一些首席資訊安全官(ciso)被組織引導到雲計算中,他們決定必須利用分布式系統的強大和靈活性。而其他人是沒有由管理層準許或知識而隻注冊雲服務的員工推入的。
無論哪種方式,如果沒有雲安全技術戰略,那麼組織将會遇到麻煩,forrester公司研究副總裁兼首席安全分析師安德拉斯·西瑟說。
在當今世界,許多首席資訊安全官對于雲計算是持懷疑态度的,如果沒有其他任何銷售數字的雲服務的話,例如saas,paas,iaas,這證明恰恰相反。西瑟表示,首席資訊安全官越來越願意使用雲計算,這其中的原因有很多。
這些包括資料保護工具,例如某些服務提供的加密和密鑰管理,以及執行資料安全政策和資料跟蹤技術的雲通路安全代理/網關等産品。
但是技術本身不會使組織安全,其中包括加密到雲端的所有東西。除此之外,它是不切實際的。西瑟說,隻有敏感資料必須加密。
但重點是加密和使用安全網關本身不會使企業安全,沒有一個總體的雲安全戰略。
對于在哪裡開始有不同的意見。雲計算安全代理提供商skyhigh網絡公司産品和營銷副總裁kamalshah說,“在你甚至考慮一個政策做稽核,并了解雲計算中真正發生的事情之前,它可以是一樣廣泛的,了解正在使用多少雲服務,哪個部門使用,有多少資料在雲中,這可以用于制定企業的戰略,或者可以專門為雲計算應用程式了解使用者如何使用它,存儲什麼資料,如何在企業外部共享,哪些是共享資料,有多少是受信任的供應商與個人電子郵件位址等。”
除此之外,他說,如果組織是在醫療保健行業和零售行業,可能會衩雲計算中存在的監管所限制,或者如果允許的話,那麼如何保護它。
最後,管理層可能聲明某些敏感資料(例如知識産權)是完全被禁止的。然後找到一個提供者。雲計算管理服務提供商centurylink公司的it安全副總裁timkelleher說,首席資訊安全官應該質疑供應商以各種方式保護其環境,包括滿足特定行業的必要法規(如支付卡行業的資料安全标準),如何保護每個客戶的環境,并且提供額外的安全服務(例如可以啟動的虛拟防火牆),以及如何證明這些是用于審計目的。
開始這個研究的機構可能是雲安全聯盟,vmware公司是這個範圍廣泛的行業組織成員之一,将為成員提供認證。
forrester公司首席安全分析師西瑟推薦了一個用于建立一個雲安全戰略的五個階段流程,以實作三年的技術路線圖:
1.定義雲安全的業務理由
首席資訊安全官在采用雲計算之前,必須顯示為什麼需要在安全支出。量化效益,包括違約成本,合規成本與營運效率(例如,可能會節省成本,因為服務提供商會對應用程式進行更新檔,并考慮加密)。
2.确定利益相關者及其安全需求
業務部門希望保證雲安全不會妨礙他們的工作。西瑟說,單一登入和部署內建将有助于使用多個雲應用程式的組織更加容易采用。開發人員還可能需要幫助確定雲計算安全不會幹擾工作負載。此外,合規和審計人員将需要確定雲計算滿足他們的要求。
3.定義組織的雲安全治理流程
西瑟說,組織不能在沒有資料發現的情況下進行治理,也不知道流量到哪裡,以及标記資訊的能力。這将有助于定義需要加密的内容,可以通路雲計算的從業人員,内部的屬性,以及如何對非結構化資料進行分類。這是未授權的雲應用程式必須被發現的步驟。
4.評估組織目前的雲安全能力并确定差距
這裡是雲安全網關,标記化和加密對性能的影響,以及身份和通路管理的測量。
其他考慮包括其解決方案是否滿足法規要求,資料丢失防護和入侵檢測,使用者行為監控,雲工作負載(配置)檔案的完整性監控。
5.建立一個三年技術路線圖。
forrester集團稱這是一個管理人員的概述,描述如何計劃實施建議
本文作者:佚名
來源:51cto