人员和技术云和安全同样重要,鱼和熊掌何以兼得?

Executive Summary

云安全性日益成为企业不可或缺的一部分 - 在无安全保障的情况下使用云的企业员工证实了这一点。当您迁移到云时,您需要确定安全性的优先级 — ID 联盟、用户访问策略、WAF、数据访问和保护策略。本文介绍如何做好充足准备,以及可靠的长期移植战略(以防您需要再次迁移)。

Executive Summary

云安全性日益成为企业不可或缺的一部分 - 在无安全保障的情况下使用云的企业员工证实了这一点。当您迁移到云时,您需要确定安全性的优先级 — ID 联盟、用户访问策略、WAF、数据访问和保护策略。本文介绍如何做好充足准备,以及可靠的长期移植战略(以防您需要再次迁移)。

Related

迁移至云后应如何协调用户、流程和技术

云已经成为业务运营中不可或缺的一部分,云安全亦是如此。

将应用迁移到云或采用新的云服务可能是一件喜忧参半的事情。相比纯粹的应用供应商,云服务商所提供的应用在安全性上通常要略胜一筹。然而统计数据表明,员工所用的大多数云应用(预计约为 94.8 %)并不完全是企业级应用,许多公司仍缺少可提高应用安全所需的云策略。

在缺少云策略的企业中,很多员工都习惯使用自己的移动设备和偏爱的服务。由越来越多的移动工作者和不断涌现的各种互联设备(打印机、企业供暖系统、冰箱)所组成的庞大的物联网都是以按需服务的形式在运转,这使得云在工作中的角色更加重要。云端访问安全代理服务商 Netskope 指出,在 2016 年第三季度,平均每家公司员工所使用的 云应用为 1,031 个 。

随着攻击者变得越来越老练,您需要保护自己的云应用,并就如何利用资源提高安全性作出明智的决策。尽管企业对于云安全的关注大多集中在优化应用开发这一阶段,但作为应用和云服务的消费者而非创建者来说,许多公司通常必须在完全不了解内部运作情形的情况下对应用进行保护,即众所周知的“黑盒子”。因此,云端的应用防护也应与保护本地设备的方式类似。

1,031

平均每家公司员工所使用的 云应用为 1,031 个。

提高云端安全性的三个基本步骤:

1.全面了解情况

正如企业需要了解其基础设施的情况一样,安全团队也应该全面了解所有云服务的使用和安全情况,不仅需要了解员工是如何访问云服务的,还需要知道哪些员工正在访问它们。

应该充分利用云供应商所提供的所有日志记录功能。在云基础架构的防护信息方面,云供应商应该保持透明原则,提供有关的安全控制的信息。

2.加密所有数据和身份验证信息

应用中保存的业务数据以及访问这些应用所需的数据(如身份验证信息)对于云迁移来说愈发重要。

网络罪犯正在利用数据中心内应用与云端应用之间的不一致性,将拥有多个身份的员工甚至应用本身作为攻击对象。了解如何保护您的业务。

同样的数据也可能受到法律隐私条款的约束,例如将于 2018 年启动的欧盟一般数据保护条例。因此,确保所有数据都安全加密至关重要。

由于远程访问云服务是新常态,存储在云中数据的安全性也依赖于可识别用户的能力。安全团队不应怀疑任何一个通过正确授权证书访问的用户。除此以外,双重身份验证、异常检测和登陆的地理位置等其他身份验证环节都可以使云服务的访问更加安全,在确保不会将流程过度复杂时可以使用。

3.创建策略并培训用户

将应用迁移到云端,实际上是为安全团队提供了一个通过外部资源扩展其安全策略的机会(或说是义务)。由于任何一名拥有信用卡的员工都可以部署新的云服务,因此您需要灵活的策略和技术检测出未授权服务——通常我们称之为影子 IT。

无论数据存储在本地还是云端,都应该整体采用相同的身份信息验证策略,尽管遵循相应的法律法规是基础,但企业的在云端不应该仅仅只达到合规标准,应用的安全性同样举足轻重。

您可能还会喜欢