云风险评估:有了框架和标准更容易

日期:2017-5-5作者:Dave Shackleford翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

企业之中,云风险评估经常会半途而废,但是如果有了标准或框架,这一流程将会得到简化。Expert Dave讨论了一些可行的选项。

随着企业不断向云中迁移的速度加快,你可能很自然地就会想到安全和合规团队将会对所使用的云服务提供商和云服务进行深入的风险评估。可悲的是,事实并不想像那样。

Tenable Network Security最近发布了“2017全球网络安全保证报告卡”发现,云风险评估在全世界范围内,被认为是最大的企业安全漏洞之一。该报告显示,60%的受访者有能力执行云风险评估,但这一数字从前一年开始下降。另外,许多人对于他们的风险评估能力,以及容器化和DevOps 环境并不自信,这两者在当今企业的许多云部署方案中都起着关键作用。

许多企业为风险评估而努力有几个原因。首先,云部署涉及的一些技术较新,且演进比较快,导致多数情况下的具体安全控制和风险参数无法确定。此外,云提供商在不断地更新和改变他们的环境和服务产品,使得风险评估的确保成为了一个移动的标靶。再加上变化的合规性和监管环境,致使执行云为核心的风险评估更加让人生畏。

云风险评估没有进行的另一个原因,有可能是由于云安全技能短缺,更有可能是缺乏足够的人力来完成工作。

云风险评估框架

幸运的是,有几个组织正在努力创建和发布云风险评估框架和标准,企业风险团队可以利用这些机制来帮助指导和执行自己的风险分析工作。

欧洲网络和信息安全局(ENISA)发布了一个合理的风险评估框架,可用于确定涉及云的风险。

ENISA发布了两个文档——一个是一般的云信息保证框架,所有组件都需要评估云基础架构的安全性; 第二份文件是框架补充指南,提供了总体风险评估纲要。ENISA文档提供了云计算风险的主要类别,包括人员安全、物理安全、操作、应用程序保证等等。

可以帮助组织从安全角度评估云供应商环境的另一个指南是,云安全联盟(CSA)共识评估计划调查问卷。这一指南涵盖了许多与ENISA相同的领域,但也符合CSA Cloud Controls Matrix,并且比ENISA文档更新更频繁。

最后一个文档,可能会在规划云风险评估时发现可以用的上,它是来自于“共享评估”的“云风险”指南,该指南提出了与云风险审查有关的一些建议,但不像ENISA或CSA那样提供了可用的框架。

无论以哪个框架组织为起点——并且审查和使用不止一个参考和建议将更有优势,而安全和风险团队需要增强和修改这些指南,从而来满足自己独特的需求。

此外,这些指南对于混合云架构的内部控制具有较少的规定;相反,它们主要侧重于云提供商内部和/或向租户提供的控制。

要确保强调了数据安全控制,如加密和密钥管理、基于角色的访问控制和多因素身份验证、数据生命周期控制和法律请求,以及合同中的数据泄露通知。

最重要的是,确保要有一个治理计划,有助于在安全团队和其他业务利益相关者之间进行有关云风险的有意义的对话。 管理人员应该对云部署、对企业的潜在影响以及他们可用选项存在的风险有很好的了解。开发一个记录良好且可重复的云风险评估流程是实现此目标的最佳途径。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

云的数据保护>更多

技术手册>更多

  • 企业私有云选型完全手册

    虽然云计算发展的春天已经来临,但是众多企业仍然希望保持对IT环境和物理资源的控制。通常情况下,法律或法规会阻止企业实施从数据中心到公共云计算的转变。这就成全了私有云计算,它允许企业在本地管理硬件,同时又允许最终用户远程访问基础设施的下一个逻辑步骤。尽管每个IT环境都是独一无二的,但是对你的私有云计算项目实现从规划到投产有很多可供借鉴的最佳实践案例,其中包括选择正确的管理程序、软硬件以及合适的广域网和宽带技术。在这本技术手册中,我们将会关注企业私有云选型以及如何落地。

  • 检阅云计算工具

    虽然市场上有着数以百计的云计算解决方案供应商,但是作为用户的我们应当如何雾里看花找到真正满足我们需求的云计算产品与供应商?对云计算供应商进行分类对于更好地了解诸如应用程序迁移、自动化与监控等关键领域的领先厂商似乎并无裨益。

  • 电子书:十步构建私有云

    构建私有云并不是一项快速工程。始于理解企业环境对于云的期望和定义,继而在已经创建的模型上进行构架。要确保涵盖整个组织、其所有的流程以及构建云计算的技术。下面是构思、搭建和维护私有云的十大步骤。

  • 云计算网络安全电子书

    不管你选择软件即服务、平台即服务还是基础架构即服务,有一件事是不可避免的:你需要良好的、可靠的网络连接到云。 网络很可能成为一个障碍,因为云大大改变了网络的作用以及与之配套的硬件和软件。在这本技术手册中,我们将主要介绍云网络安全的相关内容。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心