一些首席資訊保安官(ciso)被組織引導到雲計算中,他們決定必須利用分布式系統的強大和靈活性。而其他人是沒有由管理層批准或知識而只註冊雲服務的員工推入的。
無論哪種方式,如果沒有雲安全技術戰略,那麼組織將會遇到麻煩,forrester公司研究副總裁兼首席安全分析師安德拉斯·西瑟說。
在當今世界,許多首席資訊保安官對於雲計算是持懷疑態度的,如果沒有其他任何銷售數字的雲服務的話,例如saas,paas,iaas,這證明恰恰相反。西瑟表示,首席資訊保安官越來越願意使用雲計算,這其中的原因有很多。
這些包括資料保護工具,例如某些服務提供的加密和金鑰管理,以及執行資料安全策略和資料跟蹤技術的雲訪問安全**/閘道器等產品。
但是技術本身不會使組織安全,其中包括加密到雲端的所有東西。除此之外,它是不切實際的。西瑟說,只有敏感資料必須加密。
但重點是加密和使用安全閘道器本身不會使企業安全,沒有乙個總體的雲安全戰略。
對於在**開始有不同的意見。雲計算安全**提供商skyhigh網路公司產品和營銷副總裁kamalshah說,「在你甚至考慮乙個策略做審核,並了解雲計算中真正發生的事情之前,它可以是一樣廣泛的,了解正在使用多少雲服務,哪個部門使用,有多少資料在雲中,這可以用於制定企業的戰略,或者可以專門為雲計算應用程式理解使用者如何使用它,儲存什麼資料,如何在企業外部共享,哪些是共享資料,有多少是受信任的**商與個人電子郵件位址等。」
除此之外,他說,如果組織是在醫療保健行業和零售行業,可能會衩雲計算中存在的監管所限制,或者如果允許的話,那麼如何保護它。
最後,管理層可能宣告某些敏感資料(例如智財權)是完全被禁止的。然後找到乙個提供者。雲計算管理服務提供商centurylink公司的it安全副總裁timkelleher說,首席資訊保安官應該質疑**商以各種方式保護其環境,包括滿足特定行業的必要法規(如支付卡行業的資料安全標準),如何保護每個客戶的環境,並且提供額外的安全服務(例如可以啟動的虛擬防火牆),以及如何證明這些是用於審計目的。
開始這個研究的機構可能是雲安全聯盟,vmware公司是這個範圍廣泛的行業組織成員之一,將為成員提供認證。
forrester公司首席安全分析師西瑟推薦了乙個用於建立乙個雲安全戰略的五個階段流程,以實現三年的技術路線圖:
1.定義雲安全的業務理由
首席資訊保安官在採用雲計算之前,必須顯示為什麼需要在安全支出。量化效益,包括違約成本,合規成本與運營效率(例如,可能會節省成本,因為服務提供商會對應用程式進行補丁,並考慮加密)。
2.確定利益相關者及其安全需求
業務部門希望保證雲安全不會妨礙他們的工作。西瑟說,單一登入和部署整合將有助於使用多個雲應用程式的組織更加容易採用。開發人員還可能需要幫助確保雲計算安全不會干擾工作負載。此外,合規和審計人員將需要確保雲計算滿足他們的要求。
3.定義組織的雲安全治理流程
西瑟說,組織不能在沒有資料發現的情況下進行治理,也不知道流量到**,以及標記資訊的能力。這將有助於定義需要加密的內容,可以訪問雲計算的工作人員,內部的屬性,以及如何對非結構化資料進行分類。這是未授權的雲應用程式必須被發現的步驟。
4.評估組織當前的雲安全能力並確定差距
這裡是雲安全閘道器,標記化和加密對效能的影響,以及身份和訪問管理的測量。
其他考慮包括其解決方案是否滿足法規要求,資料丟失防護和入侵檢測,使用者行為監控,雲工作負載(配置)檔案的完整性監控。
5.建立乙個三年技術路線圖。
forrester集團稱這是乙個管理人員的概述,描述如何計畫實施建議
資訊保安策略建立步驟
確定應用範圍 在制訂安全策略之前乙個必要的步驟是確認該策略所應用的範圍,例如是在整個組織還是在某個部門。如果沒有明確範圍就制訂策略無異於無的放矢。獲得管理支援 事實上任何專案的推進都無法離開管理層的支援,安全策略的實施也是如此。先從管理層獲得足夠的承諾有很多好處,可以為後面的工作鋪平道路,還可以了解...
BYOD來襲 企業如何建立移動安全策略
移動裝置正在日益強烈地改變著人們的生活和工作方式。智慧型手機和平板電腦等也加入到膝上型電腦和台式電腦組成的工作環境,並且正被許多企業用作新式工具。移動裝置用於業務在給企業帶來便利和效率的同時,由於雇員越來越頻繁地用它訪問企業網路和資料,從而把安全風險帶給了企業和個人的敏感資訊。企業必須為移動裝置在辦...
MySQL安全策略
資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...