网络和云:克服多云崛起中的关键安全挑战

云计算已经成为一种主流力量,为现代组织带来了规模经济和突破性的技术进步,但这不仅仅是一种趋势,云计算正在以惊人的速度发展。然而,不断扩展的云环境也带来了新的风险。

网络和云:克服多云崛起中的关键安全挑战

安全使用云服务的需求

组织已经充分证明了云服务支持的业务流量正在不断激增。但是,在使用云服务时,组织仍然不确定是否将其数据委托给云服务提供商(CSP)。CSP通常会提供一定级别的安全,这一点在多次调查中得到了证实,但与云相关的安全事件确实会发生。

CSP不能完全为其客户的关键信息资产的安全性负责。云安全同样取决于客户实施信息安全控制的能力。但是,云环境复杂多样,部署和维护核心安全控制始终没有统一的方法。组织必须意识到这一点,并履行其责任,共同保护云服务,以成功应对日益增长的针对云环境的网络威胁,这一点至关重要。

云服务的主要功能

企业迅速采用了云服务,原因是云服务易于采购、设置成本相对较低,而且能够取代不再满足业务需求的传统技术。但是,多个云服务所带来的的功能也具备多样性,管理安全性并不是一件容易的事。

云服务涵盖了大量的产品,例如业务应用程序、文档存储解决方案、数据库和虚拟服务器,所有这些都可以通过公共网络(最常见的是Internet)从选定的CSP中按需购买。

随着企业转向云计算以增强其业务运营,它们更倾向于购买云服务,而不是扩展传统的本地IT数据中心。这种现象通常被称为云优先策略,已被无数组织采用。对于许多组织而言,这意味着它们几乎整个IT基础设施最终都将托管在云环境中。

多云环境的兴起

组织喜欢多云环境,因为它允许他们在不同的CSP(如AWS、Microsoft Azure、Google cloud、Salesforce)中选择自己喜欢的云服务。但是,每个CSP都采用自己的特定技术和方法进行安全管理。因此,云客户需要获得广泛的技能和知识,才能安全地使用来自多个CSP的云服务。

组织需要一系列不同的用户通过安全的网络连接(例如通过网关)从组织的内网安全地访问云服务。然而,组织也需要其云服务能够被业务合作伙伴和用户(不在本地或远程办公的)从外部访问,所有这些都需要组织指定的安全网络连接进行连接。

克服云安全挑战

虽然CSP为他们的云服务提供一定程度的安全性,但组织需要了解其安全义务并部署必要的安全控制措施。这就要求组织了解由云环境的复杂和异构带来的安全挑战。

ISF成员已经确定了在云环境中安全运行的几个障碍。主要挑战包括:

  • 确定并维护适当的安全控制
  • 平衡CSP和云客户之间的安全责任
  • 满足法规要求以保护云环境中的敏感数据

云使用的快速增长加剧了这些挑战。在某些情况下,组织并没有做好充分准备来应对云安全问题。

平衡CSP和云客户之间的安全共享责任

确保云服务的安全使用是CSP和云客户之间的共同责任。CSP的安全职责是保护多租户云环境,包括后端服务和物理基础设施,以及隔离不同客户之间的数据。

虽然CSP维护了许多底层云基础设施,但云客户负责保护其数据和用户管理。客户的责任是否延伸到执行应用程序、操作系统和网络的安全配置,取决于所选的云服务模型。

这种共同的安全责任可能会造成混乱,并导致客户过度依赖CSP来减轻威胁并防止安全事件的发生。云客户需要清楚地了解如何与每个CSP共同承担安全责任,以便识别和部署必要的安全控制措施来保护云环境。

满足法规要求以保护云环境中的敏感数据

使用本地IT数据中心的企业将准确知道其关键数据和敏感数据所在的位置,并且可以完全控制其数据的移动,这在实施安全控制时有很大帮助。而在云环境中,数据可以更自由地进出企业范围,这可能会模糊关键和敏感数据的位置,无法更好地保护它们,从而可能会妨碍企业根据合规性要求在其所有云服务中有效实施必需的安全控制的能力。

尽管云客户有责任确保其数据在云环境中的安全性,但是客户对数据的控制在本质上是有限的,因为数据是由外部方(CSP)存储在异地位置的,通常是在另一个国家。此外,出于弹性的考虑,CSP通常会利用地理位置不同的几个数据中心,以确保组织的数据存储在多台服务器上。

这在管理跨边界数据,了解数据在特定时刻的位置,确定适用的法律管辖权以及确保遵守相关法律法规方面增加了额外的复杂性,这是云客户的义务,而不是CSP的。

发挥最大潜力并承担责任

现如今的企业必须快速运转,提供新产品和服务以保持竞争优势。因此,许多公司选择进一步向云计算迈进,因为云服务提供的弹性和可伸缩性提供了竞争所需的灵活性。对于企业来说,有信心在确保重要的技术基础结构安全的同时可以迁移到云端,这需要一个可靠的策略。

云环境已成为网络攻击者的一个诱人的目标,企业迫切需要增强其现有安全措施。然而,由于云环境的多样性和扩展性,持续地确保云的安全性可能是一项复杂的任务。