēng)險(xiǎn)評(píng)估

在很多公司里——至少，在我工作的公司里，安全團(tuán)隊(duì)仍然掙扎著開發(fā)并且實(shí)現(xiàn)成熟的風(fēng)險(xiǎn)評(píng)估，以及審核云項(xiàng)目的流程。原因有很多——安全團(tuán)隊(duì)沒有足夠的資源，管理層漠不關(guān)心，對(duì)變化反應(yīng)很慢，從DevOps團(tuán)隊(duì)回推回來等等。從供應(yīng)商管理那里買入和采購團(tuán)隊(duì)，讓法務(wù)團(tuán)隊(duì)參與，這些對(duì)于正確評(píng)估合同風(fēng)險(xiǎn)至關(guān)重要。安全官們必須平衡輸入和所有團(tuán)隊(duì)的參與，提供云風(fēng)險(xiǎn)相關(guān)的客觀建議。確保商業(yè)領(lǐng)導(dǎo)者理解如下幾點(diǎn)很重要：

將資產(chǎn)挪到云上并不會(huì)免除公司保護(hù)自己系統(tǒng)，應(yīng)用程序和數(shù)據(jù)的責(zé)任。

在披露云控制以及內(nèi)部安全實(shí)踐和流程里，云供應(yīng)商并不是完全透明的。任何風(fēng)險(xiǎn)相關(guān)的討論，以及對(duì)某些風(fēng)險(xiǎn)的接受，都必須警告所有利益相關(guān)人，他們很可能會(huì)需要基于受限的信息做出決策。

在進(jìn)行任何云部署之前，都需要仔細(xì)審核合規(guī)需求，并且這要求額外的資源和時(shí)間。另外，對(duì)于受合規(guī)以及監(jiān)管法則管控的數(shù)據(jù)，任何選中的云供應(yīng)商必須能夠滿足所有這些必需的需求。

法務(wù)和供應(yīng)商管理團(tuán)隊(duì)需要仔細(xì)審核所有合同語言，這也要求額外的資源和時(shí)間。任何新的云服務(wù)供應(yīng)商需要在業(yè)務(wù)部門簽署應(yīng)用程序和服務(wù)合同之前徹底地仔細(xì)檢查。

很有可能并非所有內(nèi)部的安全控制和流程都能在云環(huán)境里工作，這可能會(huì)危害到合規(guī)狀態(tài)，或者顯著增加云風(fēng)險(xiǎn)。

要想創(chuàng)建出和當(dāng)前內(nèi)部安全狀態(tài)同等的安全條件，很可能需要額外的產(chǎn)品和服務(wù)。審核所有可選的方案需要時(shí)間和資源，很可能需要額外花費(fèi)來確保云上的覆蓋率。這些花費(fèi)還需要適應(yīng)云團(tuán)隊(duì)建議的財(cái)務(wù)和定價(jià)預(yù)測。

2.云安全策略

在任何公司里，董事會(huì)和CEO會(huì)最終負(fù)責(zé)新的IT項(xiàng)目帶來的任何風(fēng)險(xiǎn)，并且會(huì)對(duì)決策帶來的任何違反或者妥協(xié)場景負(fù)責(zé)任。但是，安全官們必須確保業(yè)務(wù)領(lǐng)導(dǎo)者意識(shí)到他們實(shí)際上在做什么，并且對(duì)這些風(fēng)險(xiǎn)負(fù)責(zé)。通常的看法是數(shù)據(jù)保管人——通常是IT團(tuán)隊(duì)，負(fù)責(zé)新項(xiàng)目期間導(dǎo)致的云風(fēng)險(xiǎn)。解除這樣誤解的最佳起點(diǎn)是開發(fā)出包含下面幾點(diǎn)的全面的云安全策略：

清晰定義高層執(zhí)行官：沒有高層執(zhí)行官或者組織，云策略很可能就得不到在公司內(nèi)貫徹執(zhí)行所需的足夠支持。云安全策略還必須包括一些聲明，比如誰會(huì)“簽發(fā)”云供應(yīng)商。是CIO嗎？

數(shù)據(jù)類型和分類，明確哪些能夠放在云上哪些不能，或者首先需要什么樣的控制或額外度量。

需要解決的合規(guī)要求，如果有的話。

CISO必須確保對(duì)云計(jì)算服務(wù)的使用符合當(dāng)前現(xiàn)有法律的要求；符合IT安全最佳實(shí)踐、標(biāo)準(zhǔn)和需求；符合風(fēng)險(xiǎn)管理策略。這也適用于隱私法規(guī)和規(guī)范。確保執(zhí)行官或者團(tuán)隊(duì)顯式簽署所有云計(jì)算的使用也很重要，并且他們要接受到文檔化的云風(fēng)險(xiǎn)評(píng)估結(jié)果的通知。直到流程在公司內(nèi)被接受，云項(xiàng)目的真正風(fēng)險(xiǎn)負(fù)責(zé)人才不會(huì)出錯(cuò)——需要負(fù)責(zé)的是資深執(zhí)行官和數(shù)據(jù)所有者。