云计算场景:云风险所有责任尚不清晰

日期:2017-1-4作者:Dave Shackleford翻译:崔婧雯 来源:TechTarget中国 英文

云计算场景   云风险   CISO   

【TechTarget中国原创】

企业想使用基于云的服务和应用;但是,安全团队需要评估风险,并且提出适用于云环境的控制方案。听起来很简单,对吧?然而,保护云资产带来了数不清的挑战——因为云供应商缺少透明度,控制方案无法天生适应云环境。并且最常见的忧虑之一正是CISO所关注的:为业务里更多的云风险制定所有权。

CISO尽力应对很多安全责任,包括审查技术性项目团队,并且沟通云风险以及可能需要说服其他执行官和董事会成员。不幸的是,常见的误解是信息安全组织“负责”IT项目的风险,无论是本地项目还是云项目。对于那些尝试更为灵活能够适应快速变更以及具有挑战的业务需求的CIO来说,在和其他利益相关人讨论云供应商,安全控制和部署场景时,很容易就会忽略这些问题。

是安全官们站出来控制风险评估相关的探讨,并且完成审核的时候了。这样业务所有人才能够实际理解提出的云风险并且为之负责——而不是由信息安全组织来负责。

1.成熟的风险评估

在很多公司里——至少,在我工作的公司里,安全团队仍然挣扎着开发并且实现成熟的风险评估,以及审核云项目的流程。原因有很多——安全团队没有足够的资源,管理层漠不关心,对变化反应很慢,从DevOps团队回推回来等等。从供应商管理那里买入和采购团队,让法务团队参与,这些对于正确评估合同风险至关重要。安全官们必须平衡输入和所有团队的参与,提供云风险相关的客观建议。确保商业领导者理解如下几点很重要:

将资产挪到云上并不会免除公司保护自己系统,应用程序和数据的责任。

在披露云控制以及内部安全实践和流程里,云供应商并不是完全透明的。任何风险相关的讨论,以及对某些风险的接受,都必须警告所有利益相关人,他们很可能会需要基于受限的信息做出决策。

在进行任何云部署之前,都需要仔细审核合规需求,并且这要求额外的资源和时间。另外,对于受合规以及监管法则管控的数据,任何选中的云供应商必须能够满足所有这些必需的需求。

法务和供应商管理团队需要仔细审核所有合同语言,这也要求额外的资源和时间。任何新的云服务供应商需要在业务部门签署应用程序和服务合同之前彻底地仔细检查。

很有可能并非所有内部的安全控制和流程都能在云环境里工作,这可能会危害到合规状态,或者显著增加云风险。

要想创建出和当前内部安全状态同等的安全条件,很可能需要额外的产品和服务。审核所有可选的方案需要时间和资源,很可能需要额外花费来确保云上的覆盖率。这些花费还需要适应云团队建议的财务和定价预测。

2.云安全策略

在任何公司里,董事会和CEO会最终负责新的IT项目带来的任何风险,并且会对决策带来的任何违反或者妥协场景负责任。但是,安全官们必须确保业务领导者意识到他们实际上在做什么,并且对这些风险负责。通常的看法是数据保管人——通常是IT团队,负责新项目期间导致的云风险。解除这样误解的最佳起点是开发出包含下面几点的全面的云安全策略:

清晰定义高层执行官:没有高层执行官或者组织,云策略很可能就得不到在公司内贯彻执行所需的足够支持。云安全策略还必须包括一些声明,比如谁会“签发”云供应商。是CIO吗?

数据类型和分类,明确哪些能够放在云上哪些不能,或者首先需要什么样的控制或额外度量。

需要解决的合规要求,如果有的话。

CISO必须确保对云计算服务的使用符合当前现有法律的要求;符合IT安全最佳实践、标准和需求;符合风险管理策略。这也适用于隐私法规和规范。确保执行官或者团队显式签署所有云计算的使用也很重要,并且他们要接受到文档化的云风险评估结果的通知。直到流程在公司内被接受,云项目的真正风险负责人才不会出错——需要负责的是资深执行官和数据所有者。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云计算之管理>更多

  • 如何使用Azure API管理服务?

    在云和微服务架构时代,API是数字化业务的通用语言。根据分析公司Forrester Research预测,仅在美国,API管理工具的支出将在未来5年内达到近30亿美元。

  • 逐条讲解:云计算中的容器技术

    在如今,在讨论云时是很难不提及容器技术的。无论你是刚刚入门的技术新人或者经验丰富的专业人士,一定都应当知道这些与云中容器技术相关的重要术语。

  • 发挥你数据存储专家的价值

    看上去所有人都在试图消灭存储管理员。如果通用的虚拟管理员能够管理存储,或者云可以负责这一切,为什么不这么做?

  • HPE云收购Cruiser:揭示IT离不开云成本管理工具

    Hewlett Packard Enterprise已正式关闭自己的公有云IaaS产品,但IT专业人员要知道它并未退出公有云游戏。

相关推荐

  • 信息安全度量:什么是云要收集的

    CISO需要知道云安全性能的真实数据。因为C级别的高管和董事会会一直问安全管理者风险暴露相关的问题——“我们需要多高级别的安全?我们距离满足合规要求还有多少距离?”

  • 云就绪应用业务风险了解

    向云端迁移应用看起来似乎很简单,人们很难抵御云的弹性和诱惑力。与其它类IT一样,决策的开始与结束都伴随着风险因素。

  • 评估云的优势、云的风险及部署建议

    云计算改变了企业利用IT资源的方式,同时,基础设施和应用程序的外部化也给企业增加了风险。

  • 云计算需要注意规避的五大云风险

    公共云计算应用的最大障碍之一是便是所有未知、已知领域的额外风险计算,云计算实施时都会有哪些风险?

技术手册>更多

  • 云数据安全防御手册

    当云计算、云存储逐渐走入人们的工作生活时,企业在把资源迁移到云端时,不得不为其资产的安全而担忧,如何确保数据安全,他们要采取怎样的措施才能避开云中数据的泄漏,保证数据安全?

  • 避免云厂商锁定秘技

    厂商锁定问题不仅给企业产生的巨大的额外成本,对于企业来说还业务管理的灵活性,扩展性也大大降低。基于种种问题,IT管理人员频繁地使用云服务,以此作为摆脱厂商锁定的一种方式。但如何真正避免厂商锁定,一直都是用户在思考的问题。

  • 云计算与数据保护:云计算加密教程

    云计算和数据保护是非常棘手的一项工作。当企业把服务迁移至云计算时,由于失去了对其敏感数据的控制而只能依赖于云计算服务供应商来确保数据的安全性,他们往往会为此担惊受怕。本云计算数据保护教程选自SearchCloudSecurity.com以及专家技术文章。它对如何在云计算中保护数据提出了建议,并可作为云计算加密技术的使用指南。在教程中,我们讨论了云计算加密的意义、介绍了实施云计算加密的挑战以及若干使用案例。

  • 亚马逊Web服务功能概览手册

    根据Gartner去年后半年发布的报告来看,目前为止,亚马逊Web服务(AWS)仍旧是基础架构即服务(IaaS)世界的主宰者。AWS系统化的解决了主流企业应用面临的问题,2013年的确很精彩,竞争者不断逼近,但是AWS仍旧占据绝对优势。AWS现在对于开发合作伙伴生态环境想法多多。市场上有个特别有意思的比喻,说“亚马逊就是金刚,但是现在是金刚和他的小伙伴们。”现在基本上所有的主要的IT服务提供商和主要IT厂商都是充满了吸引力的合作伙伴候选。现在很多客户也认为如果你有一个精通AWS技能的人才,做事情就会快得多,在云端也会更加如鱼得水。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心