混和云安全性的8个重要考虑到要素

2021-03-15 00:36

选用混和云能够提升机构的安全性态势,而并不是消弱。但这其实不代表着改善的安全性性便是1种默认设置设定。尽管伴随着云计算技术技术性的完善,公司对其安全性的忧虑正在降低,但安全性依然是机构必须应对和管理方法的不断挑戰。而混和云自然环境带有其本身特殊的安全性考虑到要素。

国际性信息内容安全性学习培训同盟(CISA)的申请注册信息内容系统软件安全性权威专家(CISSP)Christopher Steffen说,“混和云自然环境是动态性和繁杂的,因为好几个终端设备客户从好几个地址浏览好几个自然环境而变得更为繁杂。”Steffen是Cyxtera企业的技术性总监,Cyxtera企业近期回收了Steffen以前就职的安全性商品出示商Cryptzone企业。

Steffen和别的安全性权威专家探讨了公司的首席信息内容官及其精英团队在维护混和云自然环境时务必铭记的重要难题。公司必须优先选择考虑到下列8项重要要素:

1.公司保证具备详细的可视性性

CBI企业发展战略方案副总裁、互联网安全性资深权威专家J. Wolfgang Goerlich指出,在IT制造行业中,许多首席信息内容官和别的IT管理者常常在她们的自然环境中存在盲点,或她们在她们的內部布署的基本设备的了解层面过度偏激。

既然公司及其最后客户可使用数百个根据云计算技术的运用程序流程,而且好几个单位能够在基本设备即综合服务平台上建立自身的虚似服务器,那末跨独享云、公共性云和传统式基本设备的详细可见性便是务必的。Goerlich说,欠缺可见性会给公司带来更大的安全性风险性。

2. 每个财产都必须有着者

假如公司欠缺全方向的可见度,那末有将会欠缺全部权。公司的每个混和云设备都必须1个有着者。

Goerlich说:“IT安全性的1个重要标准是必须1个有着者,确定每一个财产,并让有着者负责对财产的最少管理权限和义务分工。欠缺可见度会致使欠缺全部权。这代表着,在一般状况下,混和云自然环境具备疏松界定的浏览操纵,而且常常沒有岗位职责分离出来。过多的批准可能带来风险性,而沒有有着者的风险性是未处理的风险性。”

3.混和云 尝试混和安全性

IT愈来愈变成公司总体业务流程发展战略的驱动器力,而不仅是服务公司,混和云方式早已变成促进这1变化的促进者。以相近的方法,当代IT必须再次思索1些旧的安全性方式,比如混和安全性。

Biscom企业首席实行官Bill Ho说,“有关安全性性的发展战略持续发展趋势,很多公司正在选用混和方式来为她们的安全性基本设备创建更多的层级和深层。”公司的一些安全性技术性将会驻留在当地布署的数据信息管理中心,而另外一些则在公司互联网以外运作更成心义。

Bill Ho解释说,“公司有许多的理由必须內部布署安全性专用工具和运用程序流程,比如桌面上病毒防护、DLP、防火墙和IDS/IPS系统软件。”在其中1些做为云计算技术服务出示,一些则具备云中的组件,而运用程序流程或运用程序流程则在当地布署的数据信息管理中心中运作。1些服务最好是在云端解决,例如协助减轻ddos进攻的服务。

4.安全性性和合规性:联接但不1样

Steffen表明,“公司将会在沒有合规的状况下有着安全性感,可是假如沒有出現安全性难题,那末人们将会始终不容易遵循管控政策法规。人们不必将安全性性和合规性这2者混为1谈,非常是当公司正在转移到混和云实体模型时,应当将合规性视作公司云安全性对策的1个关键但单独的一部分。

在混和云或多云自然环境中的合规性不1定是云运用的阻碍。客观事实上,很多內部操纵能够交叉式运用到公司的云自然环境中。可是,公司掌握云计算技术出示商应用的现有操纵对策,和它们怎样与公司现有操纵系统软件有关联是是非非常关键的。“

Steffen填补道,“这将会是公司必须开展1些小经营规模的程序流程变动,才可以遵循云计算技术出示商应用的操纵对策。但这也将会代表着公司之前的安全性发展战略产生压根性变化。在挑选云计算技术出示商或安全性供货商以前实行合规操纵评定是务必的。”

5.公司的专用工具和别的供货商集成化在1起吗

Steffen表明:“特殊的云计算技术出示商和她们正在应用的安全性专用工具怎样与公司应用的专用工具集成化 有许多专用工具能够很好地集成化在1起,可是假如公司应用的安全性专用工具集与外部兼容问题,那末将会会很不便,将会必须找寻可与别的服务平台相互配合的服务平台和专用工具。因而,云计算技术出示商和安全性供货商应出示与现有当地服务平台和专用工具的简易集成化。”

6.公司必须掌握自身的供货商

Steffen有关合规性和集成化的提议得出1个提示,公司维护其混和云自然环境在很大水平上取决于公司对所应用的服务平台的掌握和了解。

Biscom企业首席实行官Bill Ho说,强劲的云计算技术供货商具体上能够出示內部IT安全性精英团队将会欠缺的技术专业专业知识。比如,她们将会会更好地即时监管潜伏威协,比如零日进攻。但这明显其实不是给定的。

Bill Ho说,“与任何云计算技术服务1样,公司必须审批其出示商的资质证书。必须调研她们的验证,掌握出示商的政策,掌握对外开放公司互联网的风险性,并核查步骤汇报,比如SOC 2 Type II汇报。”

7.混和实体模型的拓展通讯

Goerlich说:“混和云带来了对通讯层面的可拓展性难题。这又1次是欠缺可见性和全部权的副商品,而且在应用多云和多供货商对策的机构中特别这般。”

清楚的沟通交流是强有力的安全性态势的关键构成一部分,非常是在涉及到新的系统漏洞或进攻恶性事件时。这是公司IT管理者必须充足处理的1个行业,不但在內部布署,并且还包含供货商和别的第3方。

8. 开展不断的风险性评定

公司从1刚开始就创建1个安全性主要的混和云自然环境是很好的第1步,但它依然只是第1步。 Goerlich指出,维护动态性混和云自然环境必须不断的风险性评定。

“机构鉴别系统漏洞和安全性难题的另外一种方式是根据风险性评定,”Goerlich说。

他例举了3个事例:

供货商风险性管理方法就像正在开展的敬业调研1样,“能够突显显示信息哪些供货商出示哪些服务,随后查寻这些供货商的安全性方案。”

手机软件组成剖析能够“突显显示信息编码中的哪些第3方数据信息库将会会伤害公司搭建的运用程序流程。”

技术性系统漏洞评定和渗入检测可“进1步掌握当今的安全性情况。因为混和云计算技术机构依靠的范畴和经营规模,现如今务必以分段的方法进行。”

维持安全性性提高

伴随着公司的混和云对策持续提高,公司的安全性整体规划也应随之转变。

“公司必须了解自身有着甚么,了解谁有着它,谁能够浏览它,有确立的沟通交流方式,将其溶解成细分销售市场,并开展风险性评定。” Goerlich说:“1次做好1件事,公司能够根据潜心于最关键的技术性,即适用重要业务流程发展战略和作用的技术性,并获得取得成功。伴随着混和云拓展公司消費的技术性,公司的管理者也务必扩张安全性行业的优先选择级合谐作。”



扫描二维码分享到微信

在线咨询
联系电话

020-66889888