混合雲安全的8個關鍵考慮因素

關鍵訊息，D1時間送達！

採用混合雲可以加強組織的安全態勢，而不是削弱。但這並不意味著改進的安全性就是一種默認設置。雖然隨著雲計算技術的成熟，企業對其安全的擔憂正在下降，但安全仍然是組織需要面對和管理的持續挑戰。而混合雲環境帶有其自身特定的安全考慮因素。

採用混合雲可以加強組織的安全態勢，而不是削弱。但這並不意味著改進的安全性就是一種默認設置。雖然隨著雲計算技術的成熟，企業對其安全的擔憂正在下降，但安全仍然是組織需要面對和管理的持續挑戰。而混合雲環境帶有其自身特定的安全考慮因素。

國際信息安全學習聯盟（CISA）的註冊信息系統安全專家（CISSP）

Christopher Steffen說，「混合雲環境是動態和複雜的，由於多個終端用戶從多個地點訪問多個環境而變得更加複雜。」Steffen是Cyxtera公司的技術總監，Cyxtera公司最近收購了Steffen之前任職的安全產品提供商Cryptzone公司。

Steffen和其他安全專家討論了企業的首席信息官及其團隊在保護混合雲環境時必須牢記的關鍵問題。企業需要優先考慮以下八項關鍵要素：

1.企業確保具有完整的可視性

CBI公司戰略計劃副總裁、網路安全資深專家J. Wolfgang Goerlich指出，在IT行業中，很多首席信息官和其他IT領導者經常在他們的環境中存在盲點，或者他們在他們的內部部署的基礎設施的認識方面過於狹隘。

既然企業及其最終用戶可以使用數百個基於雲計算的應用程序，並且多個部門可以在基礎設施即服務平台上創建自己的虛擬伺服器，那麼跨私有雲、公共雲和傳統基礎設施的完整可見性就是必須的。Goerlich說，缺乏可見性會給企業帶來更大的安全風險。

2. 每一個資產都需要擁有者

如果企業缺乏全方位的可見度，那麼有可能缺乏所有權。企業的每一個混合雲設施都需要一個擁有者。

Goerlich說：「IT安全的一個關鍵原則是需要一個擁有者，確認每個資產，並讓擁有者負責對資產的最小許可權和責任分工。缺乏可見度會導致缺乏所有權。這意味著，在通常情況下，混合雲環境具有鬆散定義的訪問控制，並且往往沒有職責分離。過度的許可將會帶來風險，而沒有擁有者的風險是未解決的風險。」

3.混合雲？嘗試混合安全

IT越來越成為企業整體業務戰略的驅動力，而不僅僅是服務企業，混合雲模式已經成為推動這一轉變的推動者。以類似的方式，現代IT需要重新思考一些舊的安全模式，例如混合安全。

Biscom公司首席執行官Bill Ho說，「關於安全性的戰略不斷發展，許多企業正在採用混合方法來為他們的安全基礎設施建立更多的層次和深度。」企業的某些安全技術可能駐留在本地部署的數據中心，而另一些則在企業網路之外運行更有意義。

Bill Ho解釋說，「企業有很多的理由需要內部部署安全工具和應用程序，例如桌面防病毒、DLP、防火牆以及IDS/IPS系統。」其中一些作為雲計算服務提供，有些則具有雲中的組件，而應用程序或應用程序則在本地部署的數據中心中運行。一些服務最好在雲端處理，比如幫助減輕DDoS攻擊的服務。

4.安全性和合規性：連接但不一樣

Steffen表示，「企業可能在沒有合規的情況下擁有安全感，但是如果沒有出現安全問題，那麼人們可能永遠不會遵守監管法規。人們不要將安全性和合規性這二者混為一談，特別是當企業正在遷移到混合雲模型時，應該將合規性視為企業雲安全策略的一個重要但獨立的部分。

在混合雲或多雲環境中的合規性不一定是雲應用的障礙。事實上，許多內部控制可以交叉應用到企業的雲環境中。但是，企業了解雲計算提供商使用的現有控制措施，以及它們如何與企業現有控制系統相關聯是非常重要的。」

Steffen補充道，「這可能是企業需要進行一些小規模的程序變更，才能遵守雲計算提供商使用的控制措施。但這也可能意味著企業以前的安全戰略發生根本性轉變。在選擇雲計算提供商或安全供應商之前執行合規控制評估是必須的。」

5.企業的工具和其他供應商集成在一起嗎？

Steffen表示：「特定的雲計算提供商和他們正在使用的安全工具如何與企業使用的工具集成？有很多工具可以很好地集成在一起，但是如果企業使用的安全工具集與外界不兼容，那麼可能會很麻煩，可能需要尋找可與其他平台配合的平台和工具。因此，雲計算提供商和安全供應商應提供與現有本地平台和工具的簡單集成。」

6.企業需要了解自己的供應商

Steffen關於合規性和集成的建議給出一個提醒，企業保護其混合雲環境在很大程度上取決於企業對所使用的平台的了解和理解。

Biscom公司首席執行官Bill Ho說，強大的雲計算供應商實際上可以提供內部IT安全團隊可能缺乏的專業知識。例如，他們可能會更好地實時監控潛在威脅，例如零日攻擊。但這顯然並不是給定的。

Bill Ho說，「與任何雲計算服務一樣，企業需要審核其提供商的資質。需要調查他們的認證，了解提供商的政策，了解開放企業網路的風險，並審查流程報告，例如SOC 2 Type II報告。」

7.混合模型的擴展通信

Goerlich說：「混合雲帶來了對通信方面的可擴展性問題。這又一次是缺乏可見性和所有權的副產品，並且在使用多雲和多供應商策略的組織中尤其如此。」

清晰的溝通是強有力的安全態勢的重要組成部分，特別是在涉及新的漏洞或攻擊事件時。這是企業IT領導者需要充分解決的一個領域，不僅在內部部署，而且還包括供應商和其他第三方。

8. 進行持續的風險評估

企業從一開始就建立一個安全首要的混合雲環境是很好的第一步，但它仍然只是第一步。 Goerlich指出，保護動態混合雲環境需要持續的風險評估。

「組織識別漏洞和安全問題的另一種方法是通過風險評估，」Goerlich說。

他列舉了三個例子：

?供應商風險管理就像正在進行的盡職調查一樣，「可以突出顯示哪些供應商提供哪些服務，然後查詢這些供應商的安全計劃。」

?軟體組合分析可以「突出顯示代碼中的哪些第三方資料庫可能會危害企業構建的應用程序。」

?技術漏洞評估和滲透測試可「進一步了解當前的安全狀況。由於混合雲技術組織依賴的範圍和規模，如今必須以分段的方式完成。」

保持安全性增長

隨著企業的混合雲策略不斷增長，企業的安全規劃也應隨之變化。

「企業需要知道自己擁有什麼，知道誰擁有它，誰可以訪問它，有明確的溝通渠道，將其分解成細分市場，並進行風險評估。」 Goerlich說：「一次做好一件事，企業可以通過專註於最重要的技術，即支持關鍵業務戰略和功能的技術，並取得成功。隨著混合雲擴展企業消費的技術，企業的領導者也必須擴大安全領域的優先順序和協作。」

版權聲明：本文為企業網D1Net編譯，轉載需註明出處為：企業網D1Net，如果不註明出處，企業網D1Net將保留追究其法律責任的權利。

(來源：企業網D1Net)

企業網D1net已推出企業應用商店（www.enappstore.com），面向企業級軟體，SaaS等提供商，提供陳列，點評功能，不參與交易和交付。現可免費入駐，入駐後，可獲得在企業網D1net 相應公眾號推薦的機會。歡迎入駐。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！