Intel Security针对云计算部署的***研究给企业同时带来了好消息和坏消息。好消息是,根据对1200多名IT决策者的调查显示,云技术相关的数据泄露事故发生频率很低。但坏消息是,这些决策者称迁移挑战是他们面临的最常见问题。从安全的角度来看,当转移工作负载和数据到云计算时肯定会有挑战,无论是从内部数据中心到云还是从云提供商到另一个云提供商。
***个云迁移挑战是确保根据政策和数据分类要求只有适当类型的数据迁移到云端。很多企业发现敏感数据出现在云端,而他们并没有计划将其放在云中,这通常是因为与项目团队缺乏沟通或者缺乏对风险的了解,或两者皆有。在Intel Security的报告中援引了SANS的调查,40%的受访者称他们在云中存储或处理敏感数据。而另外60%没有这样做的受访者称,需要制定政策来明确哪些数据可迁移到云中,而哪些数据不可用。
很多企业可能面临的另一个云迁移挑战是认识到并非所有云服务提供商提供相同的服务和功能,并且,供应商锁定非常可能发生。在项目团队在特定云服务提供商内构建基础设施后,转移特定格式的数据和系统到其它环境可能非常困难,如果说不是不可能的话。同时,从云环境导出数据也可能很困难,这里有两个原因:首先,从云服务提供商检索非常大量的数据可能需要合同中有特别处理的规定,还可能需要运输存储硬件到提供商来传输。其次,数据的格式可能与其他提供商或者内部系统及应用不兼容。这是必须解决的问题,才能确保所有数据可以企业可处理的格式导出。
在云数据迁移之前,安全团队应该花时间来评估当前内部使用的安全控制,然后将其与云服务提供商环境中可用选项进行比较。有些安全控制在云服务提供商环境不可用,如果这些空白没有填补或者适当处理,这可能导致云环境部署缺乏关键安全控制。当云环境中的安全控制无法匹配企业目前的安全控制,这可能导致数据泄露和违反合规。
混合云允许用户在内部存储部分数据,但对于云数据迁移,哪种***呢?分析师Mike Matchett介绍了如何作出决定。
云迁移挑战的另一个大问题是:缺乏尽职调查以适当评估服务提供商及其安全功能和态势。大多数有信誉的提供商会提供SSAE 16 SOC 2,有些提供更深入的报告--侧重ISO 27001或者PCI DSS或HIPAA等合规要求。供应商管理、法律和安全及合规团队应该要求云服务提供商回答安全调查问卷,并确定该供应商的风险水平。很多企业选择依据云安全联盟的《共识评估倡议调查问卷》,有些提供商已经为此准备好答案。查看提供商的答案可了解很多主要安全挑战,例如加密密钥管理和访问、身份管理兼容性、可用的网络控制,以及云服务提供商是否能够满足租户的法律和取证要求。
对于缓解云迁移挑战的简单建议是:提前规划。企业应制定政策要求安全团队参与所有云计算项目,确定尽职调查程序,并确保不要选择任何控制缺失或存在数据兼容性问题的云服务。
