云安全优先事项和企业安全协同作用

安全
首席信息安全官必须优先识别数据安全和安全监控工作,并努力跨企业IT、SaaS、PaaS和IaaS构建“单窗格视图”。

根据ESG的研究显示,63%的中端市场(即拥有250至999名员工的企业),以及大型企业(员工超过1000余人)目前正在使用软件即服务(SaaS),33%使用基础设施即服务(IaaS),以及27%使用平台即服务(PaaS)。此外,72%的企业正计划在今年提高云计算的开支。

[[117593]]

云计算部署中是否也存在安全风险?安全专家对此相当关注。在最近的ESG研究调查中,信息安全专业人士指出了几个云计算安全风险:

· 33% 的企业安全专业人士表示,缺乏对用于内部使用的IT资源相关的安全操作的直接控制。

· 31% 的企业安全专业人士表示,对由云计算基础设施供应商存储和/或处理的敏感数据和/或监管数据的隐私关注。

· 29%的企业安全专业人士表示,缺乏对云安全基础设施的安全可视性。

· 28%的企业安全专业人士表示,破坏云服务供应商的基础设施的安全泄漏事故。

· 27%的企业安全专业人士表示,在云服务提供商方面糟糕的信息安全做法。

这些安全担忧显然是合理的,企业也许会更加谨慎,但却并没有做出什么实际改进。

对于想要利用SaaS、IaaS和PaaS用于金融行业和获取商业利益的企业,安全专家必须想出一种办法来让企业在这样做的同时,确保不会带来任何不好的IT风险。

那么,我们应该怎么做呢?在IT控制正在减弱的时代,首席信息安全官必须更好地控制他们能控制的事物。在笔者看来,这可以归结为几个关键的优先领域:

1. 识别。 无论应用程序和数据在哪里,企业都必须知道谁正在访问这些资源,他们在使用何种设备,用户的位置。他们还需要不断地更新这些信息。在任何情况下,企业都应该确保这种监督水平,这意味着企业需要知道具体用户(员工或第三方)、具体设备、具体网络位置、具体时间日期等。此外,我们还需要业务背景,例如我们需要知道John Smith正在试图从公共网络访问财务数据,以及奇怪的IP地址、MAC地址和DNS查询。对于Centrify、ForgeRock、Okta、Ping以及McAfee、微软等公司而言,将这种识别带入到云应用程序是一个巨大的机会。

2. 数据。 网络攻击者可以发起DDoS[注]攻击来获取IT资产,但大多数攻击都是瞄准目标本身。因此,我们需要知道数据的位置、重要程度,以及谁在对数据做什么。这是CloudLock、Ionic Security、赛门铁克、Varonis、Verdasys和Vormetric等公司的领域。

3. 可视性。 作为首席信息安全官(+本站微信networkworldweixin),你需要了解一切,你的内部网络在发生什么,端点在发生什么,云计算在发生什么等。此外,你还需要从不同角度获取内部和外部的态势感知。例如,如果你想要了解你的业务合作伙伴以及云计算供应商相关的风险。与此同时,随着工作负载从服务器到服务器跨内部和云供应商网络移动,你想要锁定日志数据、web会话和网络数据包,你还想要获取威胁情报来预测内部IT、整个行业或云供应商合作伙伴的情况,你会想要中央的命令和控制。

还有一个比这三个方面更重要的领域。管理现在的IT安全需要对所有IT资产、网络、传输的一致的完整的控制,无论它们位于企业内部还是云计算中。这可能需要一种联合的方法或者跨整个网络的单窗格视图,但作为首席信息安全官,你需要对一切事物的综合可视性。

毫无疑问,在未来云计算将会成为主导,但现在大多数企业仍然有很多内部资源。连接内部资源和云计算环境将会是成功的关键,聪明的首席信息安全官将会尽可能地构建更少的连接,并专注于弥合其最重要的监督和可视性方面的差距。(邹铮编译)

责任编辑:蓝雨泪 来源: 网界网
相关推荐

2021-12-27 10:15:38

CISO安全团队安全优先事项

2024-02-29 17:42:18

2021-01-28 17:25:38

安全优先事项安全威胁网络安全

2022-11-10 10:54:24

2021-08-26 15:03:11

SASEWAN安全架构

2023-07-13 14:27:39

2022-02-17 10:31:42

云安全IT漏洞

2020-10-26 10:37:25

边缘计算

2021-01-29 10:36:29

云安全云计算网络安全

2019-04-08 16:10:42

2022-03-29 13:35:40

云安全云计算公有云

2019-07-30 16:16:01

网络安全IaaS云计算

2013-08-02 09:48:59

私有基础架构私有PaaS公有PaaS

2015-09-08 10:14:58

云安全云安全防护企业云

2022-01-22 07:38:33

安全威胁IBM零信任

2013-09-12 09:20:45

云安全审计云安全审计

2016-10-26 20:16:31

云安全云计算云供应商

2020-07-02 10:40:08

物联网安全技术

2012-07-02 09:14:41

云安全云计算数据安全
点赞
收藏

51CTO技术栈公众号