隨著云服務(wù)的流行度不斷提升,企業(yè)必須與IT合作決定什么是可以放于云端的,以及如何確保其它安全。
云計(jì)算獲得了企業(yè)越來(lái)越多的關(guān)注。是否意味著云服務(wù)對(duì)于企業(yè)來(lái)說(shuō)已經(jīng)足夠安全可靠 ?
雖然我的回答是“適情況而定,”但對(duì)于安全經(jīng)理來(lái)說(shuō),了解概括地否定回答并不是一個(gè)可接受的答案,這一點(diǎn)很關(guān)鍵。高管和其它業(yè)務(wù)領(lǐng)導(dǎo)因基于云的廠商所提供了成本和便利的好處而受到吸引。然而,在采取任何行為之前,安全團(tuán)隊(duì)需要了解什么樣的系統(tǒng)和數(shù)據(jù)可以托管在云端,在這之前團(tuán)隊(duì)人員可以對(duì)云服務(wù)安全性時(shí)行判斷。
另外,組織需要做出決策,決定出什么可以置于云端,什么不能。一旦這些基準(zhǔn)得到解決,項(xiàng)目經(jīng)理就可以評(píng)估一下使用云供應(yīng)商的特殊功能的優(yōu)劣勢(shì)。
最重要的,安全團(tuán)隊(duì)需要了解什么樣的系統(tǒng)和數(shù)據(jù)在云中。云的一個(gè)最重大的負(fù)面影響是任何持有公司信用卡的員工都可以成為他自己的采購(gòu)員。這類(lèi)影子IT場(chǎng)景導(dǎo)致更惡劣的情況,卻無(wú)從知曉。如果數(shù)據(jù)已經(jīng)遷移到云端,但是卻沒(méi)有人知道的話(huà),安全就不能正確地審查供應(yīng)商,或持續(xù)對(duì)供應(yīng)進(jìn)行性能監(jiān)測(cè)。盲目的安全團(tuán)隊(duì)不能確保應(yīng)用安全。
在監(jiān)測(cè)確保未知的數(shù)據(jù)并沒(méi)有依賴(lài)于云服務(wù)安全后,組織需要決定出什么樣的數(shù)據(jù)和系統(tǒng)是他們希望托管于云端的。管理需求可能描述了什么可以放于云中,什么不可以。公司政策可能有更加嚴(yán)厲的需求。
那些正在尋找著手點(diǎn)的組織可以看看他們企業(yè)現(xiàn)有的數(shù)據(jù)分類(lèi)政策。關(guān)于不同類(lèi)型的數(shù)據(jù)必須如何處理的政策可能取消了某些來(lái)自于使用云廠商的信息和功能的資格。這些相同的協(xié)議可能也強(qiáng)調(diào)了其它適合于基于云解決方案的功能。為了得到真正的 幫助,政策可能需要擴(kuò)展到創(chuàng)建云特定的IT部門(mén)和業(yè)務(wù)線(xiàn)(LOB)指南中。
依賴(lài)云供應(yīng)商有好處有壞處。云服務(wù)安全可以犧牲讓IT團(tuán)隊(duì)接受。所有的 云計(jì)算都涉及到大量的控制,因?yàn)橛辛硗庖恍┤素?fù)責(zé)開(kāi)通服務(wù)、運(yùn)行并維護(hù)服務(wù)器和軟件。云服務(wù)也是對(duì)攻擊者很有吸引力的目標(biāo),因?yàn)槌晒Φ耐黄瓶谔峁┐罅康慕M織數(shù)據(jù)的訪問(wèn)權(quán)限。
然而,有些情況下,云選項(xiàng)可能比本地的更安全。合格云提供商已經(jīng)擁有成熟的安全運(yùn)營(yíng)項(xiàng)目,如威脅情報(bào)、備份、修補(bǔ)、入侵檢測(cè)和響應(yīng)。安全經(jīng)理需要誠(chéng)懇地問(wèn)他們自己,他們的組織這些功能及其它關(guān)鍵任務(wù)運(yùn)行的有多良好。
云供應(yīng)商能夠利用一些規(guī)模經(jīng)濟(jì),這也非常吸引中小型企業(yè),同時(shí)也給企業(yè)組織增加了價(jià)值。另外,有些組織對(duì)云供應(yīng)商卸載了一些業(yè)務(wù)流程,從而減少合規(guī)工作的規(guī)模,如外部設(shè)備連接。
云供應(yīng)商可以給IT部門(mén)和LOB提供大量的價(jià)值,但向云遷移服務(wù)和數(shù)據(jù)的決定需要謹(jǐn)慎。有現(xiàn)成的決定性流程可以幫助避免創(chuàng)建影子IT操作,而且可幫助阻止數(shù)據(jù)蔓延。有了足夠的提前計(jì)劃,企業(yè)可以利用云供應(yīng)商提供的好處,而不造成IT運(yùn)營(yíng)的失控。