根据ESG的研究显示,63%的中端市场(即拥有250至999名员工的企业),以及大型企业(员工超过1000余人)目前正在使用软件即服务(SaaS),33%使用基础设施即服务(IaaS),以及27%使用平台即服务(PaaS)。此外,72%的企业正计划在今年提高云计算的开支。
云计算部署中是否也存在安全风险?安全专家对此相当关注。在最近的ESG研究调查中,信息安全专业人士指出了几个云计算安全风险:
· 33% 的企业安全专业人士表示,缺乏对用于内部使用的IT资源相关的安全操作的直接控制。
· 31% 的企业安全专业人士表示,对由云计算基础设施供应商存储和/或处理的敏感数据和/或监管数据的隐私关注。
· 29%的企业安全专业人士表示,缺乏对云安全基础设施的安全可视性。
· 28%的企业安全专业人士表示,破坏云服务供应商的基础设施的安全泄漏事故。
· 27%的企业安全专业人士表示,在云服务提供商方面糟糕的信息安全做法。
这些安全担忧显然是合理的,企业也许会更加谨慎,但却并没有做出什么实际改进。
对于想要利用SaaS、IaaS和PaaS用于金融行业和获取商业利益的企业,安全专家必须想出一种办法来让企业在这样做的同时,确保不会带来任何不好的IT风险。
那么,我们应该怎么做呢?在IT控制正在减弱的时代,首席信息安全官必须更好地控制他们能控制的事物。在笔者看来,这可以归结为几个关键的优先领域:
1. 识别。 无论应用程序和数据在哪里,企业都必须知道谁正在访问这些资源,他们在使用何种设备,用户的位置。他们还需要不断地更新这些信息。在任何情况下,企业都应该确保这种监督水平,这意味着企业需要知道具体用户(员工或第三方)、具体设备、具体网络位置、具体时间日期等。此外,我们还需要业务背景,例如我们需要知道John Smith正在试图从公共网络访问财务数据,以及奇怪的IP地址、MAC地址和DNS查询。对于Centrify、ForgeRock、Okta、Ping以及McAfee、微软等公司而言,将这种识别带入到云应用程序是一个巨大的机会。
2. 数据。 网络攻击者可以发起DDoS[注]攻击来获取IT资产,但大多数攻击都是瞄准目标本身。因此,我们需要知道数据的位置、重要程度,以及谁在对数据做什么。这是CloudLock、Ionic Security、赛门铁克、Varonis、Verdasys和Vormetric等公司的领域。
3. 可视性。 作为首席信息安全官(+本站微信networkworldweixin),你需要了解一切,你的内部网络在发生什么,端点在发生什么,云计算在发生什么等。此外,你还需要从不同角度获取内部和外部的态势感知。例如,如果你想要了解你的业务合作伙伴以及云计算供应商相关的风险。与此同时,随着工作负载从服务器到服务器跨内部和云供应商网络移动,你想要锁定日志数据、web会话和网络数据包,你还想要获取威胁情报来预测内部IT、整个行业或云供应商合作伙伴的情况,你会想要中央的命令和控制。
还有一个比这三个方面更重要的领域。管理现在的IT安全需要对所有IT资产、网络、传输的一致的完整的控制,无论它们位于企业内部还是云计算中。这可能需要一种联合的方法或者跨整个网络的单窗格视图,但作为首席信息安全官,你需要对一切事物的综合可视性。
毫无疑问,在未来云计算将会成为主导,但现在大多数企业仍然有很多内部资源。连接内部资源和云计算环境将会是成功的关键,聪明的首席信息安全官将会尽可能地构建更少的连接,并专注于弥合其最重要的监督和可视性方面的差距。(邹铮编译)
