如今,大部分组织都在将一些工作负载和资产转移到云端。根据最近的一份调查报告,许多企业的首席信息安全官(CISO)对安全控制和人才短缺问题感到担忧,40%的企业因这些问题而放缓业务迁移。

云安全

报告发现,尽管83%的IT专业人士表示他们将敏感数据存储在公共云中,但只有69%的IT专业人士表示相信公共云能够保护他们的数据安全。而近年来针对云计算的网络攻击十分猖獗:据调查,使用基础设施即服务(IaaS)或软件即服务(SaaS)的四分之一企业的数据曾经被盗。与此同时,五分之一的受访者表示他们遭遇了对其公共云基础设施的重大攻击。

调研机构Forrester公司副总裁兼首席分析师Andras Cser表示:“我们在如何保护云中的数据,如何将企业的身份转移到云端,以及如何确保网络安全等方面进行了大量的调查。很多时候,我们看到一些企业甚至放弃了这个领域的安全项目。”

但是,Gartner公司信息风险研究主管Daria Kirilenko表示,首席信息安全官(CISO)经常不信任云安全的原因比一些报告所暗示的更为细微。

“许多首席信息安全官(CISO)认为供应商的安全性实际上比他们自己部署的安全措施强大得多,但最终他们认为如果某些供应商出现违规行为,他们仍将对此后果负责。”Kirilenko说,“这是他们认为应该谨慎看待采用云计算的主要原因。”

Kirilenko表示,首席信息安全官也倾向于认为他们的安全团队没有适当的技能在组织实施云策略。“他们认为,对于组织迅速采用云计算没有准备好提供支持。”她补充道。

Kirilenko表示,许多安全团队缺乏云计算安全知识,因为大多数传统的安全实践不能迁移到云环境中,而是必须重建。

“他们毫无准备,最终他们认为如果出现问题,可能会承担责任。”Kirilenko说。

建立一个云计算安全团队

Kirilenko指出,即使供应商有过错,对云中违规的责任也往往会落在企业的首席信息安全官(CISO)身上。她补充说,首席信息安全官应该向高级业务利益相关者宣传云计算安全是由供应商和内部团队共同承担的事实,因为内部利益相关者犯错时会出现很多安全问题。

Kirilenko表示:“首席信息安全官花费大量时间和精力建立一个强大的安全团队,让开发人员接受安全的云计算流程,而不是花费所有时间来管理和监控提供商。如果他们花费精力建立强大的安全团队,为现在实际上绕开安全的开发人员实施云安全措施,他们将获得更好的结果,但他们往往不能正确实施云安全,而这增加了使用其云供应商的风险。”

Cser表示,云操作、云架构或云计算安全工作者通常负责云安全,但通常会发现更多传统安全工作者正在与新平台进行斗争。

Kirilenko说,谈到建立一个云安全团队时,寻找一位“独角兽”公司或者某个云计算提供商的专家来了解云计算架构,并拥有软件开发技能通常是不可行的。相反,首席信息安全官应该将他们的安全团队视为一个技能组合。

“企业需要先了解自己真正需要的云技能。”Kirilenko说,“很多时候,寻找那些知道并了解每个提供者内部和外部的个人并不是非常重要,这些个体可以随着时间的推移而发展。”

Kirilenko说,相反,企业应该建立一支有个人优势的团队,加入其团体安全。例如,一名员工可能具备必要的软件开发技能,另一名员工在企业架构方面经验丰富,而另一位则在解决方案架构方面擅长。

Kirilenko表示,首席信息安全官也应该记住,他们不需要使用自己的团队来构建所有的云安全。还有一些公司建立了云计算卓越中心,并将人员从应用程序和基础设施等不同功能中轮换出来,并通过这些人员加强组织的安全性。

“许多成功的公司并不认为他们的内部安全资源是一种限制,因为他们知道制定云计算策略是组织应该共同做的事情。”Kirilenko说。

Kirilenko表示,首席信息安全官也应该使开发人员容易遵守云安全准则。成功组织的另一个实践是开发一个通用安全平台,其中包含API和参考架构,开发人员可以使用这些平台快速了解如何在其应用程序中实施安全准则。

“企业需要考虑如何减轻利益相关者的负担来做好安全的事情,并需要以简单的方式实现安全。”Kirilenko说。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-05-14 10:18:12
云技术 物联网设备爆发式增长,云计算模式正走向“雾计算”
越来越多的设备连接将迫使IoT制造商在2018年将云计算模式从云计算模式转移到一种称为“雾计算”的新模式。 <详情>
2018-05-14 09:49:00
国内资讯 国内IDC市场热度飙升,国外厂商能否分一杯羹?
近年来,随着云计算、大数据行业的快速发展,经济全球化的的促进下,我国企业开始大规模出海,同时国外企业也加强了向国内市场进行部署。对此,我国相继出台了多个标准来管 <详情>
2018-05-14 09:49:00
云安全 如何将威胁情报整合到安全意识项目中?
网络威胁情报(Cyber threat intelligence,简称CTI)以及作为其立足根基的安全运营正在更为广泛的业务体系中快速增长。根据研究结果显示,93%的受访者表示他们至少在一定 <详情>
2018-05-14 09:41:00
云安全 许多企业没有做好云服务中断的准备
一些企业不知道云中断会花费多少费用,谁负责恢复数据和工作负载、客户或云计算服务提供商。 <详情>
2018-05-11 15:29:22
云资讯 亚马逊首次披露:其AWS服务至少有789亿元未来收入
马逊财报显示,AWS(亚马逊公司旗下云计算服务平台)至少有124亿美元未来收入,为首次披露该指标。它代表没有被计入收入的已签署合同的总价值,因为相关合同要执行很多年。 <详情>