【摘要】當您的組織將資料和應用程式遷移到雲時, 首席安全官應該關注相關的步驟和流程
隨著企業業務快速向雲上遷移,
根據甲骨文(Oracle)和畢馬威(KPMG)本周發佈的一份雲威脅報告, 在過去的五年裡, 雲技術的應用快速增加。 使用公共雲服務的企業比例從2013年的57%上升到2018年的85%。 2013年, 只有21%的組織表示他們使用了基礎設施即服務(IaaS)。 今年, 這個數字達到了51%——增長了143%。
甲骨文(Oracle)雲業務集團副總裁Akshay Bhargava說, 這一重大轉變正在引發網路安全挑戰的新浪潮。 隨著新設備接入和移動身份訪問雲環境, 雲中資料正在面臨新的威脅。
“對我們來說, 最大的發現是難以持續保持與雲應用相當的規模的安全投入,
90%的調查對象將其至少一半左右的雲端資料歸類為敏感性資料。 值得注意的是, “敏感”是一個主觀的術語, 但通常這些資訊包括客戶關係管理資料、個人身份資訊、支付卡資料、法律檔、原始程式碼、設計和其他類型的智慧財產權。
83%的受訪者認為, 雲上的安全防護措施完全有必要。 儘管人們對雲計算的信任度越來越高, 但組織往往沒有採取正確的措施來確保向雲端遷移期間的安全。 其中之一是, 在與雲服務提供者進行業務合作之前對其進行適當的審查——這是一個挑戰許多組織的步驟。
大部分(98%)甲骨文/畢馬威的受訪者在與公共雲服務提供者開展業務之前,
如果您在思考雲優先思維, 您應該確保所有安全措施都已經過檢查, 然後再進行雲上遷移。 在這裡, 安全專家強調了在遷移到雲時需要牢記的最重要步驟。
當組織準備將資料和應用程式遷移到雲上時, 這些步驟對你會有説明。
開啟雲上思維
ZScaler負責新興技術的CIO和副總裁派翠克·福克斯霍文(Patrick Foxhoven)說, 通常情況下, 組織會把雲提供商的基礎設施看作是自己系統的延伸, 他們把傳統思維方式帶到了雲端。
他說:“很多時候, 公司會考慮如何將公司網路與雲提供商的環境聯繫起來, 並通過物理鏈路將兩者聯繫在一起。 ”因此, 連接是靜態的, 但業務實現上卻忽略了雲計算的優勢, 比如實現雲的完全可攜性和靈活性。
Foxhoven把失誤的原因歸咎於缺乏對雲計算的新功能的洞察力和培訓,
識別資料安全需求
IP Architects總裁John Pironti說, 在你將資料傳送給雲服務提供者之前, 先清點一下清單, 然後確定你究竟在做什麼, 以及你想要做什麼, 瞭解需要哪些安全控制措施來實現資料安全的目標。
他說: 應該詢問雲提供商, 他們能提供哪些安全選項,以及如何接收安全更新。當你整理你的資料並計畫行動時,Pironti建議,應優先考慮保護品質,包括資料隱私、可用性、加密、可見性,以及如何防止未經授權的使用者訪問雲中的資料。
Alert Logic公司產品和行銷高級副總裁Misha Govshteyn解釋說,一旦確定了最關鍵的業務資料和應用程式,就可以更好地識別攻擊面和攻擊方法。從那裡,你可以考慮如何最好地保護環境,以及應該採取哪些控制措施。
“這方面我們在內部花了一些時間進行討論,現在我們和客戶一起識別這些安全問題,”他說。“這消除了他們的很多觀點和爭論。
劃分責任邊界
McAfee雲業務部門行銷副總裁Vittorio Viarengo表示:“客戶意識到他們仍然需要為雲中發生的一些事情提供安全保障。現在企業開始仔細研究他們的具體安全需求。
雲服務商提供的安全性會因您的雲服務而異,他說,如果流覽基礎架構即服務平臺,該提供商負責主機基礎架構,作業系統基礎架構和物理安全性,以便任何人都無法訪問實際的伺服器。客戶負責網路安全,應用程式級控制,身份和訪問管理(IAM),端點保護以及資料分類和問責。軟體即服務提供者處理物理安全性,網路和應用程式安全性,但是客戶處於資料和使用者安全性,身份和訪問管理(IAM)和端點保護之間。
審查安全設置
“在雲環境中,您必須非常小心,非常勤快地審查安全設置,”Pironti說。“很容易因為一個錯誤,讓事情迅速的公開。”
他指出了2017年全年發生的一系列事件,其中主要公司錯誤配置了他們的亞馬遜S3存儲系統並意外地向公眾公開了他們的資料。他指出,內部部署環境具有雲環境所不具備的資料保護措施。人們在初步地認識到了他們的資料在雲基礎設施中的沒有保護措施,卻沒有採取適當的措施確保資料的安全。
保持協同一致
當你計畫將企業應用向雲過渡時,重要的是與所有相關人員會面,以確保團隊的所有成員都知道如何工作。
“最重要的事情之一是,首先,DevOps,開發人員和安全團隊使用相同的語言,”Govshteyn說。“讓他們在基本認識上達成一致:我們最重要的資料是什麼,我們最重要的應用是什麼。”
瞭解定價模型
Foxhoven說:“另一個常見的錯誤是對定價模型的誤解,以及如何解決這個問題”。
企業需要確定在雲環境中運行不同應用程式的財務影響。對於某些應用程式而言,遷移到雲中具有經濟優勢。對於其他人而言,成本可能不合理。他指出,需要大量即時訪問的原始線上存儲的應用程式可能無法轉移到雲提供商。
考慮增加IT人員
Pironti說:“當IT人員試圖說服他們的執行董事會將業務轉移到雲端的時候,安全專家通常會認為雲服務會讓他們減少員工,事實上正好相反。”
他指出:“我們實際上需要更多的雲計算運維人員,我們需要一個新的層次的對話,一個新的關注點。”雖然採用雲技術可以在一定程度上降低基礎設施成本,但它不會減少員工。
“你應該找什麼樣的員工?---瞭解服務和應用程式的人,”Pironti補充說,“這些技能應該比基礎架構和作業系統安全性要求更高。“他們需要瞭解服務及其工作方式,以及他們所創造的風險。”
他們能提供哪些安全選項,以及如何接收安全更新。當你整理你的資料並計畫行動時,Pironti建議,應優先考慮保護品質,包括資料隱私、可用性、加密、可見性,以及如何防止未經授權的使用者訪問雲中的資料。Alert Logic公司產品和行銷高級副總裁Misha Govshteyn解釋說,一旦確定了最關鍵的業務資料和應用程式,就可以更好地識別攻擊面和攻擊方法。從那裡,你可以考慮如何最好地保護環境,以及應該採取哪些控制措施。
“這方面我們在內部花了一些時間進行討論,現在我們和客戶一起識別這些安全問題,”他說。“這消除了他們的很多觀點和爭論。
劃分責任邊界
McAfee雲業務部門行銷副總裁Vittorio Viarengo表示:“客戶意識到他們仍然需要為雲中發生的一些事情提供安全保障。現在企業開始仔細研究他們的具體安全需求。
雲服務商提供的安全性會因您的雲服務而異,他說,如果流覽基礎架構即服務平臺,該提供商負責主機基礎架構,作業系統基礎架構和物理安全性,以便任何人都無法訪問實際的伺服器。客戶負責網路安全,應用程式級控制,身份和訪問管理(IAM),端點保護以及資料分類和問責。軟體即服務提供者處理物理安全性,網路和應用程式安全性,但是客戶處於資料和使用者安全性,身份和訪問管理(IAM)和端點保護之間。
審查安全設置
“在雲環境中,您必須非常小心,非常勤快地審查安全設置,”Pironti說。“很容易因為一個錯誤,讓事情迅速的公開。”
他指出了2017年全年發生的一系列事件,其中主要公司錯誤配置了他們的亞馬遜S3存儲系統並意外地向公眾公開了他們的資料。他指出,內部部署環境具有雲環境所不具備的資料保護措施。人們在初步地認識到了他們的資料在雲基礎設施中的沒有保護措施,卻沒有採取適當的措施確保資料的安全。
保持協同一致
當你計畫將企業應用向雲過渡時,重要的是與所有相關人員會面,以確保團隊的所有成員都知道如何工作。
“最重要的事情之一是,首先,DevOps,開發人員和安全團隊使用相同的語言,”Govshteyn說。“讓他們在基本認識上達成一致:我們最重要的資料是什麼,我們最重要的應用是什麼。”
瞭解定價模型
Foxhoven說:“另一個常見的錯誤是對定價模型的誤解,以及如何解決這個問題”。
企業需要確定在雲環境中運行不同應用程式的財務影響。對於某些應用程式而言,遷移到雲中具有經濟優勢。對於其他人而言,成本可能不合理。他指出,需要大量即時訪問的原始線上存儲的應用程式可能無法轉移到雲提供商。
考慮增加IT人員
Pironti說:“當IT人員試圖說服他們的執行董事會將業務轉移到雲端的時候,安全專家通常會認為雲服務會讓他們減少員工,事實上正好相反。”
他指出:“我們實際上需要更多的雲計算運維人員,我們需要一個新的層次的對話,一個新的關注點。”雖然採用雲技術可以在一定程度上降低基礎設施成本,但它不會減少員工。
“你應該找什麼樣的員工?---瞭解服務和應用程式的人,”Pironti補充說,“這些技能應該比基礎架構和作業系統安全性要求更高。“他們需要瞭解服務及其工作方式,以及他們所創造的風險。”