尽管云计算的使用越来越普遍,但人们并不总是信任云计算。许多企业安全和风险管理领导者对将关键数据和基础设施委托给第三方云计算提供商表示担忧。这是可以理解的,鉴于其网络管理历史,企业的IT团队熟悉管理管理IT基础设施的资源,从他们所在的建筑物到电力和冷却供应,再到服务器,以及存储和网络基础设施。.但是,当企业将责任委托给云提供商时,这种熟悉程度是不可能的,而且它会阻止组织获得最佳的云效率和安全性。显然,企业需要改变他们的思维方式。在一份题为“CISO剧本:如何在云中保留正确控制权”的调查报告中,Gartner打个比方,在自己的数据中心经营业务就像开自己的车,而迁移到云端有点像在云中行驶。在飞机上飞行。那么人们可能无法控制飞机机组人员的行程,这会导致焦虑。然而,这种焦虑是不合理的,因为就像人们每天检查汽车尺寸、轮胎和玻璃清洗液一样,飞机在每次飞行前都要接受严格检查。总而言之,这意味着迁移到云需要一个新的视角,企业需要了解如何控制他们的数据,并更好地了解云服务提供商的行为,以便企业放弃对底层平台的所有权。在今天的背景下,客户仍然拥有自己的数据,但与云提供商共享管理权。“控制”的概念已经从基于物理位置的所有权转变为对流程的控制。因此,信息安全和风险管理绝对需要一种间接控制的新方法,以实现高效、安全,最重要的是,安心。考虑到这一点,人们将尝试定义应如何正确控制云计算。设计适当的身份和访问管理策略安全团队和开发人员会发现很难掌握基于云的控制的概念。但在实践中,放弃其WAN中光纤和铜缆的所有权是一种类似的情况:电信公司拥有物理基础设施,但数据仍由客户拥有和控制。这都是关于描述安全责任的。一旦定义了切换点,企业就知道其云提供商负责安全等。企业有责任设计一种身份访问管理策略,该策略不仅包含云平台,还包含云平台向外界呈现的应用程序和服务。访问权限应该是在“特权权限”的基础上授予用户权限,而不是给每个人更多的权限。这提高了可审计性并降低了未经授权更改平台的风险。最重要的是,企业应该与云计算提供商合作,以确保更高程度的逻辑隔离被加密。静态和传输中的数据加密通常被视为保护和隔离公共云平台上数据的另一种方式。虽然任何人都不可能闯入公共云数据中心并从物理上窃取包含数据的磁盘驱动器,但强烈建议企业考虑静态数据加密。加强监督并调整审计目标随着监管环境变得越来越复杂,使用云计算的组织越来越需要展示强大的治理能力。企业已将部分控制权委托给其云计算服务提供商这一事实意味着企业必须证明治理程序已到位并得到遵守。为此,组织应寻求与提供安全性和合规性监控和报告的云计算服务提供商合作。并且采用必要的方法和合规性证明可以确保企业云计算工作负载能够满足审计时间的要求。比较企业安全要求并根据SLA衡量云提供商的性能另一个需要密切关注的领域是管理云提供商在保护客户数据和隐私方面的作用的合同条款。大多数与超大规模云计算提供商签订的合同倾向于保护这些云计算服务提供商,但也有可能与一些云计算服务提供商合作,以对客户更有利的条款达成协议。最终的影响和建议围绕云计算服务提供商合同和服务水平协议(SLA)。许多云计算服务提供商,尤其是超大规模提供商,可能对其SLA非常严格,并且在被要求更改它们时可能非常不灵活。了解云计算服务提供商在合规性的不同方面的立场非常重要。但是他们能够共享认证和证明吗?他们的SLA在可用性等主题上的灵活性如何?如果SLA未交付,他们会支付服务积分吗?需要获得这些问题的答案。这里提出的另一个建议是在风险偏好的背景下比较外部托管数据的安全要求与云计算服务提供商的能力。总之,随着安全风险和合规性法规的不断增加以及云计算服务的采用,了解云计算安全的共同责任非常重要。在放弃和保留对云的控制之间取得适当的平衡,将使企业能够安全地利用云计算服务的诸多优势。控制云并不意味着您应该管理云的每个方面,而是确保您知道责任是什么并获得正确的控制。
