企業現在可以將關鍵任務應用外包到公有云中,這是否意味著IT和網絡安全管理員必須“割讓”數據和網絡安全的責任呢?完全不是這樣。無論企業將多少基礎設施和多少網絡服務和業務應用程序轉移到云中,信息和網絡的最終責任仍然落在企業自己身上。這也是為什么企業需要精心制定云安全政策的原因。
根據Ponemon研究機構2013年端點狀態調查現實,盡管云服務在興起,只有40%的企業有正式的集中的云安全政策。這為管理員提供了充足的機會來加緊鎖定其公司的數據和網絡。筆者最近采訪了安全服務供應商Neohapsis的首席安全顧問,他談到了企業應該如何更有效地保護其云計算部署。
制定云安全政策時應該考慮的關鍵問題
對于企業來說,云安全政策仍然是頭痛的事情,Hazdra表示:“在事故發生后,企業才會意識到,我們沒有想到這樣的事情會發生。”理想情況下,企業應該在部署云之前就創建自己的云安全政策。Hazdra談到了企業應該考慮的幾個問題。
在這些問題中,重要的問題是企業是否有明確的數據分類政策。企業擁有的敏感數據越多,這個問題就更加重要,特別是在受到嚴格監管的行業,例如醫療保健和金融服務公司。數據分類將幫助企業防止數據中心內重要數據的意外上傳,這還可以幫助保護在網絡服務中穿行的數據。例如,Rackspace提供客戶端的方式來控制哪些類型的流量可以穿過虛擬網絡的哪些路徑,但企業首先需要對流量進行分類。
除了數據分類,企業可能還有其他政策可以應用到云計算部署中。可接受的使用政策就是一個典型的例子。企業是否將允許用戶訪問他們自己設備上的云托管的企業數據?如果是這樣的話,企業是否部署了基礎設施來管理這些設備?在確定現有政策與新的云政策重疊的地方,請檢查企業所考慮的云技術供應商是否有符合你的政策。Hazdra表示:“如果云供應商沒有企業想要的任何政策或控制,就需要考慮這個供應商是否適用于本企業。”
企業還要考慮允許將數據存放在什么位置。數據的物理位置涉及法律和隱私問題。云服務供應商能否將企業的數據移到外面?國外?供應商是否能同意將企業的數據保持在特定數據中心?如果供應商政策不滿足企業的所有要求,那么企業的哪些數據應該保持在企業內部?從這些問題來看,數據分類很重要。
最后,對于企業放到云計算中的數據,需要從云供應商得到怎樣的安全保證?當涉及SaaS時,這個問題尤其重要,Hazdra表示,“軟件開發人員一直在努力提高其程序的性能,有時候可能與良好的安全性有沖突。有時候,開發人員被允許關閉安全功能來實現所需的性能水平。企業需要決定安全和性能的優先級。”企業可能需要確定性能的提高是否值得付出安全性降低的代價。重要的是,企業需要確定優先級,以及確保云供應商的政策符合企業的期望。
如果企業現在正在考慮制定完全的云安全政策,需要想一想將授權或批準哪些人來審核與云供應商的協議。Hazdra表示:“可能有專業人士(例如醫生、牙醫和律師)使用云服務用來存儲,以便他們可以從家里方便地訪問其工作文件。”這將讓個別員工的工作更輕松,但也將讓企業數據處于風險之中。指定特定位置來為工作用途設置云服務,并考慮違反政策后的具體后果。
上述問題把我們帶到云安全討論的核心問題:對于云中的數據的安全,最終是誰負責?一部分責任可能在于云服務供應商,而其中更多的責任在SaaS供應商,IaaS供應商承擔更少的責任。
然而,歸根結底,對于他們自己的信息,企業必須承擔責任,無論誰在處理這些信息。如果你在尋找基礎設施供應商,就必須確保供應商能履行其承諾,無論是通過成績、檢查還是與云供應商討論具體細節。隨著企業轉移到SaaS中,執行可接受使用、隱私、加密和數據挖掘政策仍然是企業的責任。CIO們還必須確保云供應商遵循他們自己的政策。