作者/来源: 发布时间:2020-01-14
云计算使我们可以存储、管理和保护数据和应用程序,从而使我们可以放心地工作。作为企业,如何使用云计算,但是作为一名信息安全专业人员,知道云计算会掀起波浪,并且迁移到云并不一定意味着结束对安全性的思考。
根据IDG2018年进行的云计算研究,大约四分之三接受调查的组织至少存在一些云。大多数服务使用的云服务和本地基础结构的混合比例约为50/50,但是随着迅速向云倾斜的趋势,许多人希望最终完全过渡到其系统。那么,为什么这么大规模进行云迁移?
尽管快速小型化和计算机处理技术的进步,但是数据中心和服务器场却占据了公司,人员和支出的很大一部分。IT部门需要专用的空间、可控的环境、动力负荷、不断的监控、频繁的更新、维护和训练有素的支持人员。另外,黑客威胁的频率和复杂程度的增加使信息安全成为一项昂贵但强制性的活动,并且需要专家进行专业培训。
然而,在过去的十年中,高速、高带宽、可靠的电信的出现使云计算成为现实,使组织能够将其计算需求作为外包服务来处理,包括软件即服务(SaaS)、基础架构即服务(IaaS)和平台即服务(PaaS)。“服务即服务”模式正在发展并扩展到更具体的行业。
云计算对规模较小的等企业的优势在于,计算资源的管理和包括信息安全的专门领域等的管理由专家控制。这种经典的分工使每个人都能提高自己的工作效率。
但是,天下并没有免费的午餐。企业需要在从数据中心到云的迁移时进行一些问题的考虑。
在另一个维度上,云并不是神秘的空间。它由硬件、软件和人员组成,就像在组织自己的园区中一样。因此,它遭受与任何其他系统相同的威胁和漏洞。违反行为确实会在云端发生。
但是,我认为真正的挑战在于在混合云/本地方案以及跨多个云的安全性管理中。如果处理不当,这种混合布置实际上会减弱安全状态。为了高效运行,云服务提供商依赖于计算资源的动态共享。这是云计算的各方面之一,与运行自己的数据中心相比,它具有很高的成本效益,但跨域的安全性却很复杂。
安全策略仍在追赶新的范式,即将数据和应用程序分布在多个平台上。信息安全的基本原则之一是分段原理,但这违反了云计算的本质。并非所有的云都支持相同的工具,相反,并非所有的工具都可以跨云或在云与本地系统之间无缝运行。所有这些的结果是,从本地平台到云的迁移需要仔细的计划和一致的策略。
在开始云迁移之前,应采取一些步骤,这些步骤可以大大避免安全隐患。即使迁移是由外部方管理的,在此过程之前和过程中也要牢记这些注意事项。
1)评估当前信息安全状况与当前基础架构之间的关系,最好是外部视图。
有专业的网络安全公司专门从事此工作。如果存在任何常规漏洞,则需要在迁移之前解决这些漏洞,因此您具有一个可靠的基准状态。
2)确定本地系统和建议的云之间的通信需要哪些其他安全措施和系统规格。
可能需要满足的性能、兼容性和法律/法规(即数据隐私)标准超出了所有本地系统的标准。
3)建立涵盖所有平台(包括本地和云)的全局安全策略。
细节和实施会因平台而异,但是它们应符合跨所有系统的常规安全策略。
4)认真对待供应商管理。
如果您使用云服务商来执行迁移,请确保您的IT安全团队检查并调查其计划的方法。您和供应商必须位于同一页面上,以免他们实施的安全策略不同步。
云计算的好处之一是它可以随着您的组织扩展和移动,为您提供增长和发展的空间。将一些风险转移给云提供商可以使您高枕无忧,但这并不能免除您组织的安全责任。通过良好的计划和策略,您可以最大程度地降低安全性增长的烦恼。