Cloud-baserede it-systemer opfylder vigtige funktioner i næsten enhver moderne industri. Virksomheder, non-profit, regeringer og endda uddannelsesinstitutioner bruger skyen til at udvide markeds rækkevidde, analysere ydeevne, styre menneskelige ressourcer og tilbyde forbedrede tjenester. Naturligvis er effektiv cloud security governance afgørende for enhver enhed, der ønsker at høste fordelene ved distribueret IT.
Ligesom hvert it-domæne har cloud computing unikke sikkerhedsmæssige problemer. Selvom selve ideen om at holde data sikkert i skyen har længe været betragtet som en umulig modsigelse, afslører udbredt industripraksis en lang række teknikker, der leverer effektiv sky sikkerhed. Som kommercielle cloud udbydere som Amazon AWS har demonstreret ved at opretholde FedRAMP overholdelse, er effektiv sky sikkerhed både opnåelig og praktisk i den virkelige verden.
$config[code] not foundKortlægning af en Impactful Security Roadmap
Intet it-sikkerhedsprojekt kan fungere uden en solid plan. Praksis, der involverer skyen, skal variere i overensstemmelse med de domæner og implementeringer, de søger at beskytte.
Antag for eksempel, at et lokalt agenturinstitut anbringer din egen enhed eller BYOD, politik. Det kan være nødvendigt at indføre forskellige kontrolforanstaltninger, end det ville, hvis det blot forhindrede sine medarbejdere i at få adgang til det organisatoriske netværk ved hjælp af deres personlige smartphones, bærbare computere og tabletter. Ligeledes vil et firma, der ønsker at gøre sine data mere tilgængelige for autoriserede brugere ved at gemme det i skyen, sandsynligvis nødt til at tage forskellige skridt for at overvåge adgangen end det ville, hvis det opretholder sine egne databaser og fysiske servere.
Dette er ikke at sige, som nogle har antydet, at det er mindre sandsynligt, at det er sikkert at holde skyen sikkert, end at opretholde sikkerhed på et privat LAN. Erfaringerne har vist, at effekten af forskellige sky sikkerhedsforanstaltninger afhænger af, hvor godt de overholder bestemte dokumenterede metoder. For cloud produkter og tjenester, der anvender offentlige data og aktiver, defineres disse bedste fremgangsmåder som en del af Federal Risk and Authorization Management Program eller FedRAMP.
Hvad er Federal Risk and Authorization Management Programmet?
Federal Risk and Authorization Management Programmet er en officiel proces, som føderale agenturer beskæftiger sig med at dømme effektiviteten af cloud computing-tjenester og produkter. I sit hjerte er standarder fastsat af National Institute for Standards and Technology eller NIST i forskellige Special Publication eller SP, og Federal Information Processing Standard eller FIPS, dokumenter. Disse standarder fokuserer på effektiv skybaseret beskyttelse.
Programmet giver retningslinjer for mange fælles cloud sikkerhedsopgaver. Disse omfatter korrekt håndteringshændelser ved hjælp af retsmedicinske teknikker til at undersøge brud, planlægningstilfælde for at bevare ressourcetilgængelighed og styring af risici. Programmet omfatter også akkrediteringsprotokoller for tredjepartsakkreditationsorganisationerne, eller 3PAO'er, der vurderer cloud-implementeringer fra sag til sag. Vedligeholdelse af 3PAO-certificeret overholdelse er et sikkert tegn på, at en it-integrator eller leverandør er parat til at holde informationen sikker i skyen.
Effektive sikkerhedspraksis
Så hvordan holder virksomhederne data sikkert med kommercielle cloud-udbydere? Mens der er utallige vigtige teknikker, er et par værd at nævne her:
Provider Verifikation
Stærke arbejdsforhold bygger på tillid, men at god tro skal stamme fra et sted. Uanset hvor veletableret en cloud-udbyder er, er det vigtigt, at brugerne autentificerer deres compliance- og styringspraksis.
Regeringens it-sikkerhedsstandarder indeholder typisk revisions- og scoring-strategier. Det er en god måde at se på, om de er værdige for din fremtidige forretning, når du tjekker din cloud-udbyders tidligere præstationer. Personer, der har.gov og.mil e-mail-adresser, kan også få adgang til FedRAMP-sikkerhedspakker forbundet med forskellige udbydere for at bekræfte deres krav til overholdelse.
Antag en proaktiv rolle
Selvom tjenester som Amazon AWS og Microsoft Azure bekæmper deres overholdelse af etablerede standarder, tager omfattende skyens sikkerhed mere end en fest. Afhængigt af den cloud service-pakke, du køber, skal du muligvis rette din udbyders implementering af bestemte nøglefunktioner eller rådgive dem om, at de skal følge specifikke sikkerhedsprocedurer.
Hvis du f.eks. Er en producent af medicinsk udstyr, kan love som Health Insurance Portability and Accountability Act eller HIPAA mandat, at du træffer ekstra skridt for at beskytte forbrugernes sundhedsdata. Disse krav eksisterer ofte uafhængigt af, hvad din udbyder skal gøre for at holde deres Federal Risk and Authorization Management Program certificering.
På et minimalt minimum er du eneansvarlig for at opretholde sikkerhedspraksis, der dækker din organisatoriske interaktion med cloud-systemer. For eksempel skal du indføre sikre kodeordregler for dine medarbejdere og kunder. At droppe bolden på din ende kan kompromittere selv den mest effektive cloud security implementering, så tag ansvaret nu.
Hvad du gør med dine skygtjenester, påvirker ultimativt effektiviteten af deres sikkerhedsfunktioner. Dine ansatte kan deltage i skygge it-praksis, såsom at dele dokumenter via Skype eller Gmail af bekvemmelighedsgrunde, men disse tilsyneladende uskyldige handlinger kan forhindre dine omhyggeligt fastsatte skybeskyttelsesplaner. Ud over uddannelsespersonale, hvordan man bruger autoriserede tjenester korrekt, skal du lære dem, hvordan man undgår faldgruber, der involverer uofficielle datastrømme.
Forstå vilkårene for din sky service til kontrolrisiko
Hosting dine data på skyen giver ikke nødvendigvis dig de samme kvoter du selvfølgelig vil have med selvopbevaring. Nogle udbydere har ret til at trawl dit indhold, så de kan vise annoncer eller analysere din brug af deres produkter. Andre kan have brug for adgang til dine oplysninger i forbindelse med teknisk support.
I nogle tilfælde er dataeksponering ikke et stort problem. Når du beskæftiger dig med personligt identificerbare forbrugeroplysnings- eller betalingsdata, er det dog nemt at se, hvordan tredjepartstilgang kan forårsage katastrofe.
Det kan være umuligt at forhindre fuldstændig adgang til et fjernsystem eller database. Ikke desto mindre holder arbejdet med udbydere, der frigiver revisionsarkiver og systemadgangsloger, dig i stand til at vide, om dine data opretholdes sikkert. Sådan viden går langt i retning af at hjælpe enheder med at afbøde de negative virkninger af eventuelle overtrædelser, der opstår.
Antag aldrig sikkerhed er en engangs affære
De mest intelligente mennesker ændrer deres personlige adgangskoder regelmæssigt. Skal du ikke være lige så flittig om skybaseret it-sikkerhed?
Uanset hvor ofte din leverandørens overholdelsesstrategi dikterer, at de foretager selvkontrol, skal du definere eller vedtage dine egne sæt standarder for rutinemæssige vurderinger. Hvis du også er bundet af overholdelseskrav, ville det være nødvendigt at indføre et stramt regime, der sikrer, at du kan opfylde dine forpligtelser, selvom din cloud-udbyder ikke gør det konsekvent.
Oprettelse af Cloud Security-implementeringer, der virker
Effektiv sky sikkerhed er ikke en mystisk by, der ligger for evigt ud over horisonten. Som en veletableret proces er det godt inden for rækkevidde af de fleste it-servicebrugere og -udbydere, uanset hvilke standarder de overholder.
Ved at tilpasse de metoder, der er beskrevet i denne artikel til dine formål, er det muligt at opnå og opretholde sikkerhedsstandarder, der holder dine data sikre uden drastisk stigende driftsomkostninger.
Billede: SpinSys
1 kommentar ▼
