随着第三方云服务逐渐普及,企业必须重新考虑自己的安全战略。Neohapsis安全专家探讨了在制定云安全政策时应该考虑的问题。
企业现在可以将关键任务应用外包到公有云中,这是否意味着IT和网络安全管理员必须“割让”数据和网络安全的责任呢?完全不是这样。无论企业将多少基础设施和多少网络服务和业务应用程序转移到云中,信息和网络的最终责任仍然落在企业自己身上。这也是为什么企业需要精心制定云安全政策的原因。
不幸的是,根据Ponemon研究机构2013年端点状态调查现实,尽管云服务在兴起,只有40%的企业有正式的集中的云安全政策。这为管理员提供了充足的机会来加紧锁定其公司的数据和网络。笔者最近采访了安全服务供应商Neohapsis的首席安全顾问,他谈到了企业应该如何更有效地保护其云计算部署。
制定云安全政策时应该考虑的关键问题
对于企业来说,云安全政策仍然是头痛的事情,Hazdra表示:“在事故发生后,企业才会意识到,我们没有想到这样的事情会发生。”理想情况下,企业应该在部署云之前就创建自己的云安全政策。Hazdra谈到了企业应该考虑的几个问题。
在这些问题中,重要的问题是企业是否有明确的数据分类政策。企业拥有的敏感数据越多,这个问题就更加重要,特别是在受到严格监管的行业,例如医疗保健和金融服务公司。数据分类将帮助企业防止数据中心内重要数据的意外上传,这还可以帮助保护在网络服务中穿行的数据。例如,Rackspace提供客户端的方式来控制哪些类型的流量可以穿过虚拟网络的哪些路径,但企业首先需要对流量进行分类。
除了数据分类,企业可能还有其他政策可以应用到云计算部署中。可接受的使用政策就是一个典型的例子。企业是否将允许用户访问他们自己设备上的云托管的企业数据?如果是这样的话,企业是否部署了基础设施来管理这些设备?在确定现有政策与新的云政策重叠的地方,请检查企业所考虑的云技术供应商是否有符合你的政策。Hazdra表示:“如果云供应商没有企业想要的任何政策或控制,就需要考虑这个供应商是否适用于本企业。”
企业还要考虑允许将数据存放在什么位置。数据的物理位置涉及法律和隐私问题。云服务供应商能否将企业的数据移到外面?国外?供应商是否能同意将企业的数据保持在特定数据中心?如果供应商政策不满足企业的所有要求,那么企业的哪些数据应该保持在企业内部?从这些问题来看,数据分类很重要。
最后,对于企业放到云计算中的数据,需要从云供应商得到怎样的安全保证?当涉及SaaS时,这个问题尤其重要,Hazdra表示,“软件开发人员一直在努力提高其程序的性能,有时候可能与良好的安全性有冲突。有时候,开发人员被允许关闭安全功能来实现所需的性能水平。企业需要决定安全和性能的优先级。”企业可能需要确定性能的提高是否值得付出安全性降低的代价。重要的是,企业需要确定优先级,以及确保云供应商的政策符合企业的期望。
如果企业现在正在考虑制定完全的云安全政策,需要想一想将授权或批准哪些人来审核与云供应商的协议。Hazdra表示:“可能有专业人士(例如医生、牙医和律师)使用云服务用来存储,以便他们可以从家里方便地访问其工作文件。”这将让个别员工的工作更轻松,但也将让企业数据处于风险之中。指定特定位置来为工作用途设置云服务,并考虑违反政策后的具体后果。
云安全:谁该负责?
上述问题把我们带到云安全讨论的核心问题:对于云中的数据的安全,最终是谁负责?一部分责任可能在于云服务供应商,而其中更多的责任在SaaS供应商,IaaS供应商承担更少的责任。
然而,归根结底,对于他们自己的信息,企业必须承担责任,无论谁在处理这些信息。如果你在寻找基础设施供应商,就必须确保供应商能履行其承诺,无论是通过成绩、检查还是与云供应商讨论具体细节。随着企业转移到SaaS中,执行可接受使用、隐私、加密和数据挖掘政策仍然是企业的责任。CIO们还必须确保云供应商遵循他们自己的政策。
云计算的兴起无疑将改变网络和IT安全管理员的角色,但云计算并不会完全消除他们的工作。随着时代的变化,企业的政策也必须变化。提出正确的问题以确保这些政策的适用性。