许多企业将数据存储在云端而不是本地,但这并不意味着他们可以不对其数据的安全负责。云计算技术当然具有某些优势,但与任何大规模部署一样,采用云计算可能会带来无法预料的挑战。“云计算只是别人的数据中心”的概念让很多人感到困惑,因为它可能认为企业放弃安全责任是因为“别人会照顾它”。云计算系统、网络和应用程序在物理上不在企业的控制范围内,而是减轻安全责任和风险。云计算基础架构提供商可以对操作环境的设置方式、放置的内容、数据的保护方式以及环境的监控方式进行大量控制。企业管理其环境中的风险并与现有安全框架保持一致至关重要。隐私和风险在根据欧盟颁布的通用数据保护条例和美国某些地区(亚利桑那、科罗拉多、加利福尼亚等)的类似政策保护云中的数据时,组织面临更高的要求。该解决方案并不像在数据中心安装数据丢失防护软件那么简单,因为企业现在拥有许多他们不拥有但仍需要可见性和控制的服务、系统和基础设施。共享或交换信息的云服务和基础设施也难以管理:那么谁拥有服务级别协议?是否有一个控制台可以监视所有内容?DevOps迫使组织实施微分段并调整防火墙规则变更管理流程。此外,采用无服务器计算允许开发人员运行代码而无需担心基础设施和平台,为组织提供一种降低成本和提高生产力的方法。但是,如果不解决虚拟私有云和工作负载部署问题,事情可能会失控,您会开始发现重要数据可能泄露。缓解组织可以采取几个步骤来帮助降低云中的数据风险。1.设计保持一致。首先,使您组织的云计算环境与您的网络安全框架保持一致。通常,组织将其运营转移到云端的速度如此之快,以至于应用于其本地数据中心的安全控制可能无法有效地迁移到云端。此外,组织可以对Salesforce或Office365等软件即服务(SaaS)应用程序采取安全措施。但即使使用这些合法的业务应用程序,如果组织没有正确的数据,数据也可能会失去可见性和控制。因此,将云提供商技术与网络安全框架和业务操作程序结合起来,可以实现高度安全、更高效的云平台,从而提供更好的结果和成功的部署。2.云计算系统和网络应该像局域网和数据中心一样对待。例如,亚马逊的责任共担模型概述了它的安全责任在哪里结束以及它的安全责任从哪里开始。尽管计算层存在威胁(正如人们在Meltdown、Foreshadow和Spectre中看到的那样),但最近的云计算数据泄露表明组织安全责任领域的崩溃,即操作系统安全、数据加密和访问控制。如果一个组织有管理服务器配置、漏洞管理、补丁、身份和访问管理、加密、分段、防火墙规则、应用程序开发和监控的标准,它需要知道这些标准适用于云计算服务并定期审查它们。3.有效的安全控制。组织通常会警告连接到不安全无线接入点的员工,以获得安全方面的灵活性和效率。提供流氓检测和入侵防御系统功能的无线控制器可以帮助控制这种行为。借助云计算技术,员工可以根据需要设置云存储账户、无服务器计算环境和虚拟专用网络,以避免繁琐的变更控制程序,降低成本,并获得类似的灵活性和效率。通过重新构建传统网络、调整已有数十年历史的流程和程序、实施云代理或云访问安全代理(CASB)技术,并将其与强大的端点安全控制和有效的意识活动相结合,组织可以提供这种级别的灵活性和效率,但仍提供数据保护。4.密切关注。网络安全运营中心(CSOC)不再仅仅关注本地网络和数据中心。安全运营中心(CSOC)使用的运营监控、威胁搜寻、情报和事件响应程序也适用于组织数据所在的云计算环境。监控可能驻留组织数据的SaaS应用程序具有挑战性,但可以通过有效的端点安全和监控云访问解决方案(CASB和代理)来完成。对于无服务器环境,根据组织的网络安全运营中心(CSOC)要求,这可能意味着使用云提供商提供的第三方监控平台或解决方案。在所有情况下,事件记录和触发器都需要反馈给网络安全运营中心(CSOC),以便与本地事件数据、分析和威胁情报相关联。由于可用的云计算服务,组织很难管理风险。从“不惜一切代价完成工作”到“做对业务有利的事情”的文化转变需要大量协调一致的努力和时间,但其根源在于安全成为业务推动因素。如果业务需要继续受到保护,组织必须将安全纳入技术决策,并且他们的安全必须了解业务需求和技术变化才能成为推动者。为帮助防止员工自行寻求技术问题的解决方案,IT和安全团队必须开发自己的资产和能力以提供速度和便利,或者不断努力跟上这种需求。
