企業(yè)之中，云風(fēng)險評估經(jīng)常會半途而廢，但是如果有了標(biāo)準(zhǔn)或框架，這一流程將會得到簡化。Expert Dave討論了一些可行的選項。

隨著企業(yè)不斷向云中遷移的速度加快，你可能很自然地就會想到安全和合規(guī)團(tuán)隊將會對所使用的云服務(wù)提供商和云服務(wù)進(jìn)行深入的風(fēng)險評估?？杀氖?，事實并不想像那樣。

Tenable Network Security最近發(fā)布了“2017全球網(wǎng)絡(luò)安全保證報告卡”發(fā)現(xiàn)，云風(fēng)險評估在全世界范圍內(nèi)，被認(rèn)為是最大的企業(yè)安全漏洞之一。該報告顯示，60%的受訪者有能力執(zhí)行云風(fēng)險評估，但這一數(shù)字從前一年開始下降。另外，許多人對于他們的風(fēng)險評估能力，以及容器化和DevOps 環(huán)境并不自信，這兩者在當(dāng)今企業(yè)的許多云部署方案中都起著關(guān)鍵作用。

許多企業(yè)為風(fēng)險評估而努力有幾個原因。首先，云部署涉及的一些技術(shù)較新，且演進(jìn)比較快，導(dǎo)致多數(shù)情況下的具體安全控制和風(fēng)險參數(shù)無法確定。此外，云提供商在不斷地更新和改變他們的環(huán)境和服務(wù)產(chǎn)品，使得風(fēng)險評估的確保成為了一個移動的標(biāo)靶。再加上變化的合規(guī)性和監(jiān)管環(huán)境，致使執(zhí)行云為核心的風(fēng)險評估更加讓人生畏。

云風(fēng)險評估沒有進(jìn)行的另一個原因，有可能是由于云安全技能短缺，更有可能是缺乏足夠的人力來完成工作。

云風(fēng)險評估框架

幸運(yùn)的是，有幾個組織正在努力創(chuàng)建和發(fā)布云風(fēng)險評估框架和標(biāo)準(zhǔn)，企業(yè)風(fēng)險團(tuán)隊可以利用這些機(jī)制來幫助指導(dǎo)和執(zhí)行自己的風(fēng)險分析工作。

歐洲網(wǎng)絡(luò)和信息安全局(ENISA)發(fā)布了一個合理的風(fēng)險評估框架，可用于確定涉及云的風(fēng)險。

ENISA發(fā)布了兩個文檔——一個是一般的云信息保證框架，所有組件都需要評估云基礎(chǔ)架構(gòu)的安全性; 第二份文件是框架補(bǔ)充指南，提供了總體風(fēng)險評估綱要。ENISA文檔提供了云計算風(fēng)險的主要類別，包括人員安全、物理安全、操作、應(yīng)用程序保證等等。

可以幫助組織從安全角度評估云供應(yīng)商環(huán)境的另一個指南是，云安全聯(lián)盟(CSA)共識評估計劃調(diào)查問卷。這一指南涵蓋了許多與ENISA相同的領(lǐng)域，但也符合CSA Cloud Controls Matrix，并且比ENISA文檔更新更頻繁。

最后一個文檔，可能會在規(guī)劃云風(fēng)險評估時發(fā)現(xiàn)可以用的上，它是來自于“共享評估”的“云風(fēng)險”指南，該指南提出了與云風(fēng)險審查有關(guān)的一些建議，但不像ENISA或CSA那樣提供了可用的框架。

無論以哪個框架組織為起點——并且審查和使用不止一個參考和建議將更有優(yōu)勢，而安全和風(fēng)險團(tuán)隊需要增強(qiáng)和修改這些指南，從而來滿足自己獨(dú)特的需求。

此外，這些指南對于混合云架構(gòu)的內(nèi)部控制具有較少的規(guī)定;相反，它們主要側(cè)重于云提供商內(nèi)部和/或向租戶提供的控制。

要確保強(qiáng)調(diào)了數(shù)據(jù)安全控制，如加密和密鑰管理、基于角色的訪問控制和多因素身份驗證、數(shù)據(jù)生命周期控制和法律請求，以及合同中的數(shù)據(jù)泄露通知。

最重要的是，確保要有一個治理計劃，有助于在安全團(tuán)隊和其他業(yè)務(wù)利益相關(guān)者之間進(jìn)行有關(guān)云風(fēng)險的有意義的對話。 管理人員應(yīng)該對云部署、對企業(yè)的潛在影響以及他們可用選項存在的風(fēng)險有很好的了解。開發(fā)一個記錄良好且可重復(fù)的云風(fēng)險評估流程是實現(xiàn)此目標(biāo)的最佳途徑。