與往常一樣,人們更愿意從別人身上學(xué)習(xí),而不是從自己的錯誤中學(xué)習(xí),尤其是在涉及安全方面。因此,隨著混合云應(yīng)用的廣泛應(yīng)用,其安全性越來越得到人們的關(guān)注。有關(guān)機(jī)構(gòu)關(guān)于安全性對一些IT專家和安全專家進(jìn)行了調(diào)查,并分享了他們的智慧。
一切都是新的......
人為錯誤是最終的安全漏洞:混合云時代仍然如此。在混合云架構(gòu)中,安全風(fēng)險和事件(甚至那些具有內(nèi)在技術(shù)根源的事件)通常是企業(yè)的工作人員造成的。
ShoreGroup公司解決方案架構(gòu)師兼安全業(yè)務(wù)負(fù)責(zé)人Ray Johansen表示:“混合云面臨獨(dú)特風(fēng)險的主要原因是過度暴露或違反專有數(shù)據(jù),而一些具體的例子表明其缺乏安全可見性或監(jiān)督。”
例如,他列舉了一個無意暴露客戶名單的例子。盡管這個名單最終并未包含敏感數(shù)據(jù),但當(dāng)事企業(yè)的聲譽(yù)仍然受到影響,其原因是缺乏監(jiān)督和干預(yù)。
“盡管數(shù)據(jù)的過度曝光存在一些技術(shù)故障,但真正的失敗來自組織對云計算服務(wù)的合法數(shù)據(jù)缺乏明確的策略,更重要的是被批準(zhǔn)的組織策略是什么或如何驗(yàn)證服務(wù)提供商。”Johansen說。
如果沒有這些政策和相應(yīng)的監(jiān)督,企業(yè)的員工幾乎不可能理解他們正在采用的并最終負(fù)責(zé)保護(hù)的數(shù)據(jù)。
事實(shí)上,人們對“影子IT”有一些誤解,影子IT是在沒有IT知識或監(jiān)督的情況下提供和使用的各種云服務(wù),這實(shí)際上只是組織缺乏必要的政策和流程的一種工作方式。
Johansen說,“人們總是聽到影子IT這個術(shù)語,但所有這些都是組織未能向其團(tuán)隊(duì)聲明這些服務(wù)是企業(yè)不會消費(fèi)的服務(wù)。”
“企業(yè)希望采用混合云,以獲得市場競爭所需的敏捷性和運(yùn)營效率。但是,企業(yè)通常依賴陳舊過時的工具或單獨(dú)的隔離解決方案來保護(hù)每個單獨(dú)環(huán)境中的數(shù)據(jù)安全。”Radware公司運(yùn)營商戰(zhàn)略和業(yè)務(wù)開發(fā)副總裁Mike O'Malley說,“過渡到混合云環(huán)境,需要企業(yè)對配置和解決方案進(jìn)行投資,這些配置和解決方案將專門用于保護(hù)混合云,并管理跨多個環(huán)境的新數(shù)據(jù)安全。”
O'Malley認(rèn)為實(shí)施自動化是關(guān)鍵,這是因?yàn)榘踩鞒虒?shí)現(xiàn)現(xiàn)代化和自動化是減少或限制那些人為錯誤的關(guān)鍵措施。
計算機(jī)設(shè)計和集成高級解決方案架構(gòu)師Michael Colonno說:“自動化和編排是非常重要的,因?yàn)榭梢韵藶橐蛩?。這是因?yàn)閷?shí)現(xiàn)安全性的所有重要和可重復(fù)的步驟都是在調(diào)配工作負(fù)載時自動設(shè)置的。”
例如,Colonno列舉了幾個企業(yè)或政府機(jī)構(gòu)“忘記”加密公共云存儲桶中的數(shù)據(jù)的多個示例,這些基本上是人為錯誤,并且可以實(shí)現(xiàn)自動化避免這些錯誤。
每個環(huán)境都需要關(guān)注
從單一的同構(gòu)的基礎(chǔ)設(shè)施轉(zhuǎn)向跨越私有云、公共云、傳統(tǒng)本地數(shù)據(jù)中心環(huán)境的體系結(jié)構(gòu),可以提供更高的敏捷性、可擴(kuò)展性和其他優(yōu)勢。但這也意味著企業(yè)的威脅面分布越來越廣泛。這是現(xiàn)實(shí),而不是借口。
“正在做這件事的組織已經(jīng)評估了所有正在運(yùn)行的環(huán)境,因此他們將有需要保護(hù)的完整清單。”Evident.io公司首席執(zhí)行官兼共同創(chuàng)始人Tim Prendergast說,“他們正在構(gòu)建整個組織的安全文化,并將重點(diǎn)放在保護(hù)數(shù)據(jù)上,而無論數(shù)據(jù)存儲在哪里。”
這里的總體戰(zhàn)略是確保適當(dāng)?shù)目梢娦院退袡?quán)。企業(yè)可以按照其認(rèn)為合適的方式分配責(zé)任,但是每個環(huán)境都需要安全保護(hù)。
Prendergast分享了一個客戶的例子:“我們的一個客戶利用各種云服務(wù),可以讓那些已經(jīng)開始在這些環(huán)境中工作的人知道他們?nèi)绾螌で笾笇?dǎo)和最佳實(shí)踐。”
保證傳輸過程的數(shù)據(jù)安全
Qwyit公司創(chuàng)始人兼首席技術(shù)官Paul McGough指出,混合云安全通常也增加了不僅要求保護(hù)各種環(huán)境,而且要保證數(shù)據(jù)在這些環(huán)境之間移動時的安全需求。
“數(shù)據(jù)安全和加密的目標(biāo)是確保它在傳輸和空閑時的安全控制。”McGough說,“數(shù)據(jù)傳輸?shù)牡胤皆蕉?例如在混合云環(huán)境中),就變得越困難。存儲數(shù)據(jù)的地點(diǎn)越多,同樣出現(xiàn)的問題也越多。因此,加密算法以及各種參與者的安全策略和實(shí)踐的能力都很重要。”
加密和密鑰管理確實(shí)很重要,但是企業(yè)的工具和流程仍然需要人為的監(jiān)督和行動。
“這些加密技術(shù)一起提供數(shù)據(jù)保護(hù)、參與策略和實(shí)踐,提供了系統(tǒng)的控制和保護(hù)。”McGough解釋說。
云安全是一個過程,而不是事件
在云計算的早期階段,安全問題是企業(yè)采用云計算的最常見的阻礙。
隨著云計算成為市場主流,企業(yè)從最初的恐懼可能會通過其安全心態(tài)的轉(zhuǎn)變而產(chǎn)生積極的結(jié)果。特別是,智能混合云策略通常涉及事件驅(qū)動、補(bǔ)丁和快捷方法,并將安全作為實(shí)踐和文化的持續(xù)發(fā)展的問題。
正如Infinitely Virtual公司首席執(zhí)行官兼創(chuàng)始人Adam Stern所解釋的那樣,分散式云安全方法通常會修復(fù)問題,同時忽略數(shù)百甚至數(shù)千個等待被利用的其他漏洞。
“云安全并不像填寫工作申請表那樣簡單,也不是檢查選擇框的問題。”Stern說,“企業(yè)采取零碎的安全措施永遠(yuǎn)不會奏效。修補(bǔ)漏洞或修復(fù)錯誤這些措施并不是制定有效安全策略的好辦法。”
對于混合云和多云環(huán)境,這意味著企業(yè)需要深入了解供應(yīng)商的安全功能,特別是對于初學(xué)者來說。Stern表示,“任何值得信任的提供者都會為安全任務(wù)提供經(jīng)過時間考驗(yàn)的工具、程序和技術(shù)。”
Stern表示,這并不能免除企業(yè)的責(zé)任:混合云安全需要企業(yè)采用一種積極警惕的心態(tài),能夠消除漏洞,并緩解威脅。
“云安全是一個過程,而不是事件。”Stern說。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號