但是,當(dāng)企業(yè)將數(shù)據(jù)和責(zé)任委托給云計(jì)算提供商時(shí),不可能再達(dá)到這種熟悉程度,這可能會(huì)阻止組織獲得最佳的云計(jì)算效率和安全性。顯然,人們需要改變思維方式。
調(diào)研機(jī)構(gòu)Gartner公司做出了這樣的比喻:與自己駕駛汽車相比,企業(yè)將業(yè)務(wù)移動(dòng)到云端有些像乘坐飛機(jī),而在旅程中,飛機(jī)由機(jī)組人員進(jìn)行控制,這可能會(huì)引起人們的焦慮。然而,這種焦慮是不合理的,因?yàn)榫拖耖_車之前會(huì)檢查汽車上的油表和輪胎一樣,在每次飛行前都會(huì)嚴(yán)格檢查飛機(jī)的狀況??偠灾?,這意味著將業(yè)務(wù)遷移到云端,企業(yè)需要對(duì)如何控制數(shù)據(jù)具有新的展望,并更好地了解云計(jì)算服務(wù)提供商為確保安全性所做的工作,以便放棄其底層平臺(tái)的所有權(quán)。
在當(dāng)今的背景下,客戶仍然擁有他們的數(shù)據(jù),但可以與云計(jì)算提供商分享管理權(quán)。“控制”的概念已從基于物理位置的所有權(quán)轉(zhuǎn)變?yōu)閷?duì)流程的控制。因此,企業(yè)信息安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要采用間接控制的新方法來(lái)提高效率和安全性,最重要的是讓人高枕無(wú)憂??紤]到這一點(diǎn),人們將會(huì)嘗試定義如何對(duì)云計(jì)算進(jìn)行正確的控制。
設(shè)計(jì)正確的身份和訪問(wèn)管理策略
安全團(tuán)隊(duì)和開發(fā)人員可以發(fā)現(xiàn)難以掌握基于云計(jì)算的控制概念。但實(shí)際上,企業(yè)放棄其廣域網(wǎng)中光纖和銅纜的所有權(quán)也面臨類似的情況:電信運(yùn)營(yíng)商擁有物理基礎(chǔ)設(shè)施,但數(shù)據(jù)仍由客戶擁有和控制。這一切都與描述安全責(zé)任有關(guān)。一旦定義了切換點(diǎn),企業(yè)就會(huì)知道除此之外,其云計(jì)算服務(wù)商(CSP)需要負(fù)責(zé)數(shù)據(jù)安全。
企業(yè)的責(zé)任在于設(shè)計(jì)身份訪問(wèn)管理策略,該策略不僅涵蓋云平臺(tái),還涵蓋云平臺(tái)向外界呈現(xiàn)的應(yīng)用程序和服務(wù)。訪問(wèn)權(quán)應(yīng)基于以“最低權(quán)限”為基礎(chǔ)授予用戶權(quán)限,而不是給予所有人更多的權(quán)限。這可以提高審計(jì)功能,并降低未經(jīng)授權(quán)更改平臺(tái)的風(fēng)險(xiǎn)。
最重要的是,企業(yè)應(yīng)該與云計(jì)算提供商合作,以確保加密更高程度的邏輯隔離。靜態(tài)和傳輸中的數(shù)據(jù)加密通常被視為在公共云平臺(tái)上保護(hù)和隔離數(shù)據(jù)的另一種方式。雖然攻擊者不可能闖入公共云數(shù)據(jù)中心,竊取包含數(shù)據(jù)的物理磁盤驅(qū)動(dòng)器,但強(qiáng)烈建議考慮使用靜態(tài)數(shù)據(jù)加密。
加強(qiáng)監(jiān)督并重新調(diào)整審計(jì)目標(biāo)
隨著監(jiān)管環(huán)境越來(lái)越復(fù)雜,越來(lái)越多地要求使用云計(jì)算的組織展示其強(qiáng)大的治理。企業(yè)已將某些控制權(quán)委托給其云計(jì)算服務(wù)商這一事實(shí),意味著企業(yè)必須證明治理程序已經(jīng)到位,并且正在遵循。
為此,企業(yè)應(yīng)該尋求與提供安全性和合規(guī)性的監(jiān)控和報(bào)告的云計(jì)算服務(wù)提供商合作。并且,具有必要的方法和合規(guī)性證明,可確保企業(yè)的云計(jì)算工作負(fù)載能夠滿足審核時(shí)間的必要要求。
比較企業(yè)的安全要求,并根據(jù)SLA衡量云計(jì)算服務(wù)提供商
另一個(gè)需要密切關(guān)注的是合同條款,它約束了云計(jì)算服務(wù)提供商在保護(hù)客戶數(shù)據(jù)和隱私方面的作用。與超大規(guī)模云計(jì)算提供商簽訂的合同往往絕大多數(shù)都會(huì)保護(hù)這些云計(jì)算服務(wù)提供商,但是可以與一些云計(jì)算服務(wù)提供商合作,就更有利于客戶的條款達(dá)成協(xié)議。
最終的影響和建議是圍繞云計(jì)算服務(wù)提供商合同和服務(wù)等級(jí)協(xié)議(SLA)。許多云計(jì)算服務(wù)提供商,特別是超大規(guī)模的提供商,在其服務(wù)等級(jí)協(xié)議(SLA)上可能非常嚴(yán)格,并且在被要求更改它們時(shí)可能非常不靈活。了解企業(yè)的云計(jì)算服務(wù)提供商在合規(guī)性不同方面的立場(chǎng)非常重要。云計(jì)算服務(wù)提供商能夠分享他們的認(rèn)證和證明嗎?他們對(duì)可用性等主題的服務(wù)等級(jí)協(xié)議(SLA)有多少靈活性?如果根據(jù)服務(wù)等級(jí)協(xié)議(SLA)提供服務(wù),他們是否會(huì)為此支付費(fèi)用?在開始使用云計(jì)算服務(wù)提供商的服務(wù)之前,這些都是企業(yè)需要獲得答案的問(wèn)題。在此提出的另一條建議是將外部托管數(shù)據(jù)的安全要求與風(fēng)險(xiǎn)偏好背景下的云計(jì)算服務(wù)提供商功能進(jìn)行比較。
總而言之,隨著安全風(fēng)險(xiǎn)和合規(guī)性法規(guī)的不斷增加,以及云計(jì)算服務(wù)的采用,理解云計(jì)算安全方面的共同責(zé)任非常重要。
在云中放棄和維護(hù)控制之間取得適當(dāng)?shù)钠胶?,將使企業(yè)能夠安全地利用云計(jì)算服務(wù)的諸多優(yōu)勢(shì)??刂圃破脚_(tái)并不意味著企業(yè)應(yīng)該管理它的各個(gè)方面,但要確保知道負(fù)責(zé)什么,而不是獲得全面的控制。
京公網(wǎng)安備 11010502049343號(hào)