人们对于云计算并不总是普遍信任。
曾经有一段时间,企业的安全和风险管理领导者为其关键数据和基础设施委托给第三方云计算提供商而感到担心。
这是可以理解的,源于网络管理的历史,企业IT团队非常熟悉管理构成其IT基础设施的资源,从他们的数据中心建筑,到电力和冷却供应,再到服务器,所有这些都构成从存储到网络的基础设施。
但是,当企业将数据和责任委托给云计算提供商时,不可能再达到这种熟悉程度,这可能会阻止组织获得最佳的云计算效率和安全性。
显然,人们需要改变思维方式。
调研机构Gartner公司做出了这样的比喻:与自己驾驶汽车相比,企业将业务移动到云端有些像乘坐飞机,而在旅程中,飞机由机组人员进行控制,这可能会引起人们的焦虑。
然而,这种焦虑是不合理的,因为就像开车之前会检查汽车上的油表和轮胎一样,在每次飞行前都会严格检查飞机的状况。
总而言之,这意味着将业务迁移到云端,企业需要对如何控制数据具有新的展望,并更好地了解云计算服务提供商为确保安全性所做的工作,以便放弃其底层平台的所有权。
在当今的背景下,客户仍然拥有他们的数据,但可以与云计算提供商分享管理权。
“控制”的概念已从基于物理位置的所有权转变为对流程的控制。
因此,企业信息安全和风险管理领导者需要采用间接控制的新方法来提高效率和安全性,最重要的是让人高枕无忧。
考虑到这一点,人们将会尝试定义如何对云计算进行正确的控制。
设计正确的身份和访问管理策略
安全团队和开发人员可以发现难以掌握基于云计算的控制概念。
但实际上,企业放弃其广域网中光纤和铜缆的所有权也面临类似的情况:电信运营商拥有物理基础设施,但数据仍由客户拥有和控制。这一切都与描述安全责任有关。一旦定义了切换点,企业就会知道除此之外,其云计算服务商(CSP)需要负责数据安全。
企业的责任在于设计身份访问管理策略,该策略不仅涵盖云平台,还涵盖云平台向外界呈现的应用程序和服务。
访问权应基于以“最低权限”为基础授予用户权限,而不是给予所有人更多的权限。这可以提高审计功能,并降低未经授权更改平台的风险。
最重要的是,企业应该与云计算提供商合作,以确保加密更高程度的逻辑隔离。
静态和传输中的数据加密通常被视为在公共云平台上保护和隔离数据的另一种方式。
虽然攻击者不可能闯入公共云数据中心,窃取包含数据的物理磁盘驱动器,但强烈建议考虑使用静态数据加密。
加强监督并重新调整审计目标
随着监管环境越来越复杂,越来越多地要求使用云计算的组织展示其强大的治理。企业已将某些控制权委托给其云计算服务商这一事实,意味着企业必须证明治理程序已经到位,并且正在遵循。
为此,企业应该寻求与提供安全性和合规性的监控和报告的云计算服务提供商合作。并且,具有必要的方法和合规性证明,可确保企业的云计算工作负载能够满足审核时间的必要要求。
总而言之,随着安全风险和合规性法规的不断增加,以及云计算服务的采用,理解云计算安全方面的共同责任非常重要。
在云中放弃和维护控制之间取得适当的平衡,将使企业能够安全地利用云计算服务的诸多优势。
控制云平台并不意味着企业应该管理它的各个方面,但要确保知道负责什么,而不是获得全面的控制。
