云計算

想要安全上云，CEO們需要了解的可不止一點點

2018-01-10 來源：評論：0

摘要：　據(jù)Gartner調(diào)研，有76%的企業(yè)因為數(shù)據(jù)安全性不敢上云。而LogicMonitor公司最近發(fā)布的報告也顯示，66%的IT從業(yè)人員認(rèn)為安全性是其應(yīng)用企業(yè)云戰(zhàn)略時最關(guān)注的問題。

　　據(jù)Gartner調(diào)研，有76%的企業(yè)因為數(shù)據(jù)安全性不敢上云。而LogicMonitor公司最近發(fā)布的報告也顯示，66%的IT從業(yè)人員認(rèn)為安全性是其應(yīng)用企業(yè)云戰(zhàn)略時最關(guān)注的問題。誠然，沒有多少企業(yè)CEO身兼網(wǎng)絡(luò)安全專家的雙重職責(zé)，但在當(dāng)今數(shù)字化轉(zhuǎn)型的時代，網(wǎng)絡(luò)風(fēng)險管理又是每個領(lǐng)導(dǎo)者工作的重要組成部分。而因為數(shù)據(jù)泄露問題上榜新聞頭條的CEOs 就是網(wǎng)絡(luò)攻擊活生生的例子。

　　因此，當(dāng)企業(yè)準(zhǔn)備上云時，管理安全風(fēng)險成了CEO的首要考慮。你可能對于一個具有多因素身份驗證框架的防火墻不太了解，沒關(guān)系你可以向供應(yīng)商隨意詢問，這將有助于團(tuán)隊在進(jìn)行業(yè)務(wù)部署時優(yōu)先考慮安全問題，當(dāng)然也不會忽略其他問題。如果對此你還是比較茫然，下面這些問題或許可以作為企業(yè)上云時的參考：

　　1.企業(yè)IT文化對云安全的重視程度

　　云計算極大地提高了企業(yè)業(yè)務(wù)效率，減少了資本支出。這些都是其顯而易見的優(yōu)勢，但它們也可能產(chǎn)生意想不到的后果。如果企業(yè)打算上云卻不去仔細(xì)考慮自身IT組織的文化，可能會招致一些不必要的災(zāi)難。

　　因為快速交付云服務(wù)的壓力甚至?xí)仁贡Ｊ氐脑朴嬎銓＜也扇“踩輳健Ｋ麄儠紤]采用“DevSecOps”組織模型，將安全性與DevOps人員放在同等的基礎(chǔ)，相同的時間表上。這就需要企業(yè)認(rèn)真制定激勵措施，確保安全性與其他優(yōu)先事項同步。比如準(zhǔn)備好將基礎(chǔ)設(shè)施資金轉(zhuǎn)移到自動化的安全和ops工具上。

　　2.影響企業(yè)上云的監(jiān)管性問題

　　如果企業(yè)業(yè)務(wù)符合合規(guī)性要求，那么相信企業(yè)上云會很順利。但對其他人來說，會議授權(quán)則是其上云工作的一部分。“云”和“合規(guī)性”并不是相互排斥的，但是也有一些事情需要考慮。

　　云解決方案在體系結(jié)構(gòu)上不同于大多數(shù)規(guī)則已被設(shè)定好的解決方案。用于檢查合規(guī)性框架的主流工具，比如安全事件和事件管理(SIEM)平臺，在云計算調(diào)用服務(wù)器及無節(jié)制地填塞日志文件時會變得更加昂貴。

　　事實上，一些臭名昭著的違規(guī)事件的受害者有合規(guī)項目，但缺乏運營安全性。如果你不再把合規(guī)性作為一種單獨的行為，那么在這方面花費的錢就可以用來提高運行安全性上。使用更自動化的解決方案來代替合規(guī)性產(chǎn)品，從而利用合規(guī)性結(jié)果來提高企業(yè)正在進(jìn)行的安全可見性問題上。當(dāng)然，確保技術(shù)合作伙伴為云環(huán)境提供公平的價格也很重要。

　　3.企業(yè)對于云安全事件的應(yīng)對措施

　　云計算的到來，使得以防火墻來完善安全已經(jīng)行不通了。云解決方案將受到攻擊，而且攻擊者還可能會發(fā)現(xiàn)可利用的漏洞。當(dāng)最糟糕的情況發(fā)生時，企業(yè)最好是在開記者招待會之前想清楚兩個關(guān)鍵問題：發(fā)生了什么，損失有多大?

　　不過好消息是云可以提供足夠多的信息來及早、準(zhǔn)確地發(fā)現(xiàn)和分析安全事件，但在這里企業(yè)需要變現(xiàn)兩件事：業(yè)務(wù)實踐練習(xí)以及選擇正確的工具。通過常規(guī)的選擇性練習(xí)來發(fā)現(xiàn)潛在的弱點，增強(qiáng)團(tuán)隊的作戰(zhàn)斗法技能。

　　幫助團(tuán)隊獲取上云前的準(zhǔn)備工具，這些工具可在網(wǎng)絡(luò)安全隱患早期自動化調(diào)查和發(fā)現(xiàn)問題。但記住要明智地選擇這些工具——過多的警報會導(dǎo)致“警報疲勞”，并使團(tuán)隊對合法的威脅信號麻木。

　　4.是否理解云的共享安全責(zé)任模型?

　　作為企業(yè)CEO，你不需要成為云計算專家來管理云安全風(fēng)險。但是，云的共享安全模型(定義了云供應(yīng)商的責(zé)任范圍，而企業(yè)的責(zé)任范圍)可能是企業(yè)需要解決的一個問題。這是云安全挑戰(zhàn)的關(guān)鍵，它將影響企業(yè)成功路上的投資和計劃。

　　這里，給你一些建議：確保團(tuán)隊理解共享安全性的概念，并在盡可能地利用供應(yīng)商提供的服務(wù)。他們提供了一系列安全工具，包括防火墻、身份驗證和訪問管理系統(tǒng)、IPS/ /IDS等等，這些工具與本地監(jiān)控服務(wù)集成得很好。因此，最好不要使用第三方的替代方案來增加業(yè)務(wù)混亂性——即使你的團(tuán)隊對他們更熟悉。當(dāng)你需要的一些功能供應(yīng)商無法滿足時，可以查找與該供應(yīng)商的服務(wù)集成的產(chǎn)品。

　　5.企業(yè)的云解決方案如何與第三方展開合作?

　　科技發(fā)展到今天，IT的時代精神都是圍繞開源的。當(dāng)然，“開源”也有明確的商業(yè)利益：將非關(guān)鍵服務(wù)外包給第三方專家變得更容易，而且你可以很容易地將自己辛苦建立起來的在線資產(chǎn)貨幣化。與此同時，開源系統(tǒng)也存在風(fēng)險，一旦上云，企業(yè)的數(shù)據(jù)保存就沒有期限限制，即便中途采取任何措施，也不會削減這個時間的。

　　另一方面，第三方已經(jīng)被牽連進(jìn)了很多起違規(guī)事件中。所以當(dāng)允許第三方訪問你的數(shù)據(jù)以提供外包客戶服務(wù)或數(shù)據(jù)分析時，也會發(fā)生一些風(fēng)險。作為CEO，不管你知道與否，幾乎可以肯定地說，企業(yè)開發(fā)人員依靠第三方解決方案來避免重新進(jìn)行部署，并更快地解決問題。

　　提高可見性和更好的態(tài)勢感知力是管理第三方風(fēng)險的最佳方法。傳統(tǒng)上，IT專業(yè)人員只能通過使用詳細(xì)的交互性日志文件來查看完整的圖片。而現(xiàn)在自動化的云工具可以自動提供這張圖片，因此分析師可以專注于修復(fù)和過程改進(jìn)。

　　安全上云未來可期

　　現(xiàn)今，網(wǎng)絡(luò)安全成為大多數(shù)公司的首要關(guān)注話題。有效的上云風(fēng)險管理需要領(lǐng)導(dǎo)階層和相關(guān)IT項目及資金的共同支持。通過有效的法規(guī)制定，網(wǎng)絡(luò)風(fēng)險可以得到很好的管理。

　　當(dāng)然，企業(yè)上云的回報也是很豐厚的：云可以更快地交付業(yè)務(wù)創(chuàng)新，減少資本支出，并幫助你對市場變化做出更積極的反應(yīng)。有了正確的IT文化，詳細(xì)的計劃，以及對特定云安全工具的投資，企業(yè)就可以期待一個安全的上云之路。

相關(guān)熱詞搜索：想要安全上云，CEO們需要了解的可不止一點點

上一篇：英特爾交付首個49量子比特計算測試芯片 下一篇：華為手機(jī)未能與AT&T達(dá)成合作余承東稱是美國運營商的損失