企业的多云安全清单:首席信息安全官需要记住的8件事

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介:
云计算是一个固有动态和快速变化的空间。随着目前越来越多的组织采用多云环境,恶意攻击面的广度和深度正在迅速扩大,这增加了部署和管理安全的复杂性——涉及协调策略控制、透明可见性、跟踪和报告安全姿势、标准和法规遵从性。

由于面临这种挑战,以下是企业首席信息安全官在实施多云战略时应该考虑的8个安全问题:

1.多云计算是新常态

最近的市场调查显示,95%的组织都在使用某种形式的云计算资源。此外,这些组织中有85%拥有混合云基础设施,可利用多种私有云和公共云资源,而通常组织平均使用多达91种不同的云计算应用程序。可以通过能够立即将服务添加或迁移到云组合或者动态扩展,以满足不断变化的资源需求,这些敏捷性是企业采用大规模云计算的一些关键原因。然而,这些问题使企业创建和维护一致的安全策略变得复杂。

2. 云安全往往是一个模糊不清的共同责任

尽管提供基础设施即服务(IaaS)和平台即服务(PaaS)的云计算供应商负责保护其云计算基础设施,但客户有责任保护他们运行的应用程序、网站、环境和服务云环境。对于软件即服务(SaaS)和应用程序即服务(AaaS)产品来说,情况有所不同,服务提供商在软件和应用程序向他们的客户提供的安全性方面承担主要责任。

但是,SaaS和AaaS用户应该知道,源自这些服务的感染和入侵很容易传播到其他基础设施。进一步使事态变得更加复杂,SaaS供应商经常在第三方IaaS云平台上运行他们的产品。在考虑采用AaaS或SaaS解决方案时,组织需要寻找能够让其将安全策略整合到其服务中的供应商,其中包括身份验证、监控和检查等。

3.私有云和公共云是相同的,但在安全方面有所不同

如上所述,绝大多数组织通过混合云策略来访问私有云和公共云资源。其挑战在于创造这些环境之间的安全一致性。例如,组织内部使用的安全工具可能无法作为云计算供应商安全选项的一部分提供,这在尝试管理扩展安全基础设施时增加了另一层复杂性。

在理想情况下,最终用户应该能够使用一组通用工具和单一管理平台来部署、查看和协调其私有云和公共云资源的安全性。但是,要实现这一点,就需要能够跨多个私有云和公共云环境无缝运行的安全架构。

4.透明度和集中化是基本要求

无缝管理传统网络环境中的安全性以及所有私有和公有云资产的能力应该成为组织安全团队的目标。相反,许多组织被迫通过不同的独立控制台查看他们的安全组合,这会通过可见性差距、感知歧义,以及工具A和解决方案B之间的人工关联信息中的事项导致情境意识降低。

组织需要的是一个全面的、基于结构的安全架构,可以克服这些孤岛产生的可视性和控制差距。

5.安全厂商和云计算服务提供商的关系非常重要

任何云计算终端用户最不希望的是他们的云服务和网络安全厂商之间没有什么联系。许多领先的云服务提供商与少数网络安全供应商密切合作,以扩大安全透明度和互操作性给其客户。因此,在进行购买决策时,查看组织首选的安全供应商与其正在考虑的云计算提供商之间的关系不仅非常重要,而且还要密切关注这些关系在解决方案生命周期中的演变过程。

6.托管安全服务提供商发挥重要作用

如今,托管安全服务提供商(MSSP)已迅速转向为多云环境构建价值主张和实践。用于多云安全的托管安全服务提供商(MSSP)增值功能涵盖了大多数传统的客户受益领域,其中包括供应商整合、弥合技能差距、增加员工,以及制定现收现付/结算业务模式。对于那些预计他们的云计算解决方案组合中经常发生变化的组织而言,采用托管安全服务提供商(MSSP)的服务也是不错的选择。托管安全服务提供商(MSSP)可以通过提供“购买就会获得保护”的方法来实现多云安全服务交付,从而为解决方案组合变化的安全动态带来稳定性。

7.选择精通云计算的安全厂商

如今,几乎每个安全厂商都在他们的解决方案上贴上了“云启用”标签。但事实是,在云安全方面,并非所有供应商都是一样的。组织需要寻找真正适用于多云的供应商,并提供一系列解决方案,其中包括:

•其传统解决方案的基于云计算的版本,包括沙箱等高级威胁检测。

•集中式安全管理,日志记录和报告,以及对多个虚拟机管理程序的支持。

•集中安全信息和事件管理(SIEM)。

•使用连接器,云访问安全代理(CASB)和API来创建单一一致的云安全策略。

企业应尽可能地与行业领先的云服务供应商积极合作,尤其是亚马逊网络服务(AWS)、Microsoft Azure、IBM Cloud、谷歌云平台、Oracle云这五大全球云计算供应商,以确保组织拥有灵活性,并随时随地采取自己的云计算策略,而不用担心如何保护云安全。

8.变化是一个常量

敏捷性是客户选择基于云计算的解决方案的主要原因之一。然而,敏捷性在服务、应用程序和资源方面会不断变化。同样,全球威胁环境也在不断变化。因此,多云环境的安全解决方案需要能够使组织在变化的威胁环境中保持领先。

云计算如今已得到广泛应用,这是一个很好的理由。对于各种规模的组织来说,这是最具成本效益和灵活性的方式,可以访问在新的数字市场中竞争所需的先进的、变革性的计算服务和技术。安全性需要足够的适应性和灵活性,以便实现这种转换。


原文发布时间为:2018-05-24

本文来自云栖社区合作伙伴“企业网D1Net”,了解相关信息可以关注“企业网D1Net”。

相关文章
「数据战略」Gartner确定了四种类型的首席数据官组织
「数据战略」Gartner确定了四种类型的首席数据官组织
|
机器学习/深度学习 存储 弹性计算
如今对首席信息安全官最重要的网络安全指标
如今对首席信息安全官最重要的网络安全指标
185 0
|
人工智能 Kubernetes 供应链
2023年首席信息安全官必须为12个网络安全趋势做好准备
2023年首席信息安全官必须为12个网络安全趋势做好准备
157 0
|
机器学习/深度学习 人工智能 机器人
首席信息官必须为未来的工作做好准备
Workfront的年度工作状况报告显示,企业正面临着风险,因为大多数美国工人不会为了推动快速创新而花太多的时间,对同事也缺乏信心。
107 0
|
机器学习/深度学习 人工智能 安全
十大未来趋势以及首席信息官如何在2021年保持领先地位
随着新冠疫情的蔓延,首席信息官面临着前所未有的巨大挑战。对于许多商业领袖而言,业务复苏不仅是回到以前的状态,而且要自上而下重新思考他们需要做哪些业务,以及他们必须如何经营业务。
195 0
|
监控 安全 数据安全/隐私保护
RSA新报告为首席信息安全官提供战略路线图
RSA,EMC 信息安全事业部日前发布了其业务创新安全理事会的第三份报告结果:《驱动业务快速前进:严峻经济下管理信息安全以获得战略优势》。在这一报告中,来自全球的顶级安全领袖检视了当前经济危机带来的信息安全挑战,并为2009年少花钱多办事建议了具体的策略。
964 0