企业想使用基于云的服务和应用;但是,安全团队需要评估风险,并且提出适用于云环境的控制方案。听起来很简单,对吧?然而,保护云资产带来了数不清的挑战——因为云供应商缺少透明度,控制方案无法天生适应云环境。并且最常见的忧虑之一正是CISO所关注的:为业务里更多的云风险制定所有权。
CISO尽力应对很多安全责任,包括审查技术性项目团队,并且沟通云风险以及可能需要说服其他执行官和董事会成员。不幸的是,常见的误解是信息安全组织“负责”IT项目的风险,无论是本地项目还是云项目。对于那些尝试更为灵活能够适应快速变更以及具有挑战的业务需求的CIO来说,在和其他利益相关人讨论云供应商,安全控制和部署场景时,很容易就会忽略这些问题。
是安全官们站出来控制风险评估相关的探讨,并且完成审核的时候了。这样业务所有人才能够实际理解提出的云风险并且为之负责——而不是由信息安全组织来负责。
1.成熟的风险评估
在很多公司里——至少,在我工作的公司里,安全团队仍然挣扎着开发并且实现成熟的风险评估,以及审核云项目的流程。原因有很多——安全团队没有足够的资源,管理层漠不关心,对变化反应很慢,从DevOps团队回推回来等等。从供应商管理那里买入和采购团队,让法务团队参与,这些对于正确评估合同风险至关重要。安全官们必须平衡输入和所有团队的参与,提供云风险相关的客观建议。确保商业领导者理解如下几点很重要:
将资产挪到云上并不会免除公司保护自己系统,应用程序和数据的责任。
在披露云控制以及内部安全实践和流程里,云供应商并不是完全透明的。任何风险相关的讨论,以及对某些风险的接受,都必须警告所有利益相关人,他们很可能会需要基于受限的信息做出决策。
在进行任何云部署之前,都需要仔细审核合规需求,并且这要求额外的资源和时间。另外,对于受合规以及监管法则管控的数据,任何选中的云供应商必须能够满足所有这些必需的需求。
法务和供应商管理团队需要仔细审核所有合同语言,这也要求额外的资源和时间。任何新的云服务供应商需要在业务部门签署应用程序和服务合同之前彻底地仔细检查。
很有可能并非所有内部的安全控制和流程都能在云环境里工作,这可能会危害到合规状态,或者显著增加云风险。
要想创建出和当前内部安全状态同等的安全条件,很可能需要额外的产品和服务。审核所有可选的方案需要时间和资源,很可能需要额外花费来确保云上的覆盖率。这些花费还需要适应云团队建议的财务和定价预测。
2.云安全策略
在任何公司里,董事会和CEO会最终负责新的IT项目带来的任何风险,并且会对决策带来的任何违反或者妥协场景负责任。但是,安全官们必须确保业务领导者意识到他们实际上在做什么,并且对这些风险负责。通常的看法是数据保管人——通常是IT团队,负责新项目期间导致的云风险。解除这样误解的最佳起点是开发出包含下面几点的全面的云安全策略:
清晰定义高层执行官:没有高层执行官或者组织,云策略很可能就得不到在公司内贯彻执行所需的足够支持。云安全策略还必须包括一些声明,比如谁会“签发”云供应商。是CIO吗?
数据类型和分类,明确哪些能够放在云上哪些不能,或者首先需要什么样的控制或额外度量。
需要解决的合规要求,如果有的话。
CISO必须确保对云计算服务的使用符合当前现有法律的要求;符合IT安全最佳实践、标准和需求;符合风险管理策略。这也适用于隐私法规和规范。确保执行官或者团队显式签署所有云计算的使用也很重要,并且他们要接受到文档化的云风险评估结果的通知。直到流程在公司内被接受,云项目的真正风险负责人才不会出错——需要负责的是资深执行官和数据所有者。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
信息安全度量:什么是云要收集的
CISO需要知道云安全性能的真实数据。因为C级别的高管和董事会会一直问安全管理者风险暴露相关的问题——“我们需要多高级别的安全?我们距离满足合规要求还有多少距离?”
-
云就绪应用业务风险了解
向云端迁移应用看起来似乎很简单,人们很难抵御云的弹性和诱惑力。与其它类IT一样,决策的开始与结束都伴随着风险因素。
-
评估云的优势、云的风险及部署建议
云计算改变了企业利用IT资源的方式,同时,基础设施和应用程序的外部化也给企业增加了风险。
-
云计算需要注意规避的五大云风险
公共云计算应用的最大障碍之一是便是所有未知、已知领域的额外风险计算,云计算实施时都会有哪些风险?