基于云的IT系统几乎在每个现代行业中都能发挥重要作用。公司,非营利组织,政府甚至教育机构使用云来扩大市场范围,分析绩效,管理人力资源并提供改进的服务。当然,有效的云安全治理对于任何想要获得分布式IT优势的实体都至关重要。
与每个IT领域一样,云计算也存在独特的安全问题。尽管长期以来一直认为在云中保持数据安全的想法是不可能的矛盾,但广泛的行业实践揭示了许多提供有效云安全性的技术。正如亚马逊AWS等商业云提供商通过维持FedRAMP合规性所证明的那样,有效的云安全性在现实世界中是可实现的和实用的。
$config[code] not found制定有影响力的安全路线图
没有可靠的计划,任何IT安全项目都无法运行。涉及云的实践必须根据他们寻求保护的域和实现而有所不同。
例如,假设当地政府机构建立了自带设备或BYOD政策。它可能必须实施不同的监督控制,而不是仅仅禁止其员工使用他们的个人智能手机,笔记本电脑和平板电脑访问组织网络。同样,想要通过将其存储在云中使授权用户更容易访问其数据的公司可能需要采取不同的步骤来监控访问,而不是维护其自己的数据库和物理服务器。
这并不是说,正如一些人所建议的那样,成功保持云安全的可能性比维护私有LAN上的安全性要小。经验表明,不同云安全措施的有效性取决于它们对某些经过验证的方法的依从性。对于使用政府数据和资产的云产品和服务,这些最佳实践被定义为联邦风险和授权管理计划(FedRAMP)的一部分。
什么是联邦风险和授权管理计划?
联邦风险和授权管理计划是联邦机构用于判断云计算服务和产品功效的官方流程。其核心标准由美国国家标准与技术研究院(NIST)在各种特殊出版物或SP,以及联邦信息处理标准(FIPS)文件中定义。这些标准专注于有效的基于云的保护。
该计划为许多常见的云安全任务提供指导。其中包括妥善处理事件,使用取证技术调查违规行为,规划突发事件以维护资源可用性和管理风险。该计划还包括第三方认证组织(即3PAO)的认证协议,这些认证协议根据具体情况评估云实施。保持3PAO认证的合规性是IT集成商或提供商准备在云中保持信息安全的明确信号。
有效的安全实践
那么公司如何通过商业云提供商保证数据安全?虽然有无数重要技术,但有一些值得一提:
提供商验证
强大的工作关系建立在信任的基础上,但诚信必须源于某个地方。无论云提供商如何成熟,用户都必须验证其合规性和治理实践。
政府IT安全标准通常包含审计和评分策略。检查您的云提供商过去的表现是发现他们是否值得您未来业务的好方法。持有.gov和.mil电子邮件地址的个人也可以访问与不同提供商关联的FedRAMP安全软件包,以证实其合规声明。
承担主动角色
尽管亚马逊AWS和Microsoft Azure等服务公司坚持遵守既定标准,但全面的云安全需要多方参与。根据您购买的云服务包,您可能必须指示您的提供商实施某些关键功能,或建议他们需要遵循特定的安全程序。
例如,如果您是医疗设备制造商,“健康保险流通与责任法案”(HIPAA)等法律可能会要求您采取额外措施来保护消费者健康数据。这些要求通常独立于您的提供商必须采取的措施,以保持其联邦风险和授权管理计划的认证。
至少,您将完全负责维护涵盖组织与云系统交互的安全实践。例如,您需要为您的员工和客户制定安全的密码策略。即使是最有效的云安全实施,也可能会损害您的最终目标,因此现在承担责任。
您对云服务的处理最终会影响其安全功能的功效。为方便起见,您的员工可能会参与影子IT实践,例如通过Skype或Gmail共享文档,但这些看似无害的行为可能会妨碍您精心设计的云保护计划。除了培训员工如何正确使用授权服务之外,还需要教他们如何避免涉及非官方数据流的陷阱。
了解您的Cloud Service控制风险的条款
在云上托管您的数据并不一定会为您提供与自存储相关的相同限额。某些提供商保留搜索您内容的权利,以便他们可以投放广告或分析您对其产品的使用情况。其他人可能需要在提供技术支持的过程中访问您的信息。
在某些情况下,数据暴露不是一个大问题。但是,当您处理个人身份识别的消费者信息或支付数据时,很容易看出第三方访问如何引发灾难。
完全阻止对远程系统或数据库的所有访问可能是不可能的。尽管如此,与发布审计记录和系统访问日志的提供商合作,可以让您了解您的数据是否得到安全维护。这些知识对于帮助实体减轻确实发生的任何漏洞的负面影响大有帮助。
永远不要假设安全是一次性事件
大多数聪明人会定期更改个人密码。难道你不应该像基于云的IT安全一样勤奋吗?
无论您的提供商的合规策略决定他们进行自我审核的频率如何,您都需要为常规评估定义或采用您自己的一套标准。如果您还受到合规性要求的约束,那么即使您的云提供商未能始终如一地执行此操作,您也必须制定严格的方案以确保您能够履行义务。
创建有效的云安全实施
有效的云安全不是一个永远超越地平线的神秘城市。作为一个成熟的流程,无论符合哪种标准,它都能满足大多数IT服务用户和提供商的需求。
通过根据您的目的调整本文中概述的实践,可以实现和维护安全标准,确保您的数据安全,而不会大幅增加运营开销。
图片:SpinSys
1评论▼