在過去的幾年中,從電子郵件平臺到人力資源和客戶關(guān)系管理服務(wù),云計算的大規(guī)模采用在過去幾年中顯著增加,因為云計算提供的優(yōu)勢和理解已得到證實。
在云采用周期的每個階段,安全性一直是企業(yè)的一個關(guān)鍵考慮因素,因為IT部署已從內(nèi)部部署轉(zhuǎn)移到企業(yè)外部。同樣,面對同時使用私有云和公共云以及內(nèi)部部署的提供商,企業(yè)需要了解哪些組織將負(fù)責(zé)保護(hù)哪些數(shù)據(jù)資產(chǎn)。
為了真正了解云計算安全之旅以及企業(yè)現(xiàn)在所處的位置,企業(yè)需要了解服務(wù)器,、軟件和大多數(shù)業(yè)務(wù)的運營時間,并且了解其所有權(quán)和維護(hù)是由誰來負(fù)責(zé)。
第一階段:檢查企業(yè)服務(wù)器的規(guī)模
通過現(xiàn)場了解服務(wù)器機房的IT配置容量可以讓企業(yè)放心,并且需要了解IT安全,擁有完全的控制權(quán)和最終的責(zé)任,使安全性變得簡單,而且通??梢酝ㄟ^基本的網(wǎng)絡(luò)安全軟件和強有力的政策來實現(xiàn)。
但隨著企業(yè)對網(wǎng)絡(luò)和帶寬的需求增長,存儲容量需要突破,滿足企業(yè)IT需求的物理空間和相關(guān)成本的迅速增長成為企業(yè)的IT所有權(quán)的障礙。云計算是減輕工作負(fù)載的下一個步驟,但通常是在不利于安全的情況下實施的。
第二階段:發(fā)展和成長
云計算技術(shù)的發(fā)展使得企業(yè)能夠輕松擴(kuò)展其IT供應(yīng),并滿足客戶和業(yè)務(wù)對其基礎(chǔ)設(shè)施的需求,而不是掌握所有內(nèi)容。
但盡管有這些承諾,云計算的出現(xiàn)卻給企業(yè)帶來了復(fù)雜的情感。作為滿足效率和性能關(guān)鍵績效指標(biāo)(KPI)的一種方式,IT團(tuán)隊成為云計算背后的驅(qū)動力。但對于IT安全而言,新的風(fēng)險因素開始蔓延。在希望獲得更好的性能和靈活性的業(yè)務(wù)領(lǐng)導(dǎo)者的推動下,云計算正在快速成為前進(jìn)的方向,但圍繞云計算的安全性往往是事后的想法,如果沒有戰(zhàn)略或聯(lián)合的方法。垃圾郵件、勒索軟件,以及竊取云中的數(shù)據(jù)也將成為大問題,因為它們是內(nèi)部部署的,而且看不見也不會讓人失意。
第三階段:IT反擊
隨著IT部門面臨的風(fēng)險,人們對云計算服務(wù)的安全性以及非現(xiàn)場解決方案的可行性和可見性表示擔(dān)憂。然而,IT安全團(tuán)隊經(jīng)常很難影響企業(yè)董事會和業(yè)務(wù)主管決定采用云計算的理由。其安全性往往被忽視,這將影響企業(yè)的商業(yè)利益。
但是,對于云采用給企業(yè)帶來的所有好處,它也迅速成為一個網(wǎng)絡(luò)犯罪的游樂場,并成為黑客獲得利潤豐厚的信息和個人信息的避風(fēng)港。對于許多公司而言,在將基礎(chǔ)設(shè)施遷移到云端時,他們認(rèn)為云計算提供商將對其安全性負(fù)責(zé)。因此,安全性列入企業(yè)業(yè)務(wù)發(fā)展的優(yōu)先級列表中。
但是,這并不總是最好的策略,因為亞馬遜網(wǎng)絡(luò)服務(wù)公司的用戶遭遇數(shù)據(jù)泄露。錯誤配置的S3云存儲桶使敏感數(shù)據(jù)無法獲得保護(hù),并且對外大量泄露,影響了許多客戶,其中包括埃森哲、美國軍方,以及澳大利亞廣播公司(ABC)公司等,他們都遭遇了數(shù)據(jù)泄露事件。無論使用何種級別的云計算服務(wù),很快就會發(fā)現(xiàn)企業(yè)需要盡全力保護(hù)自己的數(shù)據(jù)。
第四階段:企業(yè)高級管理人員的促進(jìn)
盡管存在一些擔(dān)憂,但企業(yè)的高級管理人員對效率的渴望導(dǎo)致其組織越來越依賴云計算。事實上,卡巴斯基實驗室在研究中發(fā)現(xiàn),當(dāng)涉及到軟件即服務(wù)時,78%的中小企業(yè)已經(jīng)在使用至少一種形式的云計算服務(wù),四分之三(75%)的企業(yè)計劃將更多的應(yīng)用程序遷移到未來的云端?;A(chǔ)設(shè)施也不例外。四分之一的公司(25%)已采用混合部署方法,24%的企業(yè)計劃在未來一年內(nèi)采用混合部署方法,圍繞安裝龐大的IT基礎(chǔ)設(shè)施的問題不應(yīng)該損害其提供的好處。
第五階段:采用不同的新方法
隨著云計算現(xiàn)在成為一種公認(rèn)的標(biāo)準(zhǔn),它的持續(xù)采用是不可否認(rèn)的、不可阻擋的。但安全需要一種不同的方法。即使是最復(fù)雜的基礎(chǔ)設(shè)施和任何云計算配置也需要保護(hù)?;旌显撇捎玫谋举|(zhì)意味著沒有一個通用的安全解決方案,因為可能曾經(jīng)有過內(nèi)部部署安全解決方案。
任何解決方案都需要靈活、可管理,并以性能為導(dǎo)向的特性,以免破壞云計算的優(yōu)勢。無論企業(yè)采用混合云、托管云還是私有云方法,都可以了解哪些服務(wù)和數(shù)據(jù)位于保護(hù)業(yè)務(wù)的第一個基本步驟。一旦確定,云計算基礎(chǔ)設(shè)施的每個部分都必須擁有自己的一套安全措施和技術(shù),以保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅,就像企業(yè)自已保護(hù)數(shù)據(jù)中心的任何數(shù)據(jù)和設(shè)備一樣。
網(wǎng)絡(luò)威脅將繼續(xù)發(fā)展并以數(shù)據(jù)為目標(biāo),無論數(shù)據(jù)存儲在何處。只有部署使用機器學(xué)習(xí)和最新威脅情報的安全技術(shù),組織才能確保為其選定的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)提供最佳保護(hù)。