云計算

想要安全上云，CEO們需要了解的可不止一點點

2018-01-10 來源：評論：0

摘要：　據(jù)Gartner調(diào)研，有76%的企業(yè)因為數(shù)據(jù)安全性不敢上云。而LogicMonitor公司最近發(fā)布的報告也顯示，66%的IT從業(yè)人員認為安全性是其應用企業(yè)云戰(zhàn)略時最關注的問題。

　　據(jù)Gartner調(diào)研，有76%的企業(yè)因為數(shù)據(jù)安全性不敢上云。而LogicMonitor公司最近發(fā)布的報告也顯示，66%的IT從業(yè)人員認為安全性是其應用企業(yè)云戰(zhàn)略時最關注的問題。誠然，沒有多少企業(yè)CEO身兼網(wǎng)絡安全專家的雙重職責，但在當今數(shù)字化轉(zhuǎn)型的時代，網(wǎng)絡風險管理又是每個領導者工作的重要組成部分。而因為數(shù)據(jù)泄露問題上榜新聞頭條的CEOs 就是網(wǎng)絡攻擊活生生的例子。

　　因此，當企業(yè)準備上云時，管理安全風險成了CEO的首要考慮。你可能對于一個具有多因素身份驗證框架的防火墻不太了解，沒關系你可以向供應商隨意詢問，這將有助于團隊在進行業(yè)務部署時優(yōu)先考慮安全問題，當然也不會忽略其他問題。如果對此你還是比較茫然，下面這些問題或許可以作為企業(yè)上云時的參考：

　　1.企業(yè)IT文化對云安全的重視程度

　　云計算極大地提高了企業(yè)業(yè)務效率，減少了資本支出。這些都是其顯而易見的優(yōu)勢，但它們也可能產(chǎn)生意想不到的后果。如果企業(yè)打算上云卻不去仔細考慮自身IT組織的文化，可能會招致一些不必要的災難。

　　因為快速交付云服務的壓力甚至會迫使保守的云計算專家采取安全捷徑。他們會考慮采用“DevSecOps”組織模型，將安全性與DevOps人員放在同等的基礎，相同的時間表上。這就需要企業(yè)認真制定激勵措施，確保安全性與其他優(yōu)先事項同步。比如準備好將基礎設施資金轉(zhuǎn)移到自動化的安全和ops工具上。

　　2.影響企業(yè)上云的監(jiān)管性問題

　　如果企業(yè)業(yè)務符合合規(guī)性要求，那么相信企業(yè)上云會很順利。但對其他人來說，會議授權則是其上云工作的一部分。“云”和“合規(guī)性”并不是相互排斥的，但是也有一些事情需要考慮。

　　云解決方案在體系結(jié)構上不同于大多數(shù)規(guī)則已被設定好的解決方案。用于檢查合規(guī)性框架的主流工具，比如安全事件和事件管理(SIEM)平臺，在云計算調(diào)用服務器及無節(jié)制地填塞日志文件時會變得更加昂貴。

　　事實上，一些臭名昭著的違規(guī)事件的受害者有合規(guī)項目，但缺乏運營安全性。如果你不再把合規(guī)性作為一種單獨的行為，那么在這方面花費的錢就可以用來提高運行安全性上。使用更自動化的解決方案來代替合規(guī)性產(chǎn)品，從而利用合規(guī)性結(jié)果來提高企業(yè)正在進行的安全可見性問題上。當然，確保技術合作伙伴為云環(huán)境提供公平的價格也很重要。

　　3.企業(yè)對于云安全事件的應對措施

　　云計算的到來，使得以防火墻來完善安全已經(jīng)行不通了。云解決方案將受到攻擊，而且攻擊者還可能會發(fā)現(xiàn)可利用的漏洞。當最糟糕的情況發(fā)生時，企業(yè)最好是在開記者招待會之前想清楚兩個關鍵問題：發(fā)生了什么，損失有多大?

　　不過好消息是云可以提供足夠多的信息來及早、準確地發(fā)現(xiàn)和分析安全事件，但在這里企業(yè)需要變現(xiàn)兩件事：業(yè)務實踐練習以及選擇正確的工具。通過常規(guī)的選擇性練習來發(fā)現(xiàn)潛在的弱點，增強團隊的作戰(zhàn)斗法技能。

　　幫助團隊獲取上云前的準備工具，這些工具可在網(wǎng)絡安全隱患早期自動化調(diào)查和發(fā)現(xiàn)問題。但記住要明智地選擇這些工具——過多的警報會導致“警報疲勞”，并使團隊對合法的威脅信號麻木。

　　4.是否理解云的共享安全責任模型?

　　作為企業(yè)CEO，你不需要成為云計算專家來管理云安全風險。但是，云的共享安全模型(定義了云供應商的責任范圍，而企業(yè)的責任范圍)可能是企業(yè)需要解決的一個問題。這是云安全挑戰(zhàn)的關鍵，它將影響企業(yè)成功路上的投資和計劃。

　　這里，給你一些建議：確保團隊理解共享安全性的概念，并在盡可能地利用供應商提供的服務。他們提供了一系列安全工具，包括防火墻、身份驗證和訪問管理系統(tǒng)、IPS/ /IDS等等，這些工具與本地監(jiān)控服務集成得很好。因此，最好不要使用第三方的替代方案來增加業(yè)務混亂性——即使你的團隊對他們更熟悉。當你需要的一些功能供應商無法滿足時，可以查找與該供應商的服務集成的產(chǎn)品。

　　5.企業(yè)的云解決方案如何與第三方展開合作?

　　科技發(fā)展到今天，IT的時代精神都是圍繞開源的。當然，“開源”也有明確的商業(yè)利益：將非關鍵服務外包給第三方專家變得更容易，而且你可以很容易地將自己辛苦建立起來的在線資產(chǎn)貨幣化。與此同時，開源系統(tǒng)也存在風險，一旦上云，企業(yè)的數(shù)據(jù)保存就沒有期限限制，即便中途采取任何措施，也不會削減這個時間的。

　　另一方面，第三方已經(jīng)被牽連進了很多起違規(guī)事件中。所以當允許第三方訪問你的數(shù)據(jù)以提供外包客戶服務或數(shù)據(jù)分析時，也會發(fā)生一些風險。作為CEO，不管你知道與否，幾乎可以肯定地說，企業(yè)開發(fā)人員依靠第三方解決方案來避免重新進行部署，并更快地解決問題。

　　提高可見性和更好的態(tài)勢感知力是管理第三方風險的最佳方法。傳統(tǒng)上，IT專業(yè)人員只能通過使用詳細的交互性日志文件來查看完整的圖片。而現(xiàn)在自動化的云工具可以自動提供這張圖片，因此分析師可以專注于修復和過程改進。

　　安全上云未來可期

　　現(xiàn)今，網(wǎng)絡安全成為大多數(shù)公司的首要關注話題。有效的上云風險管理需要領導階層和相關IT項目及資金的共同支持。通過有效的法規(guī)制定，網(wǎng)絡風險可以得到很好的管理。

　　當然，企業(yè)上云的回報也是很豐厚的：云可以更快地交付業(yè)務創(chuàng)新，減少資本支出，并幫助你對市場變化做出更積極的反應。有了正確的IT文化，詳細的計劃，以及對特定云安全工具的投資，企業(yè)就可以期待一個安全的上云之路。

相關熱詞搜索：想要安全上云，CEO們需要了解的可不止一點點

上一篇：英特爾交付首個49量子比特計算測試芯片 下一篇：華為手機未能與AT&T達成合作余承東稱是美國運營商的損失