IntelSecurity对云计算部署的最新研究对企业来说既有好消息也有坏消息。好消息是,根据对1,200多名IT决策者的调查,与云相关的数据泄露很少见。但坏消息是,这些决策者将移民问题列为他们面临的最常见问题。从安全的角度来看,将工作负载和数据移动到云端时肯定存在挑战,无论是从内部数据中心到云端还是从云提供商到另一个云提供商。云迁移的第一个挑战是确保根据策略和数据分类要求仅将适当类型的数据迁移到云中。许多企业发现敏感数据在他们没有计划将其存储在云中时却在云中,这通常是因为缺乏与项目团队的沟通或缺乏对风险的了解,或两者兼而有之。在引用SANS调查的IntelSecurity报告中,40%的受访者表示他们在云中存储或处理敏感数据。其他60%的受访者没有表示需要制定政策来明确哪些数据可以迁移到云端,哪些数据不能使用。许多企业可能面临的另一个云迁移挑战是意识到并非所有云服务提供商都提供相同的服务和功能,而且很可能会被供应商锁定。在项目团队在特定云服务提供商内构建基础架构后,将特定格式的数据和系统移动到其他环境可能会非常困难(如果不是不可能的话)。同时,从云环境中导出数据可能很困难,原因有二:首先,从云服务提供商处检索大量数据可能需要在合同中作出特殊处理规定,还可能需要将存储硬件运送给提供商。传播。其次,数据格式可能与其他提供商或内部系统和应用程序不兼容。这是必须解决的问题,以确保所有数据都能以企业可以处理的格式导出。在云数据迁移之前,安全团队应该花时间评估当前内部使用的安全控制,然后将它们与云服务提供商环境中可用的选项进行比较。一些安全控制在云服务提供商环境中不可用,如果这些差距没有得到填补或适当解决,这可能导致云环境部署缺乏关键的安全控制。当云环境中的安全控制与企业当前的安全控制不匹配时,这可能会导致数据泄露和合规性违规。混合云允许用户将部分数据存储在内部,但对于云数据迁移,哪种选择?分析师MikeMatchett解释了如何做出决定。云迁移挑战的另一个大问题是:缺乏适当评估服务提供商及其安全能力和态势的尽职调查。大多数信誉良好的供应商将提供SSAE16SOC2,一些供应商提供更深入的报告——侧重于ISO27001或PCIDSS或HIPAA等合规性要求。供应商管理、法律和安全与合规团队应要求云服务提供商回答安全调查问卷并确定供应商的风险级别。很多企业选择跟随云安全联盟的《共识评估倡议调查问卷》,一些供应商为此准备了答案。查看供应商的回答揭示了许多关键的安全挑战,例如加密密钥管理和访问、身份管理兼容性、可用的网络控制,以及云服务供应商是否能够满足租户的法律和取证要求。减轻云迁移挑战的简单建议:提前计划。企业应制定要求安全团队参与所有云计算项目的政策,确定尽职调查程序,并确保不会选择缺乏控制或存在数据兼容性问题的云服务。
