想要安全上云,CEOs需要了解的可不止一点点
据Gartner调研,有76%的企业因为数据安全性不敢上云。而LogicMonitor公司最近发布的报告也显示,66%的IT从业人员认为安全性是其应用企业云战略时最关注的问题。诚然,没有多少企业CEO身兼网络安全专家的双重职责,但在当今数字化转型的时代,网络风险管理又是每个领导者工作的重要组成部分。而因为数据泄露问题上榜新闻头条的CEOs 就是网络攻击活生生的例子。
因此,当企业准备上云时,管理安全风险成了CEO的首要考虑。你可能对于一个具有多因素身份验证框架的防火墙不太了解,没关系你可以向供应商随意询问,这将有助于团队在进行业务部署时优先考虑安全问题,当然也不会忽略其他问题。如果对此你还是比较茫然,下面这些问题或许可以作为企业上云时的参考:
1.企业IT文化对云安全的重视程度
云计算极大地提高了企业业务效率,减少了资本支出。这些都是其显而易见的优势,但它们也可能产生意想不到的后果。如果企业打算上云却不去仔细考虑自身IT组织的文化,可能会招致一些不必要的灾难。
因为快速交付云服务的压力甚至会迫使保守的云计算专家采取安全捷径。他们会考虑采用“DevSecOps”组织模型,将安全性与DevOps人员放在同等的基础,相同的时间表上。这就需要企业认真制定激励措施,确保安全性与其他优先事项同步。比如准备好将基础设施资金转移到自动化的安全和ops工具上。
2.影响企业上云的监管性问题
如果企业业务符合合规性要求,那么相信企业上云会很顺利。但对其他人来说,会议授权则是其上云工作的一部分。“云”和“合规性”并不是相互排斥的,但是也有一些事情需要考虑。
云解决方案在体系结构上不同于大多数规则已被设定好的解决方案。用于检查合规性框架的主流工具,比如安全事件和事件管理(SIEM)平台,在云计算调用服务器及无节制地填塞日志文件时会变得更加昂贵。
事实上,一些臭名昭著的违规事件的受害者有合规项目,但缺乏运营安全性。如果你不再把合规性作为一种单独的行为,那么在这方面花费的钱就可以用来提高运行安全性上。使用更自动化的解决方案来代替合规性产品,从而利用合规性结果来提高企业正在进行的安全可见性问题上。当然,确保技术合作伙伴为云环境提供公平的价格也很重要。
3.企业对于云安全事件的应对措施
云计算的到来,使得以防火墙来完善安全已经行不通了。云解决方案将受到攻击,而且攻击者还可能会发现可利用的漏洞。当最糟糕的情况发生时,企业最好是在开记者招待会之前想清楚两个关键问题:发生了什么,损失有多大?
不过好消息是云可以提供足够多的信息来及早、准确地发现和分析安全事件,但在这里企业需要变现两件事:业务实践练习以及选择正确的工具。通过常规的选择性练习来发现潜在的弱点,增强团队的作战斗法技能。
帮助团队获取上云前的准备工具,这些工具可在网络安全隐患早期自动化调查和发现问题。但记住要明智地选择这些工具——过多的警报会导致“警报疲劳”,并使团队对合法的威胁信号麻木。
4.是否理解云的共享安全责任模型?
作为企业CEO,你不需要成为云计算专家来管理云安全风险。但是,云的共享安全模型(定义了云供应商的责任范围,而企业的责任范围)可能是企业需要解决的一个问题。这是云安全挑战的关键,它将影响企业成功路上的投资和计划。
这里,给你一些建议:确保团队理解共享安全性的概念,并在尽可能地利用供应商提供的服务。他们提供了一系列安全工具,包括防火墙、身份验证和访问管理系统、IPS/ /IDS等等,这些工具与本地监控服务集成得很好。因此,最好不要使用第三方的替代方案来增加业务混乱性——即使你的团队对他们更熟悉。当你需要的一些功能供应商无法满足时,可以查找与该供应商的服务集成的产品。
5.企业的云解决方案如何与第三方展开合作?
科技发展到今天,IT的时代精神都是围绕开源的。当然,“开源”也有明确的商业利益:将非关键服务外包给第三方专家变得更容易,而且你可以很容易地将自己辛苦建立起来的在线资产货币化。与此同时,开源系统也存在风险,一旦上云,企业的数据保存就没有期限限制,即便中途采取任何措施,也不会削减这个时间的。
另一方面,第三方已经被牵连进了很多起违规事件中。所以当允许第三方访问你的数据以提供外包客户服务或数据分析时,也会发生一些风险。作为CEO,不管你知道与否,几乎可以肯定地说,企业开发人员依靠第三方解决方案来避免重新进行部署,并更快地解决问题。
提高可见性和更好的态势感知力是管理第三方风险的最佳方法。传统上,IT专业人员只能通过使用详细的交互性日志文件来查看完整的图片。而现在自动化的云工具可以自动提供这张图片,因此分析师可以专注于修复和过程改进。
安全上云未来可期