随着企业不断向云中迁移的速度加快,你可能很自然地就会想到安全和合规团队将会对所使用的云服务提供商和云服务进行深入的风险评估。可悲的是,事实并不想像那样。

Tenable Network Security最近发布了“2017全球网络安全保证报告卡”发现,云风险评估在全世界范围内,被认为是最大的企业安全漏洞之一。该报告显示,60%的受访者有能力执行云风险评估,但这一数字从前一年开始下降。另外,许多人对于他们的风险评估能力,以及容器化和DevOps 环境并不自信,这两者在当今企业的许多云部署方案中都起着关键作用。

许多企业为风险评估而努力有几个原因。首先,云部署涉及的一些技术较新,且演进比较快,导致多数情况下的具体安全控制和风险参数无法确定。此外,云提供商在不断地更新和改变他们的环境和服务产品,使得风险评估的确保成为了一个移动的标靶。再加上变化的合规性和监管环境,致使执行云为核心的风险评估更加让人生畏。

云风险评估没有进行的另一个原因,有可能是由于云安全技能短缺,更有可能是缺乏足够的人力来完成工作。

云风险评估框架

幸运的是,有几个组织正在努力创建和发布云风险评估框架和标准,企业风险团队可以利用这些机制来帮助指导和执行自己的风险分析工作。

欧洲网络和信息安全局(ENISA)发布了一个合理的风险评估框架,可用于确定涉及云的风险。

ENISA发布了两个文档——一个是一般的云信息保证框架,所有组件都需要评估云基础架构的安全性; 第二份文件是框架补充指南,提供了总体风险评估纲要。ENISA文档提供了云计算风险的主要类别,包括人员安全、物理安全、操作、应用程序保证等等。

可以帮助组织从安全角度评估云供应商环境的另一个指南是,云安全联盟(CSA)共识评估计划调查问卷。这一指南涵盖了许多与ENISA相同的领域,但也符合CSA Cloud Controls Matrix,并且比ENISA文档更新更频繁。

最后一个文档,可能会在规划云风险评估时发现可以用的上,它是来自于“共享评估”的“云风险”指南,该指南提出了与云风险审查有关的一些建议,但不像ENISA或CSA那样提供了可用的框架。

无论以哪个框架组织为起点——并且审查和使用不止一个参考和建议将更有优势,而安全和风险团队需要增强和修改这些指南,从而来满足自己独特的需求。

此外,这些指南对于混合云架构的内部控制具有较少的规定;相反,它们主要侧重于云提供商内部和/或向租户提供的控制。

要确保强调了数据安全控制,如加密和密钥管理、基于角色的访问控制和多因素身份验证、数据生命周期控制和法律请求,以及合同中的数据泄露通知。

最重要的是,确保要有一个治理计划,有助于在安全团队和其他业务利益相关者之间进行有关云风险的有意义的对话。 管理人员应该对云部署、对企业的潜在影响以及他们可用选项存在的风险有很好的了解。开发一个记录良好且可重复的云风险评估流程是实现此目标的最佳途径。

关注中国IDC圈官方微信:idc-quan或微信号:821496803 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-07-26 09:04:00
云资讯 微软公布 2017 年 Q4 财报,云计算和 Office 业务依旧强劲
微软日前公布了公司截至6月30日的2017财年第四财季及全年财报,财报显示过去的 3 个月微软营收 233 亿美元,比去年同期增长 13%,净收入达到 65 亿美元,2017 年全年净收入 <详情>
2017-07-25 18:39:05
云资讯 2017可信云大会在京召开
2017年7月25-26日,由工业和信息化部指导、中国信息通信研究院、中国通信标准化协会主办,数据中心联盟、云计算开源产业联盟、互联网医疗健康产业联盟承办的“2017可信云大 <详情>
2017-07-25 17:14:31
云资讯 云计算对数据中心行业未来发展的影响
在大数据时代的今天,面对越来越多的数据处理需求,企业的IT运营维护成本也在直线上升。各家公司都在寻找适合自己的安全可靠且能够节省成本的IT方案。因此,近年来云计算作 <详情>
2017-07-25 12:56:58
云资讯 解码云计算市场:亚马逊领先,微软谷歌尝试逆袭
云计算市场被一些知名公司所主导。亚马逊云计算服务是该公司盈利能力最强的部门。微软将未来押注于云计算,并获得华尔街的热烈回应。谷歌(微博)也认为,云计算业务未来的规 <详情>
2017-07-24 11:35:00
云资讯 满足数字业务和云计算需求的新的广域网架构
成功的服务需求日益增长的公共云为基础的数字业务的举措,基础设施建设和运营的领导必须从根本上重新构建广域网。那些不会造成价格昂贵,在用户体验上的内部和外部的客户。 <详情>