如何维护云中的安全合规性
获得遵守权对组织是重要的,而这对客户也很重要,因为他们需要依赖组织的合规性认证、评估和审核来做出购买决定。对于规定开展交易要求并最终执行审计的监管者来说,这一点很重要。而且对于组织来说,需要避免遭受昂贵的监管罚款、危险的违规行为,从而导致组织的声誉受损。
随着最好的软件工具转向云端,许多企业都担忧不能充分利用它们。在外部控制系统上维护安全性和遵从性标准可能会让人望而生畏。或者更糟的是,管理者可能会认为,由于服务和数据不在他们的数据中心运行,这让他们有些无所适从。行业机构最近发布了关于云计算安全合规性中的关键挑战的概述,认为这些方案在各行业的公司中发挥重要的作用。
事实是,采用云计算服务有很大的好处,而云优先安全方法对于维护安全性和合规性至关重要。
云计算应用程序的安全隐患是什么?
云应用程序可以随时随地访问,专为合作而设计,使用灵活且适应团队的需求。它们具有较低的基础设施和维护成本,并且通常采用和操作的速度快,成本低廉。在许多情况下,它们仅仅是同类产品中最好的解决方案,提供比本地数据中心部署的竞争对手提供更好的解决方案和更频繁的更新。
但这并不意味着他们没有风险。这些基于云计算的应用程序具有与本地数据中心的应用程序相同的风险,它们自身也有一些独特的风险。
- 安全性难以跨平台进行评估和管理。用于云应用的安全控制分布在人员,流程,技术甚至多个公司:组织,组织的供应商,以及用于提供应用程序的任何供应商。
- 组织的声誉总是受到威胁。安全漏洞或负面的合规性裁定可能会对组织的声誉造成灾难。缺乏消费者信心带来的销售损失和股价下跌的损失。负面的媒体关注使未来的产品和服务受到质疑,而社交媒体则加剧了这种损害。而消费者不会关心违约来自组织的业务或是第三方云服务。
- 组织可能会遭遇起诉。消极的合规调查结果可能导致一些行业的惩罚性,财务性甚至刑事制裁。真正的法律遵从还包括能够响应政府的查询,例如诉讼中的传票或诉讼请求,而无论数据发生在哪里,或面临法院的处罚。
- 威胁不断发展。日益增长的威胁包括数据窃取,恶意软件,损坏和勒索软件,组织控制之外的网络上的边缘系统特别脆弱。勒索软件可能让组织的整个业务中断数小时或数天。如果没有有效的数据保护解决方案,唯一的希望是支付赎金,并希望组织的数据得到恢复。
旧的数据保护模式已经过时
数据不仅仅存在于数据中心中,也保存在笔记本电脑和其他移动设备上,遍布本地部署数据中心和基于云计算的应用程序。看到单一的、集中的数据视图似乎是不可能的。除此之外,零碎的操作流程取决于部门,应用程序或设备而有所不同的流程,会减慢组织的发展速度,使执行安全性和响应审计请求变得困难。
另一方面,将组织的数据安全性的责任推给云服务提供商是不安全的。如果组织的供应商确实提供高级安全功能,则由组织实施这些功能,并维护法规要求的内部部署安全策略。
第四方风险评估
组织和SaaS供应商之间不仅需要分担责任,还必须考虑第四方。考虑组织的供应商用于服务交付的服务提供商,如Amazon Web Services或Microsoft Azure。幸运的是,合规性审核允许组织衡量第四方风险。现代的数据安全方法需要针对整个服务链的安全框架,审核和认证,而不仅仅是组织的内部部署解决方案或直接供应商的解决方案。
显然,采用云服务时会有很多风险。组织想利用这些应用程序提供的巨大好处,则需要一种新的数据保护方法。而传统的模式不能胜任这项工作。
现代数据保护方法
一个伟大的数据安全解决方案将保护组织的数据,无论它在哪里。在评估选项以确保解决方案真正涵盖数据安全需求的各个方面时,这些都是一些关键问题:
- 是否提供连续监控?组织需要全面了解自己的攻击面。监控方法应该是以数据为中心的,而不是以应用为中心,所以无论数据在哪里,都可以进行覆盖。监控应该在风险成为问题之前预测风险,无论它们来自数据中心还是云端。
- 数据本身有多安全?数据需要在运行中和空闲时都得到充分的保护。提供商是否为组织提供唯一的加密密钥?他们是否可以访问组织的数据(如果组织受到攻击,会使其变得脆弱)?
- 访问控制有哪些选项?基于角色的访问控制选项管理潜在的利益冲突和欺诈。每当有人访问或更改数据时,实时审核记录都会留下踪迹。
- 如何保存和维护数据?组织需要工具来回应审计和法律咨询。数据必须在所有数据环境中收集,保存,保留,归档和索引,以便在发生诉讼或传唤的情况下轻松获得。
- 如果发生灾难怎么办?传统备份模式包括获取另一个数据中心的备份,设计和实施故障转移流程,并进行年度测试。但是它们只保护本地数据,使远程端点容易受到攻击。