一些首席信息安全官(CISO)在其组织的引导下进入云计算,决定他们必须利用分布式系统的强大功能和灵活性。还有一些是在未经管理层批准或不知情的情况下注册云服务的员工推动的。Forrester研究副总裁兼首席安全分析师AndrasSisser表示,无论哪种方式,如果没有云安全技术战略,组织就会陷入困境。在当今世界,许多CISO对云计算持怀疑态度,即使不是任何其他卖号的云服务,如SaaS、PaaS、IaaS,事实证明恰恰相反。CISO越来越愿意使用云计算的原因有很多,Sisser说。其中包括数据保护工具,例如某些服务提供的加密和密钥管理,以及执行数据安全策略和数据跟踪技术的云访问安全代理/网关等产品。但单靠技术并不能保证组织的安全,这包括将所有内容加密到云端。除此之外,这是不切实际的。Sisser说,只有敏感数据必须加密。但关键是,如果没有整体云安全策略,仅使用加密和安全网关并不能确保企业安全。关于从哪里开始,意见不一。云计算安全产品和营销副总裁KamalShah说:“在你甚至考虑进行审计并了解云中真正发生的事情的策略之前,它可能与了解使用了多少云一样广泛。”经纪商提供商SkyhighNetworks。服务,哪个部门用的,有多少数据在云端,这个可以用来制定企业的策略,也可以专门针对云计算应用,了解用户怎么用,存储什么数据,怎么用在企业外部共享,什么是共享数据,有多少是受信任的供应商与个人电子邮件地址等。”除此之外,他说,如果组织是在医疗保健行业和零售行业,它可能会受到云计算中存在的法规的限制,或者如果允许的话,那么如何保护它。最后,管理层可能会声明某些敏感数据(例如知识产权)是完全禁止的。然后找供应商。托管云服务提供商CenturyLink的IT安全副总裁TimKelleher表示,CISO应该质疑供应商如何以各种方式保护他们的环境,包括满足必要的行业特定法规(例如支付卡行业的数据安全标准),如何使用额外的安全服务(例如可以启用的虚拟防火墙)保护每个客户的环境,以及如何证明这些服务用于审计目的。发起这项研究的组织很可能是云安全联盟,而VMware是这个范围广泛的行业组织的成员,将为成员提供认证。Forrester首席安全分析师Sisser推荐了一个创建云安全战略的五个阶段流程,以实现三年技术路线图:1.在采用云计算之前为CISO定义云安全业务案例,必须说明为什么要花钱在需要安全。量化收益,包括违规成本、合规成本和运营效率(例如,服务提供商修补应用程序和考虑加密时可能节省的成本)。2.确定利益相关者及其安全需求业务部门希望确保云安全不会妨碍他们的工作。Sisser说,单点登录和部署集成将有助于使使用多个云应用程序的组织更容易采用。开发人员可能还需要帮助确保云安全性不会干扰工作负载。此外,合规性和审计员将需要确保云计算满足他们的要求。3.定义组织的云安全治理流程Siser说,如果没有数据发现、对流量去向的了解以及标记信息的能力,组织就无法进行治理。这将有助于定义需要加密的内容、谁可以访问云、哪些属性在本地以及应如何对非结构化数据进行分类。这是必须发现未经授权的云应用程序的步骤。4.评估组织当前的云安全能力并找出差距以下是云安全网关、令牌化和加密对性能的影响,以及身份和访问管理的衡量。其他考虑因素包括其解决方案是否满足法规要求、数据丢失防护和入侵检测、用户行为监控以及云工作负载(配置)文件的完整性监控。5.制定三年技术路线图。ForresterGroup称之为执行概述,描述了它计划如何实施建议。
