尽管云计算在企业的采用率有所增加,但许多主管还是小心翼翼,不敢将数据迁移到云端。虽然他们不愿采用云主要源自安全和隐私方面的问题,但是那些担心并非总是有根有据。

TierPoint LLC是一家总部位于圣路易斯的云和主机托管服务提供商,首席安全官Paul Mazzucco表示,实际上,许多企业组织担心云安全基本上归因于误区。Mazzucco在近日于纽约召开的云计算博览会上表示,尤其是下列四大误区让主管们夜不能寐。

第一大误区:云端数据天生就不大安全。

Mazzucco表示,许多主管误以为放在云端的数据要比放在企业内部的数据来得岌岌可危。

与此同时,最近重大数据泄露事件纷纷传出之后,业务主管们在企业内部围绕云安全展开越来越多的讨论,这些问题越发让人忧心忡忡。

Jon Williams是总部位于南卡罗来纳州格林维尔的律师事务所Ogletree Deakins的区域支持主管。他说:“我们有一个技术委员会,其成本基本上是我们事务所的几位大股东,他们根本就不是IT人员。如今所有这些IT决策都要受到审批,我们会把想法告诉给他们,他们也把想法告诉我们。不过他们其实在一个劲地挑剔、提出问题。”

Mazzucco表示,尽管业务主管们很担心,但数据在云端通常要比在企业内部来得安全。这是由于,绝大多数云服务提供商一开始就将安全(常常使用多层次方法)纳入到其基础设施中。

将数据迁移到云端还减小了影子IT的风险。所谓的影子IT是指,用户绕过IT部门,访问未经批准的云应用程序。

Mazzucco表示,大多数主管以为本公司运行的基于云的应用程序至多不超过50个,而企业实际使用的云应用程序平均超过500个。制定一项正式的云战略让IT部门拥有更大的透明度和控制度。

第二大误区:安全战略可以等一等。

自任何云部署项目一开始,制定云安全战略就应该是业务部门和IT部门关注的首要事项。据Mazzucco声称,在部署后打上安全补丁了事是没有哪家公司愿意冒的风险。

他说:“这是现在得赶紧采取的措施。”

即便企业组织已落实了适当的安全措施,并且通过服务级别协议(SLA)确保云服务提供商同样落实了适当的安全措施,日常监控和报告也应该总是一个优先事项。

第三大误区:通过认证的云服务提供商保证数据肯定能得到保护。

许多企业组织完全凭借云服务提供商拥有的合规或监管认证数量来评估对方的安全模型。Mazzucco提醒,但不应该是这样。相反,IT部门应该总是“进入到下一个阶段”,评估提供商的云环境。

他说:“总是要核实提供商向你出示的合规认证。”

为此,企业应该对提供商进行独立的安全评估,或者请第三方开展这项工作。首先,要参照云安全联盟的《共识评估倡议调查问卷》(Consensus Assessment Initiative Questionnaire),它列出了云用户和审查人员应当询问潜在云服务提供商的一系列问题。

此外,企业组织应该总是要求提供商的安全实践/做法至少有一定的透明度,并且尽可能在SLA中加以注明。

第四大误区:弄好后就不用管。

正如IT部门不应该在部署后胡乱拼凑安全战略那样,它们也不能在投入使用后就忘了该战略。

Mazzacco表示,可靠的云安全模型应该不断完善。它应该需要多层次方法,需要日常的高级威胁检测,需要实时警报,还需要一致的监控和报告机制。不断更新反病毒和反恶意软件技术在云环境下应当与在内部环境下来得同样要紧。

Mazzucco说:“说到云安全,过去那种‘眼不见心不烦’的心态很危险,要不得。当然,让一支专设的小组查看计算环境的所有层次、所有日志以及安全环境的方方面面,这比老方法要好得多。”

英文:Four cloud security myths debunked

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-30 19:15:23
云安全 腾讯牵头制定首个“零信任”安全技术行业标准
7月25日,在中国通信标准化协会CCSA TC8 WG3第60次工作会议上,由腾讯牵头提案的“零信任安全技术-参考框架”行业标准正式通过权威专家组评审并成功立项。 <详情>
2019-07-30 12:48:00
云安全 云安全的12个阴暗面
过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企 <详情>
2019-07-30 12:26:08
云安全 长亭科技全线产品升级支持IPv6防护服务
IPv6 能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6改造都在如火如荼地 <详情>
2019-07-25 17:40:43
云资讯 多云和安全注意事项
随着企业将工作负载从内部数据中心迁移到云平台,采用多个云平台已经为各种规模的企业带来了一些变革性的运营实践。应用程序环境从内部部署转向公共云,从裸机转移到容器, <详情>
2019-07-23 12:32:21
云安全 云安全风险概览 企业上云后的安全风险概览
数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险? <详情>