虽然云计算的应用越来越普遍,但人们并不总是信任云计算。很多企业的安全和风险管理领导者对于将关键数据和基础设施委托给第三方云计算提供商曾经感到担忧。
这是可以理解的,源于其网络管理的历史,企业的IT团队对于管理IT基础设施的资源非常熟悉,从他们所在的建筑物到电力和冷却供应,再到服务器,以及存储和网络基础设施。
但是,当企业将责任委托给云计算提供商时,想达到这种熟悉程度是不可能的,并且这可能会阻止组织获得最佳的云计算效率和安全性。显然,企业需要改变思维方式。
在名为“CISO 剧本:如何在云中保留正确的控制”的调查报告中,Gartner公司做出了这样的比喻:在自己的数据中心运营业务就像自己驾驶汽车,而迁移到云端有点像在飞机上飞行。那么人们可能无法对飞机的机组人员的旅程进行控制,这可能会导致焦虑。然而,这种焦虑是不合理的,因为就像人们日常会检查汽车测量、轮胎、玻璃清洗液一样,每次飞行前都会严格检查飞机。
总而言之,这意味着迁移到云端需要一个新的前景,企业需要了解如何控制其数据,并更好地了解云计算服务提供商做什么,以便企业放弃底层平台的所有权。
在当今的背景下,客户仍然拥有他们的数据,但与云计算提供商分享管理权。“控制”的概念已从基于物理位置的所有权转变为对流程的控制。因此,信息安全和风险管理领导者需要采用间接控制的新方法来实现效率和安全,最重要的是让人高枕无忧。考虑到这一点,人们将尝试定义如何对云计算进行正确的控制。
设计正确的身份和访问管理策略
安全团队和开发人员可以发现难以掌握基于云计算的控制概念。但实际上,放弃其广域网中光纤和铜缆的所有权也是类似的情况:电信运营商拥有物理基础设施,但数据仍由客户拥有和控制。这一切都与描述安全责任有关。一旦定义了切换点,企业就会知道除此之外,其云计算服务提供商负责安全性。
企业的责任在于设计一个身份访问管理策略,该策略不仅涵盖云平台,还涵盖云平台向外界呈现的应用程序和服务。访问权应基于以“最低权限”为基础授予用户权限,而不是给予所有人更多的权限。这可以提高审计能力,并降低未经授权更改平台的风险。
最重要的是,企业应该与云计算提供商合作,以确保对更高程度的逻辑隔离进行加密。空闲和传输中的数据加密通常被视为在公共云平台上另一种保护和隔离数据的方式。虽然任何人都不可能闯入公共云数据中心,并物理窃取包含数据的磁盘驱动器,但强烈建议企业考虑使用空闲数据加密。
加强监督并重新调整审计目标
随着监管环境越来越复杂,越来越多地要求使用云计算的组织展示其强大的治理。企业已将某些控制权委托给其云计算服务供应商,这一事实意味着企业必须证明治理程序已到位并且正在遵循。
为此,企业应该寻求与提供安全性和合规性监控和报告的云计算服务提供商合作。并且采用必要的方法和合规性证明,可确保企业云计算工作负载能够满足审核时间的要求。
比较企业的安全需求,并根据SLA衡量云计算服务商的性能
另一个需要密切关注的是合同条款,它约束了云计算服务商在保护客户数据和隐私方面的作用。与超大规模云计算提供商签订的合同往往绝大多数都会保护这些云计算服务商,但是可以与一些云计算服务商合作,就更有利于客户的条款达成协议。
最终的影响和建议是围绕云计算服务提供商合同和服务等级协议(SLA)。许多云计算服务商,特别是超大规模的提供商,在其SLA上可能非常严格,并且在被要求更改它们时可能非常不灵活。了解云计算服务提供商在合规性的不同方面的立场非常重要。但他们能够分享认证和证明吗?他们的SLA对可用性等主题有多大的灵活性?如果SLA不提供服务,他们会支付服务信用吗?在开始使用云计算服务提供商的服务之前,这些是企业需要获得这些问题的答案。在此提出的另一条建议是将外部托管数据的安全要求与风险偏好背景下的云计算服务提供商功能进行比较。
总而言之,随着安全风险和合规性法规的不断增加,以及云计算服务的采用,理解云计算安全方面的共同责任非常重要。在云中放弃和保留控制之间取得适当的平衡,将使企业能够安全地利用云计算服务的诸多优势。控制云计算并不意味着企业应该管理云计算的每一个方面,但要确保知道应该负责什么职责,并获得正确的控制。
相关阅读:
【中国IDC圈原创,未经授权禁止转载】