信息化觀察網(wǎng)

如今，大部分組織都在將一些工作負(fù)載和資產(chǎn)轉(zhuǎn)移到云端。根據(jù)最近的一份調(diào)查報(bào)告，許多企業(yè)的首席信息安全官(CISO)對(duì)安全控制和人才短缺問(wèn)題感到擔(dān)憂，40%的企業(yè)因這些問(wèn)題而放緩業(yè)務(wù)遷移。

報(bào)告發(fā)現(xiàn)，盡管83%的IT專(zhuān)業(yè)人士表示他們將敏感數(shù)據(jù)存儲(chǔ)在公共云中，但只有69%的IT專(zhuān)業(yè)人士表示相信公共云能夠保護(hù)他們的數(shù)據(jù)安全。而近年來(lái)針對(duì)云計(jì)算的網(wǎng)絡(luò)攻擊十分猖獗：據(jù)調(diào)查，使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)或軟件即服務(wù)(SaaS)的四分之一企業(yè)的數(shù)據(jù)曾經(jīng)被盜。與此同時(shí)，五分之一的受訪者表示他們?cè)庥隽藢?duì)其公共云基礎(chǔ)設(shè)施的重大攻擊。

調(diào)研機(jī)構(gòu)Forrester公司副總裁兼首席分析師Andras Cser表示：“我們?cè)谌绾伪Ｗo(hù)云中的數(shù)據(jù)，如何將企業(yè)的身份轉(zhuǎn)移到云端，以及如何確保網(wǎng)絡(luò)安全等方面進(jìn)行了大量的調(diào)查。很多時(shí)候，我們看到一些企業(yè)甚至放棄了這個(gè)領(lǐng)域的安全項(xiàng)目。”

但是，Gartner公司信息風(fēng)險(xiǎn)研究主管Daria Kirilenko表示，首席信息安全官(CISO)經(jīng)常不信任云安全的原因比一些報(bào)告所暗示的更為細(xì)微。

“許多首席信息安全官(CISO)認(rèn)為供應(yīng)商的安全性實(shí)際上比他們自己部署的安全措施強(qiáng)大得多，但最終他們認(rèn)為如果某些供應(yīng)商出現(xiàn)違規(guī)行為，他們?nèi)詫?duì)此后果負(fù)責(zé)。”Kirilenko說(shuō)，“這是他們認(rèn)為應(yīng)該謹(jǐn)慎看待采用云計(jì)算的主要原因。”

Kirilenko表示，首席信息安全官也傾向于認(rèn)為他們的安全團(tuán)隊(duì)沒(méi)有適當(dāng)?shù)募寄茉诮M織實(shí)施云策略。“他們認(rèn)為，對(duì)于組織迅速采用云計(jì)算沒(méi)有準(zhǔn)備好提供支持。”她補(bǔ)充道。

Kirilenko表示，許多安全團(tuán)隊(duì)缺乏云計(jì)算安全知識(shí)，因?yàn)榇蠖鄶?shù)傳統(tǒng)的安全實(shí)踐不能遷移到云環(huán)境中，而是必須重建。

“他們毫無(wú)準(zhǔn)備，最終他們認(rèn)為如果出現(xiàn)問(wèn)題，可能會(huì)承擔(dān)責(zé)任。”Kirilenko說(shuō)。

建立一個(gè)云計(jì)算安全團(tuán)隊(duì)

Kirilenko指出，即使供應(yīng)商有過(guò)錯(cuò)，對(duì)云中違規(guī)的責(zé)任也往往會(huì)落在企業(yè)的首席信息安全官(CISO)身上。她補(bǔ)充說(shuō)，首席信息安全官應(yīng)該向高級(jí)業(yè)務(wù)利益相關(guān)者宣傳云計(jì)算安全是由供應(yīng)商和內(nèi)部團(tuán)隊(duì)共同承擔(dān)的事實(shí)，因?yàn)閮?nèi)部利益相關(guān)者犯錯(cuò)時(shí)會(huì)出現(xiàn)很多安全問(wèn)題。

Kirilenko表示：“首席信息安全官花費(fèi)大量時(shí)間和精力建立一個(gè)強(qiáng)大的安全團(tuán)隊(duì)，讓開(kāi)發(fā)人員接受安全的云計(jì)算流程，而不是花費(fèi)所有時(shí)間來(lái)管理和監(jiān)控提供商。如果他們花費(fèi)精力建立強(qiáng)大的安全團(tuán)隊(duì)，為現(xiàn)在實(shí)際上繞開(kāi)安全的開(kāi)發(fā)人員實(shí)施云安全措施，他們將獲得更好的結(jié)果，但他們往往不能正確實(shí)施云安全，而這增加了使用其云供應(yīng)商的風(fēng)險(xiǎn)。”

Cser表示，云操作、云架構(gòu)或云計(jì)算安全工作者通常負(fù)責(zé)云安全，但通常會(huì)發(fā)現(xiàn)更多傳統(tǒng)安全工作者正在與新平臺(tái)進(jìn)行斗爭(zhēng)。

Kirilenko說(shuō)，談到建立一個(gè)云安全團(tuán)隊(duì)時(shí)，尋找一位“獨(dú)角獸”公司或者某個(gè)云計(jì)算提供商的專(zhuān)家來(lái)了解云計(jì)算架構(gòu)，并擁有軟件開(kāi)發(fā)技能通常是不可行的。相反，首席信息安全官應(yīng)該將他們的安全團(tuán)隊(duì)視為一個(gè)技能組合。

“企業(yè)需要先了解自己真正需要的云技能。”Kirilenko說(shuō)，“很多時(shí)候，尋找那些知道并了解每個(gè)提供者內(nèi)部和外部的個(gè)人并不是非常重要，這些個(gè)體可以隨著時(shí)間的推移而發(fā)展。”

Kirilenko說(shuō)，相反，企業(yè)應(yīng)該建立一支有個(gè)人優(yōu)勢(shì)的團(tuán)隊(duì)，加入其團(tuán)體安全。例如，一名員工可能具備必要的軟件開(kāi)發(fā)技能，另一名員工在企業(yè)架構(gòu)方面經(jīng)驗(yàn)豐富，而另一位則在解決方案架構(gòu)方面擅長(zhǎng)。

Kirilenko表示，首席信息安全官也應(yīng)該記住，他們不需要使用自己的團(tuán)隊(duì)來(lái)構(gòu)建所有的云安全。還有一些公司建立了云計(jì)算卓越中心，并將人員從應(yīng)用程序和基礎(chǔ)設(shè)施等不同功能中輪換出來(lái)，并通過(guò)這些人員加強(qiáng)組織的安全性。

“許多成功的公司并不認(rèn)為他們的內(nèi)部安全資源是一種限制，因?yàn)樗麄冎乐贫ㄔ朴?jì)算策略是組織應(yīng)該共同做的事情。”Kirilenko說(shuō)。

Kirilenko表示，首席信息安全官也應(yīng)該使開(kāi)發(fā)人員容易遵守云安全準(zhǔn)則。成功組織的另一個(gè)實(shí)踐是開(kāi)發(fā)一個(gè)通用安全平臺(tái)，其中包含API和參考架構(gòu)，開(kāi)發(fā)人員可以使用這些平臺(tái)快速了解如何在其應(yīng)用程序中實(shí)施安全準(zhǔn)則。

“企業(yè)需要考慮如何減輕利益相關(guān)者的負(fù)擔(dān)來(lái)做好安全的事情,并需要以簡(jiǎn)單的方式實(shí)現(xiàn)安全。”Kirilenko說(shuō)。