國際信息安全學(xué)習(xí)聯(lián)盟(CISA)的注冊(cè)信息系統(tǒng)安全專家(CISSP)Christopher Steffen說,“混合云環(huán)境是動(dòng)態(tài)和復(fù)雜的,由于多個(gè)終端用戶從多個(gè)地點(diǎn)訪問多個(gè)環(huán)境而變得更加復(fù)雜。”Steffen是Cyxtera公司的技術(shù)總監(jiān),Cyxtera公司最近收購了Steffen之前任職的安全產(chǎn)品提供商Cryptzone公司。
Steffen和其他安全專家討論了企業(yè)的首席信息官及其團(tuán)隊(duì)在保護(hù)混合云環(huán)境時(shí)必須牢記的關(guān)鍵問題。企業(yè)需要優(yōu)先考慮以下八項(xiàng)關(guān)鍵要素:
1.企業(yè)確保具有完整的可視性
CBI公司戰(zhàn)略計(jì)劃副總裁、網(wǎng)絡(luò)安全資深專家J. Wolfgang Goerlich指出,在IT行業(yè)中,很多首席信息官和其他IT領(lǐng)導(dǎo)者經(jīng)常在他們的環(huán)境中存在盲點(diǎn),或者他們?cè)谒麄兊膬?nèi)部部署的基礎(chǔ)設(shè)施的認(rèn)識(shí)方面過于狹隘。
既然企業(yè)及其最終用戶可以使用數(shù)百個(gè)基于云計(jì)算的應(yīng)用程序,并且多個(gè)部門可以在基礎(chǔ)設(shè)施即服務(wù)平臺(tái)上創(chuàng)建自己的虛擬服務(wù)器,那么跨私有云、公共云和傳統(tǒng)基礎(chǔ)設(shè)施的完整可見性就是必須的。Goerlich說,缺乏可見性會(huì)給企業(yè)帶來更大的安全風(fēng)險(xiǎn)。
2. 每一個(gè)資產(chǎn)都需要擁有者
如果企業(yè)缺乏全方位的可見度,那么有可能缺乏所有權(quán)。企業(yè)的每一個(gè)混合云設(shè)施都需要一個(gè)擁有者。
Goerlich說:“IT安全的一個(gè)關(guān)鍵原則是需要一個(gè)擁有者,確認(rèn)每個(gè)資產(chǎn),并讓擁有者負(fù)責(zé)對(duì)資產(chǎn)的最小權(quán)限和責(zé)任分工。缺乏可見度會(huì)導(dǎo)致缺乏所有權(quán)。這意味著,在通常情況下,混合云環(huán)境具有松散定義的訪問控制,并且往往沒有職責(zé)分離。過度的許可將會(huì)帶來風(fēng)險(xiǎn),而沒有擁有者的風(fēng)險(xiǎn)是未解決的風(fēng)險(xiǎn)。”
3.混合云?嘗試混合安全
IT越來越成為企業(yè)整體業(yè)務(wù)戰(zhàn)略的驅(qū)動(dòng)力,而不僅僅是服務(wù)企業(yè),混合云模式已經(jīng)成為推動(dòng)這一轉(zhuǎn)變的推動(dòng)者。以類似的方式,現(xiàn)代IT需要重新思考一些舊的安全模式,例如混合安全。
Biscom公司首席執(zhí)行官Bill Ho說,“關(guān)于安全性的戰(zhàn)略不斷發(fā)展,許多企業(yè)正在采用混合方法來為他們的安全基礎(chǔ)設(shè)施建立更多的層次和深度。”企業(yè)的某些安全技術(shù)可能駐留在本地部署的數(shù)據(jù)中心,而另一些則在企業(yè)網(wǎng)絡(luò)之外運(yùn)行更有意義。
Bill Ho解釋說,“企業(yè)有很多的理由需要內(nèi)部部署安全工具和應(yīng)用程序,例如桌面防病毒、DLP、防火墻以及IDS/IPS系統(tǒng)。”其中一些作為云計(jì)算服務(wù)提供,有些則具有云中的組件,而應(yīng)用程序或應(yīng)用程序則在本地部署的數(shù)據(jù)中心中運(yùn)行。一些服務(wù)最好在云端處理,比如幫助減輕DDoS攻擊的服務(wù)。
4.安全性和合規(guī)性:連接但不一樣
Steffen表示,“企業(yè)可能在沒有合規(guī)的情況下?lián)碛邪踩?,但是如果沒有出現(xiàn)安全問題,那么人們可能永遠(yuǎn)不會(huì)遵守監(jiān)管法規(guī)。人們不要將安全性和合規(guī)性這二者混為一談,特別是當(dāng)企業(yè)正在遷移到混合云模型時(shí),應(yīng)該將合規(guī)性視為企業(yè)云安全策略的一個(gè)重要但獨(dú)立的部分。
在混合云或多云環(huán)境中的合規(guī)性不一定是云應(yīng)用的障礙。事實(shí)上,許多內(nèi)部控制可以交叉應(yīng)用到企業(yè)的云環(huán)境中。但是,企業(yè)了解云計(jì)算提供商使用的現(xiàn)有控制措施,以及它們?nèi)绾闻c企業(yè)現(xiàn)有控制系統(tǒng)相關(guān)聯(lián)是非常重要的。”
Steffen補(bǔ)充道,“這可能是企業(yè)需要進(jìn)行一些小規(guī)模的程序變更,才能遵守云計(jì)算提供商使用的控制措施。但這也可能意味著企業(yè)以前的安全戰(zhàn)略發(fā)生根本性轉(zhuǎn)變。在選擇云計(jì)算提供商或安全供應(yīng)商之前執(zhí)行合規(guī)控制評(píng)估是必須的。”
5.企業(yè)的工具和其他供應(yīng)商集成在一起嗎?
Steffen表示:“特定的云計(jì)算提供商和他們正在使用的安全工具如何與企業(yè)使用的工具集成?有很多工具可以很好地集成在一起,但是如果企業(yè)使用的安全工具集與外界不兼容,那么可能會(huì)很麻煩,可能需要尋找可與其他平臺(tái)配合的平臺(tái)和工具。因此,云計(jì)算提供商和安全供應(yīng)商應(yīng)提供與現(xiàn)有本地平臺(tái)和工具的簡(jiǎn)單集成。”
6.企業(yè)需要了解自己的供應(yīng)商
Steffen關(guān)于合規(guī)性和集成的建議給出一個(gè)提醒,企業(yè)保護(hù)其混合云環(huán)境在很大程度上取決于企業(yè)對(duì)所使用的平臺(tái)的了解和理解。
Biscom公司首席執(zhí)行官Bill Ho說,強(qiáng)大的云計(jì)算供應(yīng)商實(shí)際上可以提供內(nèi)部IT安全團(tuán)隊(duì)可能缺乏的專業(yè)知識(shí)。例如,他們可能會(huì)更好地實(shí)時(shí)監(jiān)控潛在威脅,例如零日攻擊。但這顯然并不是給定的。
Bill Ho說,“與任何云計(jì)算服務(wù)一樣,企業(yè)需要審核其提供商的資質(zhì)。需要調(diào)查他們的認(rèn)證,了解提供商的政策,了解開放企業(yè)網(wǎng)絡(luò)的風(fēng)險(xiǎn),并審查流程報(bào)告,例如SOC 2 Type II報(bào)告。”
7.混合模型的擴(kuò)展通信
Goerlich說:“混合云帶來了對(duì)通信方面的可擴(kuò)展性問題。這又一次是缺乏可見性和所有權(quán)的副產(chǎn)品,并且在使用多云和多供應(yīng)商策略的組織中尤其如此。”
清晰的溝通是強(qiáng)有力的安全態(tài)勢(shì)的重要組成部分,特別是在涉及新的漏洞或攻擊事件時(shí)。這是企業(yè)IT領(lǐng)導(dǎo)者需要充分解決的一個(gè)領(lǐng)域,不僅在內(nèi)部部署,而且還包括供應(yīng)商和其他第三方。
8. 進(jìn)行持續(xù)的風(fēng)險(xiǎn)評(píng)估
企業(yè)從一開始就建立一個(gè)安全首要的混合云環(huán)境是很好的第一步,但它仍然只是第一步。 Goerlich指出,保護(hù)動(dòng)態(tài)混合云環(huán)境需要持續(xù)的風(fēng)險(xiǎn)評(píng)估。
“組織識(shí)別漏洞和安全問題的另一種方法是通過風(fēng)險(xiǎn)評(píng)估,”Goerlich說。
他列舉了三個(gè)例子:
•供應(yīng)商風(fēng)險(xiǎn)管理就像正在進(jìn)行的盡職調(diào)查一樣,“可以突出顯示哪些供應(yīng)商提供哪些服務(wù),然后查詢這些供應(yīng)商的安全計(jì)劃。”
•軟件組合分析可以“突出顯示代碼中的哪些第三方數(shù)據(jù)庫可能會(huì)危害企業(yè)構(gòu)建的應(yīng)用程序。”
•技術(shù)漏洞評(píng)估和滲透測(cè)試可“進(jìn)一步了解當(dāng)前的安全狀況。由于混合云技術(shù)組織依賴的范圍和規(guī)模,如今必須以分段的方式完成。”
保持安全性增長(zhǎng)
隨著企業(yè)的混合云策略不斷增長(zhǎng),企業(yè)的安全規(guī)劃也應(yīng)隨之變化。
“企業(yè)需要知道自己擁有什么,知道誰擁有它,誰可以訪問它,有明確的溝通渠道,將其分解成細(xì)分市場(chǎng),并進(jìn)行風(fēng)險(xiǎn)評(píng)估。” Goerlich說:“一次做好一件事,企業(yè)可以通過專注于最重要的技術(shù),即支持關(guān)鍵業(yè)務(wù)戰(zhàn)略和功能的技術(shù),并取得成功。隨著混合云擴(kuò)展企業(yè)消費(fèi)的技術(shù),企業(yè)的領(lǐng)導(dǎo)者也必須擴(kuò)大安全領(lǐng)域的優(yōu)先級(jí)和協(xié)作。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)