雲計算已經成為一股主流力量,為現代組織帶來了規模經濟和突破性的技術進步,但這不僅僅是一種趨勢。雲計算以驚人的速度發展,並且在許多組織中,雲計算與支持關鍵日常運營的複雜技術環境交織在一起。
這種不斷擴展的雲環境帶來了新的風險類型。業務和安全領導者在保護其現有IT環境方面已經面臨許多挑戰。他們現在還必須找到安全使用多種雲服務,受支持的應用程序和底層技術基礎設施的方法。
安全使用雲服務的需求
組織使用雲服務在雲環境中存儲機密數據已充分證明了雲服務支持的業務流程激增。但是,在使用雲服務時,組織仍不確定是否將其數據委託給雲服務提供商(CSP)。CSP通常提供一定級別的經多次調查得到證實的安全性,但與雲相關的安全事件確時有發生。
CSP不能單獨對其客戶的關鍵信息資產的安全性負責。雲安全同樣依賴於客戶實施正確級別的信息安全控制的能力。但是,雲環境複雜多樣,這妨礙了部署和維護核心安全控制的一致方法。組織必須意識到並履行其責任,共同保護雲服務,以成功應對日益針對雲環境的網絡威脅,這一點至關重要。
雲服務的關鍵特性
雲服務的易獲得性、相對較低的安裝成本、而且有機會取代不再滿足業務需求的傳統技術,吸引了眾多創業公司迅速採用雲服務。但是,由於使用多個雲服務固有的獨特和多樣的特性,管理安全性並不是一項簡單的任務。
雲服務涵蓋了廣泛的產品,例如業務應用程序包括在線ERP和在線CRM系統,文檔存儲解決方案,數據庫和虛擬服務器,所有這些都可以通過公共網絡(最常見的是Internet)從選定的CSP中按需購買。
隨著組織轉向雲計算以增強其業務運營,他們更青睞於購買雲服務而不是擴展傳統的本地IT數據中心。通常被稱為雲優先策略,這種方法已被無數組織採用。對於許多組織而言,這意味著它們幾乎整個IT基礎架構最終都將託管在雲環境中。
多雲環境的興起
隨著組織獲得新的雲服務,他們通常會從多個CSP中選擇這些服務,因此需要處理由於使用兩個或多個CSP服務而產生的多雲環境。
組織偏愛多雲環境,因為它允許他們跨不同的CSP(例如AWS,Microsoft Azure,Google Cloud,Salesforce)選擇喜歡的雲服務。但是,通常不同的CSP採用不同的術語、不同的特定技術和方法來進行安全管理。因此,雲客戶需要獲得廣泛的技能和知識,才能安全地使用來自多個CSP的不同雲服務。
組織需要一系列不同的用戶從組織的網絡範圍內通過安全的網絡連接(例如,通過網關)來安全地訪問雲服務。然而,企業也需要其雲服務能夠被企業合作伙伴和遠程工作的用戶從外部訪問,所有這些用戶都通過組織指定的安全網絡連接進行連接。
克服雲安全挑戰
雖然CSP為他們的雲服務提供了一定程度的安全性,這要求組織理解並解決雲環境的複雜和異構方面所帶來的許多安全挑戰。
ISF成員已經確定了在雲環境中安全運行的幾個障礙。主要挑戰包括:
- 識別並維護適當的安全控制
- 平衡CSP和雲客戶之間的安全共享責任
- 滿足法規要求以保護雲環境中的敏感數據
雲計算使用的快速增長加劇了這些挑戰,在某些情況下,使得組織沒有足夠的準備來處理與使用雲服務相關的安全問題。
平衡CSP和雲客戶之間的安全共享責任
確保雲服務的使用是CSP和雲客戶之間的共同責任。CSP承擔的安全義務是保護多租戶雲環境,包括後端服務和物理基礎結構,以及防止不同客戶之間的數據混合。
雖然CSP維護大部分底層雲基礎設施,但云客戶負責保護其數據和用戶管理。客戶的責任是否擴展到為應用程序,操作系統和網絡執行安全配置,將取決於所選的雲服務模型。
這種共享的安全責任可能會造成混亂,並導致過度依賴CSP來減輕威脅和預防安全事件。至關重要的是,雲客戶不能完全依賴CSP來部署適當的安全措施,但是需要清楚地瞭解如何與每個CSP共享安全責任,以便識別和部署必要的安全控制來保護雲環境。
滿足法規要求以保護雲環境中的敏感數據
使用本地IT數據中心的組織將確切知道其關鍵數據和敏感數據位於何處,並且可以完全控制其數據的移動。這在實施安全控制時有很大幫助,而在雲環境中,數據可以更自由地進出組織範圍。這可能會掩蓋關鍵和敏感數據的位置以及如何保護它們,從而可能妨礙組織根據合規性要求在其所有云服務中有效實施必需的安全控制的能力。
雖然雲客戶有責任確保其數據在雲環境中的安全性,但客戶對其數據的控制在本質上是有限的,因為數據由外部方(CSP)存儲在異地(通常是在不同的國家)。此外,處於彈性考慮,CSP經常利用地理位置不同的幾個數據中心,以確保組織的數據存儲在一個以上的服務器上。
這在跨國界管理數據、瞭解數據在特定時刻的位置、確定適用的法律管轄權和確保遵守相關法律法規方面增加了額外的複雜性——這還是雲客戶的義務,而不僅僅是CSP的。
發揮最大潛力並承擔責任
現代組織必須快速運作,提供新產品和服務,以保持競爭優勢。因此,許多人選擇進一步向雲計算邁進,因為雲服務提供的彈性和可伸縮性提供了競爭所需的所需的靈活性。為了使組織有信心在確保重要技術基礎結構安全的同時可以遷移到雲,需要一種可靠的策略。
雲環境已成為網絡攻擊者的誘人目標,突顯了組織增強其現有安全措施的迫切需求。然而,由於雲環境的多樣性和擴展性,始終如一地實施雲安全性的基礎可能是一項複雜的任務。
這只是組織安全使用雲服務需要克服的諸多挑戰之一。組織不能僅依靠CSP來保護其關鍵信息資產,而必須承擔自己的責任。這項職責要求將良好的治理,部署核心控制以及採用有效的安全產品和服務相結合。涵蓋網絡安全,訪問管理,數據保護,安全配置和安全監視的控件對於信息安全從業人員而言並不是新事物,但它們對於安全使用雲服務至關重要。
展望未來,組織可以從各種趨勢和技術中進行選擇,這些趨勢和技術將使他們能夠安全地使用雲服務-從採用新產品到嵌入改進的流程(例如專注於安全容器),在開發過程中更加強調安全性。
確保安全地使用服務將為業務領導者提供充分擁抱雲所需的信心,從而最大程度地發揮雲的潛力並推動組織邁向未來。(編譯自cloudcomputing-news )
閱讀更多 怡海軟件 的文章
