企業(yè)現(xiàn)在可以將關(guān)鍵任務(wù)應(yīng)用外包到公有云中,這是否意味著IT和網(wǎng)絡(luò)安全管理員必須“割讓”數(shù)據(jù)和網(wǎng)絡(luò)安全的責(zé)任呢?完全不是這樣。無(wú)論企業(yè)將多少基礎(chǔ)設(shè)施和多少網(wǎng)絡(luò)服務(wù)和業(yè)務(wù)應(yīng)用程序轉(zhuǎn)移到云中,信息和網(wǎng)絡(luò)的最終責(zé)任仍然落在企業(yè)自己身上。這也是為什么企業(yè)需要精心制定云安全政策的原因。
根據(jù)Ponemon研究機(jī)構(gòu)2013年端點(diǎn)狀態(tài)調(diào)查現(xiàn)實(shí),盡管云服務(wù)在興起,只有40%的企業(yè)有正式的集中的云安全政策。這為管理員提供了充足的機(jī)會(huì)來(lái)加緊鎖定其公司的數(shù)據(jù)和網(wǎng)絡(luò)。筆者最近采訪了安全服務(wù)供應(yīng)商Neohapsis的首席安全顧問(wèn),他談到了企業(yè)應(yīng)該如何更有效地保護(hù)其云計(jì)算部署。
制定云安全政策時(shí)應(yīng)該考慮的關(guān)鍵問(wèn)題
對(duì)于企業(yè)來(lái)說(shuō),云安全政策仍然是頭痛的事情,Hazdra表示:“在事故發(fā)生后,企業(yè)才會(huì)意識(shí)到,我們沒(méi)有想到這樣的事情會(huì)發(fā)生?!崩硐肭闆r下,企業(yè)應(yīng)該在部署云之前就創(chuàng)建自己的云安全政策。Hazdra談到了企業(yè)應(yīng)該考慮的幾個(gè)問(wèn)題。
在這些問(wèn)題中,重要的問(wèn)題是企業(yè)是否有明確的數(shù)據(jù)分類政策。企業(yè)擁有的敏感數(shù)據(jù)越多,這個(gè)問(wèn)題就更加重要,特別是在受到嚴(yán)格監(jiān)管的行業(yè),例如醫(yī)療保健和金融服務(wù)公司。數(shù)據(jù)分類將幫助企業(yè)防止數(shù)據(jù)中心內(nèi)重要數(shù)據(jù)的意外上傳,這還可以幫助保護(hù)在網(wǎng)絡(luò)服務(wù)中穿行的數(shù)據(jù)。例如,Rackspace提供客戶端的方式來(lái)控制哪些類型的流量可以穿過(guò)虛擬網(wǎng)絡(luò)的哪些路徑,但企業(yè)首先需要對(duì)流量進(jìn)行分類。
除了數(shù)據(jù)分類,企業(yè)可能還有其他政策可以應(yīng)用到云計(jì)算部署中。可接受的使用政策就是一個(gè)典型的例子。企業(yè)是否將允許用戶訪問(wèn)他們自己設(shè)備上的云托管的企業(yè)數(shù)據(jù)?如果是這樣的話,企業(yè)是否部署了基礎(chǔ)設(shè)施來(lái)管理這些設(shè)備?在確定現(xiàn)有政策與新的云政策重疊的地方,請(qǐng)檢查企業(yè)所考慮的云技術(shù)供應(yīng)商是否有符合你的政策。Hazdra表示:“如果云供應(yīng)商沒(méi)有企業(yè)想要的任何政策或控制,就需要考慮這個(gè)供應(yīng)商是否適用于本企業(yè)?!?/span>
企業(yè)還要考慮允許將數(shù)據(jù)存放在什么位置。數(shù)據(jù)的物理位置涉及法律和隱私問(wèn)題。云服務(wù)供應(yīng)商能否將企業(yè)的數(shù)據(jù)移到外面?國(guó)外?供應(yīng)商是否能同意將企業(yè)的數(shù)據(jù)保持在特定數(shù)據(jù)中心?如果供應(yīng)商政策不滿足企業(yè)的所有要求,那么企業(yè)的哪些數(shù)據(jù)應(yīng)該保持在企業(yè)內(nèi)部?從這些問(wèn)題來(lái)看,數(shù)據(jù)分類很重要。
最后,對(duì)于企業(yè)放到云計(jì)算中的數(shù)據(jù),需要從云供應(yīng)商得到怎樣的安全保證?當(dāng)涉及SaaS時(shí),這個(gè)問(wèn)題尤其重要,Hazdra表示,“軟件開(kāi)發(fā)人員一直在努力提高其程序的性能,有時(shí)候可能與良好的安全性有沖突。有時(shí)候,開(kāi)發(fā)人員被允許關(guān)閉安全功能來(lái)實(shí)現(xiàn)所需的性能水平。企業(yè)需要決定安全和性能的優(yōu)先級(jí)?!逼髽I(yè)可能需要確定性能的提高是否值得付出安全性降低的代價(jià)。重要的是,企業(yè)需要確定優(yōu)先級(jí),以及確保云供應(yīng)商的政策符合企業(yè)的期望。
如果企業(yè)現(xiàn)在正在考慮制定完全的云安全政策,需要想一想將授權(quán)或批準(zhǔn)哪些人來(lái)審核與云供應(yīng)商的協(xié)議。Hazdra表示:“可能有專業(yè)人士(例如醫(yī)生、牙醫(yī)和律師)使用云服務(wù)用來(lái)存儲(chǔ),以便他們可以從家里方便地訪問(wèn)其工作文件?!边@將讓個(gè)別員工的工作更輕松,但也將讓企業(yè)數(shù)據(jù)處于風(fēng)險(xiǎn)之中。指定特定位置來(lái)為工作用途設(shè)置云服務(wù),并考慮違反政策后的具體后果。
上述問(wèn)題把我們帶到云安全討論的核心問(wèn)題:對(duì)于云中的數(shù)據(jù)的安全,最終是誰(shuí)負(fù)責(zé)?一部分責(zé)任可能在于云服務(wù)供應(yīng)商,而其中更多的責(zé)任在SaaS供應(yīng)商,IaaS供應(yīng)商承擔(dān)更少的責(zé)任。
然而,歸根結(jié)底,對(duì)于他們自己的信息,企業(yè)必須承擔(dān)責(zé)任,無(wú)論誰(shuí)在處理這些信息。如果你在尋找基礎(chǔ)設(shè)施供應(yīng)商,就必須確保供應(yīng)商能履行其承諾,無(wú)論是通過(guò)成績(jī)、檢查還是與云供應(yīng)商討論具體細(xì)節(jié)。隨著企業(yè)轉(zhuǎn)移到SaaS中,執(zhí)行可接受使用、隱私、加密和數(shù)據(jù)挖掘政策仍然是企業(yè)的責(zé)任。CIO們還必須確保云供應(yīng)商遵循他們自己的政策。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900