根据调研机构麦肯锡公司最近的调查,目前的云计算采用率正在增加,但大多数组织仍处于初级阶段。只有40%的组织在公共云平台上的工作负载超过10%.80%的组织计划在未来三年内将其工作负载的10%以上转移到公共云平台,或计划将云计算渗透率提高一倍。
麦肯锡公司调查了大约100家企业,以确定企业如何采用云计算以及他们在此过程中面临的安全挑战。
安全过渡到公共云的10个步骤对许多企业来说,安全性是云计算迁移面临的大障碍。然而,调查报告发现,企业首席信息安全官却表示,云计算服务提供商(CSP)的安全资源比他们自己内部部署的数据中心要安全得多。如今,他们正在询问如何以更安全的方式采用云服务,因为这些公司现有的许多安全实践和架构在云端的效率可能较低。
根据麦肯锡的调查报告,企业遵循以下10个步骤可以安全地将其工作负载转移到公共云:1.决定将哪些工作负载迁移到公共云企业选择迁移的工作负载将决定需要哪些安全需求。例如,许多企业最初选择将面向客户的应用程序或分析工作负载移至云中,并将核心事务系统保留在本地部署的数据中心。
2.确定至少一个能够满足工作负载安全要求的云计算服务提供商(CSP)
企业可以为其不同的工作负载选择多个云提供商,但这些选择应与企业整体云策略的目标保持一致。
3.企业需要根据迁移的便捷性、安全状况、成本考虑因素、内部专业知识,为每个工作负载分配一个安全原型例如,企业可以选择重新构建应用程序,并针对面向客户的工作负载使用默认的云计算服务提供商(CSP)控制,并在重新构建数据访问时,取消和移动内部核心事务应用程序,而无需重新设计。
4.对于每个工作负载,确定为每个控制措施执行的安全级别企业应确定身份和访问管理(IAM)是否需要单因素、多因素或更高级的身份验证。
5.决定为每个工作负载的控制使用哪些解决方案企业可以确定每个云计算服务提供商(CSP)针对每个工作负载的功能,并决定是否使用现有的本地部署安全解决方案,云计算服务提供商(CSP)提供的解决方案,或第三方解决方案。
6.实施必要的控制措施,并将其与其他现有解决方案进行整合企业需要充分了解每个云计算服务提供商(CSP)的安全功能和安全执行流程。这也意味着云计算服务提供商(CSP)需要对其安全实践保持透明。
7. 开发视图查看每个控制措施是否可以标准化和自动化企业必须分析全套控制措施,并决定哪些控制措施可以在组织内实现标准化,哪些控制措施可以实现自动化。
8.优先实施第一套控制措施企业可以根据迁移的应用程序以及它选择应用的安全模型来选择优先级。
9.实施控制和治理模式对于实施标准化但不是自动化的控制措施,企业可以开发这个清单,并培训开发人员如何遵循这些清单。对于可以实施标准化和自动化的控制措施,企业可以使用安全的DevOps方法创建自动化例程来实施控制措施,并实现标准化。
10.利用第一轮执行期间获得的经验挑选下一组实施的控制措施从这些经验中学习可以帮助改进未来控制系统的实施过程。
调查报告称,“我们的经验和研究表明,公共云的网络安全可以通过正确的方法实现。通过开发以云计算为中心的网络安全模型,在各个安全领域设计强有力的控制措施,明确云计算服务提供商(CSP)的责任,以及使用安全的DevOps,企业可以将工作负载转移到公共云中,从而更好地保护他们最关键的信息资产。”