如何獲得對雲計算的正確控制
如何獲得對雲計算的正確控制
人們對於雲計算並不總是普遍信任。曾經有一段時間,企業的安全和風險管理領導者為其關鍵數據和基礎設施委托給第三方雲計算提供商而感到擔心。這是可以理解的,源於網絡管理的歷史,企業IT團隊非常熟悉管理構成其IT基礎設施的資源,從他們的數據中心建築,到電力和冷卻供應,再到服務器,所有這些都構成從存儲到網絡的基礎設施。
但是,當企業將數據和責任委托給雲計算提供商時,不可能再達到這種熟悉程度,這可能會阻止組織獲得最佳的雲計算效率和安全性。顯然,人們需要改變思維方式。
調研機構Gartner公司做出了這樣的比喻:與自己駕駛汽車相比,企業將業務移動到雲端有些像乘坐飛機,而在旅程中,飛機由機組人員進行控制,這可能會引起人們的焦慮。然而,這種焦慮是不合理的,因為就像開車之前會檢查汽車上的油表和輪胎一樣,在每次飛行前都會嚴格檢查飛機的狀況。總而言之,這意味著將業務遷移到雲端,企業需要對如何控制數據具有新的展望,並更好地了解雲計算服務提供商為確保安全性所做的工作,以便放棄其底層平臺的所有權。 在當今的背景下,客戶仍然擁有他們的數據,但可以與雲計算提供商分享管理權。“控制”的概念已從基於物理位置的所有權轉變為對流程的控制。因此,企業信息安全和風險管理領導者需要采用間接控制的新方法來提高效率和安全性,最重要的是讓人高枕無憂。考慮到這一點,人們將會嘗試定義如何對雲計算進行正確的控制。
設計正確的身份和訪問管理策略
安全團隊和開發人員可以發現難以掌握基於雲計算的控制概念。但實際上,企業放棄其廣域網中光纖和銅纜的所有權也面臨類似的情況:電信運營商擁有物理基礎設施,但數據仍由客戶擁有和控制。這一切都與描述安全責任有關。一旦定義了切換點,企業就會知道除此之外,其雲計算服務商(CSP)需要負責數據安全。
企業的責任在於設計身份訪問管理策略,該策略不僅涵蓋雲平臺,還涵蓋雲平臺向外界呈現的應用程序和服務。訪問權應基於以“最低權限”為基礎授予用戶權限,而不是給予所有人更多的權限。這可以提高審計功能,並降低未經授權更改平臺的風險。
最重要的是,企業應該與雲計算提供商合作,以確保加密更高程度的邏輯隔離。靜態和傳輸中的數據加密通常被視為在公共雲平臺上保護和隔離數據的另一種方式。雖然攻擊者不可能闖入公共雲數據中心,竊取包含數據的物理磁盤驅動器,但強烈建議考慮使用靜態數據加密。
加強監督並重新調整審計目標
隨著監管環境越來越復雜,越來越多地要求使用雲計算的組織展示其強大的治理。企業已將某些控制權委托給其雲計算服務商這一事實,意味著企業必須證明治理程序已經到位,並且正在遵循。
為此,企業應該尋求與提供安全性和合規性的監控和報告的雲計算服務提供商合作。並且,具有必要的方法和合規性證明,可確保企業的雲計算工作負載能夠滿足審核時間的必要要求。
比較企業的安全要求,並根據SLA衡量雲計算服務提供商
另一個需要密切關註的是合同條款,它約束了雲計算服務提供商在保護客戶數據和隱私方面的作用。與超大規模雲計算提供商簽訂的合同往往絕大多數都會保護這些雲計算服務提供商,但是可以與一些雲計算服務提供商合作,就更有利於客戶的條款達成協議。
最終的影響和建議是圍繞雲計算服務提供商合同和服務等級協議(SLA)。許多雲計算服務提供商,特別是超大規模的提供商,在其服務等級協議(SLA)上可能非常嚴格,並且在被要求更改它們時可能非常不靈活。了解企業的雲計算服務提供商在合規性不同方面的立場非常重要。雲計算服務提供商能夠分享他們的認證和證明嗎?他們對可用性等主題的服務等級協議(SLA)有多少靈活性?如果根據服務等級協議(SLA)提供服務,他們是否會為此支付費用?在開始使用雲計算服務提供商的服務之前,這些都是企業需要獲得答案的問題。在此提出的另一條建議是將外部托管數據的安全要求與風險偏好背景下的雲計算服務提供商功能進行比較。
總而言之,隨著安全風險和合規性法規的不斷增加,以及雲計算服務的采用,理解雲計算安全方面的共同責任非常重要。
在雲中放棄和維護控制之間取得適當的平衡,將使企業能夠安全地利用雲計算服務的諸多優勢。控制雲平臺並不意味著企業應該管理它的各個方面,但要確保知道負責什麽,而不是獲得全面的控制。
如何獲得對雲計算的正確控制