云安全和风险减缓

很多企业的数据寄存在云端，而没有寄存在内部部署数据中心，但这其实不意味着可以不用负责其数据的安全性。

　　云计算技术固然具有一定的优点，但与任何大范围部署一样，采取云计算也可能面对没法预感的挑战。“云计算只是他人的数据中心”，这个概念让很多人感到困惑，由于这可能假定企业放弃安全责任，由于“他人会照顾它”。

　　云计算系统、网络和利用程序并不是实际位于企业的控制范围内，而是安全责任和风险的一种减缓。云计算基础设施提供商可以在设置运营环境的方式、放置的内容，如何保护数据，和如何监控环境方面实现大量控制。企业在全部环境中管理风险，并与现有安全框架保持一致是最重要的。

　　隐私和风险

　　针对欧盟发布的通用数据保护法规和美利坚合众国一些地区(亚利桑那州、科罗拉多州、加利福尼亚州和其他州)的类似政策，组织在保护云中的数据时面对更高的要求。其解决方案其实不像在数据中心安装数据丢失防护软件那末简单，由于企业现在具有很多不属于自己但仍需要可见性和控制权的服务、系统和基础设施。

　　同享或交换信息的云计算服务和基础设施也难以管理：那末谁具有服务级别协议?是不是需要一个控制台可以监控一切?DevOps迫使企业实行微分段，并调剂防火墙规则变更管理流程。另外，采取无服务器计算允许开发人员运行代码，而无需担心基础设施和平台，为组织提供了下降本钱和提高工作效力的方法。但是，如果没有处理虚拟私有云和工作负载部署，事情可能会失控，就会开始看到重要数据可能泄漏。

　　减缓

　　组织可以采取几个步骤来帮助下降在云中的数据风险。

　　1.设计保持一致。首先，将组织的云计算环境与网络安全框架保持一致。通常，组织将业务快速地迁移到云平台，以致于利用于其内部部署数据中心的安全控制措施可能不会行之有效的地迁移到云平台。另外，组织可以采取软件即服务(SaaS)利用程序(如Salesforce或Office 365)上的安全措施。但即便使用这些合法的业务利用程序，如果组织没有正确的数据，数据可能会丢失能见度和控制力。因此，这种情况下，使云计算提供商技术与网络安全框架和业务运营程序保持一致，可以实现高度安全、更高效率的云平台，从而提供更好的结果和成功的部署。

　　2.应当像对待局域网和数据中心那样对待云计算系统和网络。举例来看，亚马逊公司的同享责任模型概述了其安全责任从何处结束，和其安全责任从何处开始。虽然计算层存在要挟(正如人们在Meltdown、Foreshadow和Spectre中看到的那样)，最近的云计算数据泄漏事件已显示出组织安全责任领域的崩溃，即操作系统安全、数据加密和访问控制。如果组织有管理服务器配置、漏洞管理、修补、身份和访问管理、加密、分段、防火墙规则、利用程序开发和监控的标准，需要注意这些标准是不是适用于云计算服务，并且定期进行审核。

　　3.行之有效的的安全控制。很多组织通常会正告那些为了取得变通性和效力却接入不安全无线接入点的员工，提示他们注意安全。提供歹意检测和侵入防御系统功能的无线控制器有助于控制这类行动。经过云计算技术，员工可以针对需要设置云计算存储账户、无服务器计算环境和虚拟专用网络，以免繁琐的变更控制程序，下降本钱，并取得类似的变通性和效力。经过重新架构传统网络调剂数10年前的流程和程序，实行云计算代理或云计算访问安全代理(CASB)技术，并将其与强盛的端点安全控制和行之有效的的意识活动相结合，组织可以提供这类级别的变通性和效力，但依然可以提供数据保护。

　　4.密切关心。网络安全运营中心(CSOC)不再仅仅关心本地网络和数据中心。安全运营中心(CSOC)使用的运营监控程序、要挟搜索、情报和事件响应也适用于组织数据所在的云计算环境。监控组织数据可能驻留的SaaS利用程序具有挑战性，但可使用行之有效的的端点安全性和云计算访问解决方案(CASB和代理)的监控来完成。对无服务器环境，针对组织的网络安全运营中心(CSOC)要求，这可能意味着第3方监控平台或解决方案的利用超越云计算提供商提供的范围。在所有情况下，事件记录和触发器都需要反馈到网络安全运营中心(CSOC)以便与本地事件数据、分析和要挟情报相干联。

　　由于可用的云计算服务，组织难以管理风险。从“尽一切努力完成工作”到“做对企业有益的事情”的文化转变需要大量的调和努力和时间，但其本源在于安全成为业务推动者。

　　如果需要继续保护业务，组织必须在技术决策中包括安全性，并且其安全性必须了解业务需求和技术变化才能成为推动者。为了帮助禁止员工自己寻求技术问题解决方案，IT团队和安全团队必须开发他们的资产和功能，以提供速度和便利，或需要不断努力跟上这类需求。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。