即使在云采用成为主流之前,IT安全需求与业务战略和最终用户偏好冲突并不罕见。几乎所有具备安全背景的行业人士都发现自己处于尴尬的境地不得不建议反对采用具有巨大吸引力和价值的技术,因为它会带来太多的风险。
行业专家表示,所接触到的IT领导者很少认为在实现业务目标和容纳(合理的)用户偏好和请求时成为一个障碍。但是,他们也了解潜在的安全或不合规问题的成本。不幸的是,许多IT安全团队也遭受到被超越的挫折,无论是选择接受风险的高管,还是用户采用不受管制的未经授权的应用程序和平台,都会对其组织带来风险。
在当今的云计算世界中,最终用户可以根据喜好选择更多的供应商。很多企业出于商业原因被迫转移到云端或被迫将数据移动到特定的云应用程序,但是发现对云端安全控制还不够。
幸运的是,在过去几年中已经出现了解决方案,允许IT和安全管理者采用业务驱动的请求,同时为IT团队提供降低风险所需的安全控制。云计算供应商花费大量的时间和资源来保护他们的基础架构和应用程序,但他们不能确保客户的云端使用情况。
数据泄露的法律责任将由使用者承担。只有使用者才能保证在组织内的兼容性使用,因此了解流入云环境的数据类型很重要,并与各个利益相关者合作,实施控制措施,将风险降至可接受的水平,并符合当地或行业的法规。
提供商像往常一样,可以将所有内容锁定在一起,并允许用户只在云应用程序中使用最基本的功能。然而,这往往导致用户体验不佳,并导致未经授权的云采用和影子IT。
虽然云计算环境与内部部署的数据中心环境有着很大的不同,但许多安全原则仍然有效。作为基础,企业应将这些原则扩展到云计算中。三个有用的原则是:
(1)特权管理
特权管理多年来一直用于企业内部的方法来保护敏感数据,并通过限制访问来指导合规的用户行为。在一些云服务(如AWS)中,管理员可以快速积累足够的权力,在无意中或通过凭证可能导致严重的停机或安全问题。因此确保云计算中的适当特权管理有助于降低风险。
除了传统的特权管理之外,云计算也为云服务提供商带来了独特的挑战。由于他们可以访问用户的云实例,因此云计算服务提供商也能够访问客户的数据来考虑云计算风险评估的重要性。如果用户担心内部威胁或直接向云提供商提供的政府数据请求,则建议用户评估从云计算提供商隔离数据的选项。
(2)数据丢失保护
与利益相关者交流,并确定流入云端的数据类型非常重要的另一个原因是确定组织需要执行哪些数据丢失保护(DLP)策略。要查找的通用数据特征包括个人身份信息,信用卡号码,甚至源代码。如果组织正在使用内部部署DLP,那么现在是查看和更新组织已经定义的模式和数据分类定义的好时机,以确保它们在将其扩展到云计算时是有效的和相关的。
同样重要的是要让最终用户知道期待什么。如果组织决定执行阻止交易或要求对敏感交易进行额外身份验证的政策,那么请务必将其纳入自己内部培训材料,并提供给用户内部文档。它不仅可以让用户了解什么,还可以用于内部策略和用户的安全基础知识。
(3)审计
任何数据安全策略的一个重要方面是保持对数据的可见性,以确保合规使用。企业需要确保在将数据和基础架构迁移到云端时不会失去此功能。如果用户使用安全信息事件管理(SIEM)工具,那么需要花费一定的时间来决定应该将哪些云计算应用程序和交易融入到报告中。
通过将上述控件扩展到云计算环境中,用户可以建立一个保护业务支持技术的良好安全实践的共同点。通过正确的工具和策略,可以确保相关的业务需求,同时保持适当的安全和治理控制。
本文转自d1net(转载)