求生指南,应对卷积云安全的三大挑衅

安全专家指出,随着多云环境的发展,出现了很多安全最佳实践,所有企业在制定自己的安全策略时都应该采取一些关键步骤。

图片 1

一旦出现数据泄露或者入侵警报,安全部门会立即进入高速运转状态,拼尽全力去阻止破坏,确定原因。

安全专家表示,随着多云环境的发展,已经推出了许多安全实践,并且组织在制定自己的安全策略时都应采取一些关键步骤。数据泄露或入侵者警报将使组织安全团队高度紧张,因为他们致力于阻止损害并确定原因。即使IT团队在其自己的基础设施上运行所有操作,其应对大量的任务也面临更多的挑战。随着组织将更多的工作负载迁移到云平台,然后采用多个云计算提供商的服务,这将变得越来越复杂。

即使IT部门在企业自己的基础设施上运行其所有操作,这项任务也是非常有挑战性的,而且,随着企业将更多的工作负载先迁移到云端,然后迁移到多个云供应商那里,这项任务变得越来越复杂。

云计算服务提供商RightScale公司发布的“2018年云计算状态报告”表明,997名科技专业人士中有77%的人认为云安全是一项挑战,29%的人表示这是一项重大挑战。安全专家表示,他们对此并不感到惊讶,特别是考虑到RightScale公司的调查受访者中81%的人采用的是多云战略。“多云环境增加了实施和管理安全控制的复杂性,”管理咨询机构Protiviti公司的技术咨询业务总经理兼全球负责人Ron Lefferts说。他和其他安全领导人表示,组织在将更多工作负载迁移到云时,可以将安全放在首位。

云服务供应商RightScale发布的《2018年云计算状况报告》显示,在997名受访的技术专家中,有77%的受访者认为云安全是挑战,29%认为这是一项重大挑战。

多云面临的安全挑战

安全专家表示,他们对此结果并不感到意外,特别是考虑到RightScale调查的81%的受访者使用的是多云策略。

但人们也应该认识到多云环境带来了额外的挑战,需要作为整体安全战略的一部分加以解决。

管理咨询公司Protiviti的技术咨询实践总经理兼全球负责人Ron Lefferts评论说:在多云环境下,怎样实现和管理安全控制变得更加复杂。

“在这个多云的世界里,一切都与协调有关,在合同、技术和人员方面都是如此。”国际安全咨询委员会(ISACA)董事会主席Christos K. Dimitriadis说,“现在,如果发生事故,企业需要确保所有实体都得到协调,共同努力确定违规行为进行分析,并制定改进计划,以使控制更加有效。”

他以及一些其他安全领导指出,随着更多的工作负载迁移到云端,企业把安全放在首位是比较明智的。

以下是安全专家称为多云环境复杂安全策略的三个因素。

多云安全挑战

(1) 复杂性增加

但他们也应该认识到,多云环境带来了更多的挑战,应将其看做整体安全策略的一部分加以解决。

在多个云计算提供商之间协调安全策略、流程和响应以及扩展的连接点网络增加了复杂性。非营利性贸易组织云安全联盟(CSA)的ERP安全工作组的研究员兼联合主席Juan Perez-Etchegoyen说,“组织可以在全球多个地方扩展其数据中心。然后必须遵守其所在国家或地区的法规,如今拥有庞大且数量不断增加的法规,这些法规正在推动组织需要实施的控制和机制,并且所有这些都增加了人们保护数据的复杂性。”

专注于IT治理的专业协会ISACA的董事、前董事会主席Christos K. Dimitriadis认为,在这个多云的环境中,一切都关乎协调在合同、技术和人员方面都是如此。如果发生事故,需要确保所有实体都协调一致,确保他们协同工作,目的是找到漏洞并进行分析,制定改进计划,以便更有效地进行控制。

(2) 缺乏可见性

本文介绍安全专家指出的多云环境中复杂安全策略的三个因素。

IT组织通常不了解员工使用的所有云计算服务,员工可以轻松地绕过企业IT部门自行购买软件即服务产品或其他基于云计算的服务。“因此,人们正试图保护数据、服务、业务,而不清楚地了解数据的位置。”Dimitriadis说。

日益复杂。在多个云供应商以及扩展了大量连接点的网络之间协调安全策略、流程和响应,这些都会增加复杂性。

(3) 新的威胁

非营利行业组织云安全联盟的ERP安全工作组联席主席Juan Perez-Etchegoyen研究员解释说:如果你把数据中心扩展到了世界上的多个地方。那就必须遵守数据中心所在国家和地区的法规。我们要面对如此之多,并且数量还在不断增长的法规,这些法规促使企业去实施很多控制功能和机制,所有这些都增加了我们保护数据的复杂性。

安全风险管理公司的创始人兼首席执行官Jeff Spivey说,企业安全领导者也应该认识到,多云环境的出现可能会产生新的威胁。“人们正在创造一些尚不了解所有漏洞的东西,但可能会发现这些漏洞。”他说。

缺乏可见性。IT部门通常并不知道企业其他部门使用的所有云服务,这些部门可以轻松地绕过企业IT去自行采购软件即服务产品或者其他基于云的服务。

构建多云策略

Dimitriadis说:因此,我们不得不努力保护数据,努力保护服务,努力保护业务,但却对数据在哪里没有清晰的认识。

安全专家表示,随着多云环境的发展,出现了许多安全最佳实践,并且组织在制定自己的安全策略时都应采取一些关键步骤。

新威胁。咨询公司安全风险管理有限公司的创始人兼首席执行官Jeff Spivey说,企业安全领导还应该认识到,多云环境的出现可能会带来新的威胁。

首先是识别数据所在的所有云平台,并确保组织拥有一个强大的数据治理计划,“组织需要全面了解数据,以及与信息相关的IT服务和资产。”Dimitriadissays说。

他说:我们正在创造一些我们还不知道其中所有漏洞的东西,我们会在前进过程中发现这些漏洞。

Dimitriadis除了担任ISACA董事会主席之外,还是游戏解决方案供应商和运营商INTRALOT 集团的信息安全、信息合规和知识产权保护负责人,他们承认这些安全建议不仅适用于多云环境。然而,他表示,当数据迁移到云平台,并在不同的云平台上传播时,采取这些基础措施变得更加重要。

构建多云策略

统计数据表明了为什么拥有强大的安全基础如此重要的原因:毕马威公司和Oracle公司发布的2018年云计算威胁报告对450名网络安全和IT专业人员进行了调查。报告表明90%的企业将其基于云计算的数据的一半归类为敏感数据。

安全专家指出,随着多云环境的发展,出现了很多安全最佳实践,所有企业在制定自己的安全策略时都应该采取一些关键步骤。

该报告还发现,82%的受访者担心组织的员工不遵守云计算安全策略,38%的受访者担心检测和响应云计算安全事件。国际安全咨询委员会(ISACA)领导者,赛门铁克公司首席技术官兼企业策略传播者Ramsés Gallego表示,为了应对这种情况,企业应该对信息进行分类,以创建安全的平流层,这一措施认识到并非所有数据都需要相同级别的信任和验证才能访问或锁定。

Dimitriadis指出,首先要知道数据所在的所有云,并确保企业有健壮的数据治理程序,该程序能够全面了解数据,知道哪些IT服务和资产与信息相关。

安全专家还建议企业实施其他传统安全措施,作为保护多云环境的必要基础层。除了数据分类策略外,Gallego还建议使用加密和身份和访问管理(IAM)解决方案,例如双因素身份验证。

不过,他说,当数据迁移到云中并在不同的云平台之间传送时,采取这些基本措施就变得更加关键了。

毕马威公司新兴技术风险服务实践的合伙人Sailesh Gadia说,企业随后需要标准化其政策和架构,以确保一致的应用和自动化,以尽可能帮助限制偏离这些安全标准。

统计数据说明了为什么拥有强大的安全基础设施如此重要的原因:毕马威和甲骨文的《2018年云计算威胁报告》调查了450名网络安全和IT专业人士,报告称90%的企业将一半基于云的数据列为敏感数据。

“企业投入的努力水平应取决于数据的风险和敏感性。因此,如果企业使用云平台进行非机密数据存储/处理,那么就不需要采用更高级别的安全方法。”Gadia说。

报告还发现,82%的受访者担心员工不遵守云安全政策,38%的受访者存在云安全事件检测和响应问题。

他还指出,标准化和自动化可以提高效率,这不仅可以降低总成本,还可以让安全领导者将更多资源用于更高价值的任务。

ISACA的部门领导、赛门铁克首席技术官办公室的策略师兼拓展专员Ramss Gallego说,为应对这类情况,企业应该对信息进行分类,建立安全层。之所以制定此措施,是因为认识到并非所有数据都需要相同级别的可信和验证才能进行访问或者锁定。

专家表示,这些基本要素应该是更广泛、更有凝聚力的战略的一部分,并指出企业在采用管理安全工作的框架时表现良好。其共同框架包括国家标准与技术研究所的NIST;ISACA信息相关技术控制目标(COBIT);ISO 27000系列;云安全联盟的云控制矩阵(CCM)。

安全专家还建议企业实施其他常规安全措施,作为保护多云环境的必要基础层。除了数据分类策略之外,Gallego还建议使用加密、身份和访问管理解决方案,例如,双重身份验证。

设定云计算供应商的期望

毕马威新兴技术风险服务业务的合伙人Sailesh Gadia负责公司的云风险咨询业务,他指出,企业随后需要对其政策和架构进行标准化处理,以确保应用和自动化功能尽可能一致,以帮助不会偏离这些安全标准。

Dimitriadis说,所选择的框架不仅应该指导企业,还应该指导云计算供应商。“我们需要做的是将这些纳入与云计算提供商的协议中。然后,企业能够围绕其试图保护的数据和服务构建控制措施。”他解释道。

Gadia解释说:企业需要多大的投入取决于数据的风险和敏感性。因此,如果你使用云进行非机密的数据存储/处理,那么就不需要像处理机密信息的云那样的安全方法。

安全专家表示,与云计算提供商的谈判以及随后的服务协议应解决提供的数据隔离类型、数据存储以及供应商方可以访问的数据,以及供应商如果出现问题应如何应对,其中包括他们将如何与为企业提供服务的其他云计算供应商合作和协调。

他还指出,标准化和自动化带来了效率,这不仅降低了总成本,而且还使得安全领导们能够把更多的资源用于价值更高的任务中。

Jeff Spivey表示,组织必须清楚地了解从每个云计算提供商那里获得的服务,以及他们是否具备管理和管理服务的能力。Spivey补充道,“组织要具体说明期望是什么以及如何衡量它们,因此必须清楚地了解从每个提供商处获得的服务,以及他们是否具备管理和服务的能力。”

专家指出,这些基本要素应该成为更广泛、联系更紧密的策略的一部分,当企业采用框架来管理安全工作时,会做得很好。通用框架包括美国国家标准和技术研究所的NIST、ISACA的信息相关技术控制目标、ISO 27000系列,以及云安全联盟的云控制矩阵。

但Gallego表示,不要提供给云计算提供商过多的安全权限。云计算供应商通常通过强调他们代表企业客户所做的工作来提供他们的服务。虽然这项工作确实包括安全服务,但Gallego指出,“这还不够,因为云计算供应商从事云计算业务,而不是从事安全业务。”

设定供应商的期望

因此,他表示,企业安全领导者必须将他们的安全计划制定到一个精细的层面——“谁有权访问何时以及如何访问”,然后将其提供给每个云计算提供商以协助执行这些计划。他补充说:“云计算提供商需要赢得用户的信任。”

Dimitriadis说,所选择的框架不仅能指导企业,还应该指导供应商。

采用新兴技术

他解释说,我们需要做的是把这些内容纳入与云供应商的协议中。然后就能够围绕你要保护的数据和服务建立控制功能。

根据安全专家的说法,政策、治理甚至传统的安全措施(如双因素身份验证)虽然都是必不可少的,但还不足以应对跨多个云平台分散工作负载所带来的复杂性。企业必须采用旨在使企业安全团队更好地管理和实施其多云安全策略的新兴技术。

安全专家指出,与云供应商的谈判以及随后的服务协议应该解决要提供的数据隔离类型、数据存储在哪里,以及供应商一方谁可以访问数据等问题,如果出现问题,供应商应该怎样应对包括他们将怎样与其他云供应商合作和协调,为企业提供服务。

Gallego和其他人指出了云计算访问安全代理(CASB)等解决方案,企业在其自身与云计算服务提供商之间提供本地软件,以整合和实施安全措施,如身份验证、凭据映射、设备配置、加密和恶意软件检测。

Spivey认为:要明确期望是什么,以及怎样衡量这些期望。必须清楚地了解你能从每家供应商那里得到什么服务,以及他们是否具有管理和控制服务的功能和能力。

他们还列出了人工智能技术,这些技术可以从中学习,然后分析网络流量,以更加准确地检测需要工作人员关注的异常,从而限制资源必须调查的良性事件的数量,并将这些资源重定向到最有可能出现问题的事件。他们引用了继续使用自动化作为优化多云环境中安全性的关键技术。Spivey指出:“那些取得成功的组织就是那些能够自动完成大部分工作并专注于治理和管理的组织。”

但是不要把太多的安全权限让给云供应商,Gallego说。

此外,Spivey和其他人表示,虽然用于保护数据跨越多个云平台的确切技术(如CASB)可能是多云环境所独有的,但他们强调总体安全原则遵循的是解决人员、过程和技术问题的长期方法制定最佳策略。“人们正在谈论不同的技术和不同的场景,并更多地关注数据,但这与组织必须实现的概念相同。”Onapsis公司首席技术官的Perez-Etchegoyen说,“对于多云环境,技术方法虽然有所不同,但总体战略将是相同的。”

云供应商通常通过强调他们代表企业客户所做的工作来销售他们的服务,虽然这些工作的确包括安全服务,但Gallego指出,这还不够。他们从事的是云业务,而不是安全业务。

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 企业如何构建策略 应对多云安全的三大挑战

因此,他说,企业安全领导们必须把他们的安全计划制定到很细的层面上谁有权访问哪些内容,以及什么时候、怎样访问,然后将其交给每家云供应商以协助执行这些计划。

他补充说:云供应商需要赢得我们的信任。

采用新兴技术

然而,据安全专家的说法,政策、治理甚至传统的安全措施虽然都是必要的,但还不足以处理多个云之间分散的工作负载所带来的复杂性。

企业必须采用旨在使企业安全部门能够更好地管理和实施其多云安全策略的新兴技术。

Gallego和其他专家介绍了一些解决方案,例如,云访问安全代理,企业在自己和云服务供应商之间放置的本地软件,目的是巩固和加强身份验证、凭证映射、设备配置分析、加密和恶意软件检测等安全措施。

他们还列出了人工智能技术,该技术学习并分析网络流量,从而更准确地检测应引起人类注意的异常事件,减少了要耗费资源进行调查的良性事件的数量,把资源重新应用于最有可能出现问题的地方。

他们指出,应继续使用自动化作为优化多云环境安全的关键技术。正如Spivey所指出的:成功的企业是那些能够自动完成大部分工作而专注于治理和管理的企业。

此外,Spivey和其他专家还指出,虽然用于在多云之间保护数据的专业技术可能是多云环境所特有的,但必须强调总体安全原则应遵循长期以来的方法,即针对人、流程和技术来制定最佳策略。

Perez-Etchegoyen也是Onapsis公司的首席技术官,他说:我们讨论了不同的技术,不同的场景,更关注数据,但要实现的是相同的概念。对于多云环境,技术方法会有所不同,但总体策略是一样的。

作者:Mary K. Pratt是马萨诸塞州的一名自由撰稿人。

编译:Charles

原文网址:-security/3-top-multi-cloud-security-challenges-and-how-to-build-a-strategy.html

责任编辑:周星如

本文由澳门威斯尼人平台登录发布于 操作系统,转载请注明出处:求生指南,应对卷积云安全的三大挑衅

相关阅读