三大多雲端安全挑戰以及如何制定策略

安全專家表示，隨著多雲環境的興起，出現了許多安全最佳實踐，所有組織在製定自己的安全策略時都應採取一些重要步驟。

資料外洩或入侵者警報將使安全團隊更加主動地遏制損害並找出原因。

即使真正的 IT 人員在自己的基礎架構上運行所有操作，這項任務也始終具有挑戰性。隨著組織將更多工作負載轉移到雲端並隨後轉移到多個雲端供應商，這項任務變得越來越複雜。

雲端服務供應商 RightScale 發布的 2018 年雲端營運報告發現，77% 的技術專業人士（相當於 997 名受訪者）表示雲端安全是一個挑戰，其中 29% 的人表示這是一個非常大的挑戰。

安全專家表示，他們並不感到驚訝，特別是考慮到 RightScale 調查中 81% 的受訪者正在使用多雲策略。

該管理顧問公司董事總經理兼技術諮詢負責人 Ron Lefferts 表示：「多雲環境將使您實施和管理安全控制的方式變得更加複雜。」甫瀚諮詢理論。

他和其他安全領導者表示，隨著越來越多的工作負載轉移到雲端，組織正在積極維護高安全性。

主要的多雲安全挑戰

• 多雲安全挑戰
• 制定多雲策略
• 設定對供應商的期望
• 使用當前的新技術

多雲安全挑戰

但他們也應該承認，多雲環境帶來了需要解決的額外挑戰。這是全面安全策略的一部分。

「在這個多雲世界中，協調是先決條件，」ISACA 董事兼前董事會主席 Christos K. Dimitriadis 表示，ISACA 是一家專注於 IT 治理的專業協會，技術與人類智慧之間的協調。現在，如果發生事件，您需要確保協調所有實體來識別違規行為、分析違規行為並製定改進計劃，以實現更有效的控制。”

以下是專家所說的多雲環境複雜安全策略的三個要素。

• 複雜性不斷增加：協調來自多個雲端供應商的安全策略、流程和回應以及大幅擴展的連接點網路增加了複雜性。

非營利貿易組織雲端安全聯盟 (CSA) 的研究員兼 ERP 安全工作小組聯合主席 Juan Perez-Etchegoyen 表示：「世界各地都有資料中心擴展。」性別。然後，您必須遵守資料中心所在的所有國家或地區的法規。法規數量龐大且不斷增加。這些法規正在促進公司需要實施的控制和機制。所有這些都增加了我們保護數據的方式的複雜性。”

• 缺乏可見性：IT 組織通常不知道員工使用的所有雲端服務，他們很容易忽略業務 IT 策略並在雷達下購買軟體服務作為服務或其他基於雲端的服務。

「因此，我們正在努力保護資料、服務和業務本身，而不必清楚地了解資料的位置，」迪米特里亞迪斯先生說。

• 新威脅：顧問公司 Security Risk Management Inc 的創辦人兼執行長 Jeff Spivey 表示，企業安全領導者也應該意識到，快速發展的多雲環境可能會帶來新的威脅。

「我們正在創造一些新的東西，我們還不知道所有的漏洞。但我們可以在前進的過程中發現這些漏洞。」他說。

制定多雲策略

安全專家表示，隨著多雲環境的興起，出現了許多安全最佳實踐，所有組織在製定自己的安全策略時都應採取一些重要步驟。

首先要做的是識別資料「駐留」的所有云，並確保組織擁有強大的資料治理計劃——「資料及其服務的完整圖片，以及與所有類型資訊相關的 IT 資產」（根據迪米特裡亞迪斯先生的說法）。

Dimitriadis 先生也是遊戲營運商和解決方案提供商 INTRALOT Group 的資訊安全、資訊合規和智慧財產權保護負責人，他承認這些安全建議不僅適用於多雲環境。

然而，他表示，隨著資料轉移到雲端並跨越多個雲端平台，制定這些基本措施變得比以往任何時候都更加重要。

統計數據顯示為什麼擁有強大的安全基礎如此重要。 KPMG 和 Oracle 的 2018 年雲端威脅報告對 450 名安全和 IT 專業人士進行了調查，報告指出 90% 的企業將一半的數據歸類為基於雲端的數據，這些數據很敏感。

報告還發現，82% 的受訪者擔心員工沒有遵守雲端安全策略，38% 的受訪者在偵測和回應雲端安全事件方面有問題。

ISACA 領導人兼賽門鐵克 CTO 辦公室佈道者 Ramsés Gallego 表示，為了應對這種情況，企業應該對資訊進行分類，以創建多層安全保護。這告訴我們，並非所有資料都需要相同程度的信任和驗證才能存取或鎖定。

安全專家也建議企業在保護多雲環境所需的基礎層中實施其他常識性安全措施。除了資料分類策略之外，Gallego 還建議使用加密、身分和存取管理 (IAM) 解決方案，例如雙重認證。

企業需要標準化策略和結構，以確保應用程式的一致性並盡可能自動化，以幫助限制與這些安全標準的偏差。

「公司投入的努力程度將取決於數據的風險和敏感度。因此，如果您使用雲端來儲存或處理非機密數據，則不需要與保存重要資訊的雲端相同的安全方法，」Gadia 先生說。

他還指出，標準化和自動化非常有效。這些措施不僅降低了整體成本，還使安全領導者能夠將更多資源用於更高價值的任務。

專家認為，這些基本要素應該成為更大、更有凝聚力的策略的一部分。請注意，當企業採用框架來管理與安全相關的任務時，他們會做得很好。通用框架包括美國國家標準與技術研究所的 NIST； ISACA 資訊科技控制目標 (COBIT)； ISO 27000 系列；以及雲端安全聯盟雲端控制矩陣 (CCM)。

設定對供應商的期望

Dimitriadis 先生表示，所選框架不僅可以指導企業，還可以指導供應商。

「我們需要做的是將這些框架與雲端服務供應商結合。然後，您將能夠圍繞您想要保護的資料和服務建立控制，」他詳細闡述道。

安全專家表示，與雲端提供者的談判以及後續的服務協議將解決資料隔離及其儲存方式的問題。他們將與其他雲端供應商合作和協調，然後為企業提供服務。

清楚了解您從每個提供者獲得哪些服務以及他們是否有能力管理和運營該服務非常重要。

「具體說明您的期望以及如何實現這一目標，」斯皮維先生補充道。 “必須清楚地了解您從每個提供者獲得哪些服務以及他們是否有能力管理和運營這些服務。”

但加萊戈先生表示，不要把安全問題留給雲端運算服務提供者。

雲端服務提供者通常透過強調他們可以代表企業客戶做什麼來銷售他們的服務，並且通常包括安全服務。但這還不夠。請記住，這些公司從事的是雲端運算服務業務，而不是專門從事安全領域。

因此，他認為企業安全領導者必須在粒度層級上製定安全計劃，例如誰可以存取什麼、何時以及如何存取。然後將其交給每個雲端提供者以幫助執行這些計劃。

他還補充說：“雲端服務提供者需要贏得客戶的信任。”

使用當前的新技術

策略、治理，甚至雙重認證等常識性安全措施都是必要的，但不足以處理在多個雲端上分配工作負載時出現的複雜性。

企業必須採用旨在使企業安全團隊能夠更好地管理和執行其多雲安全策略的新興技術。

Gallego 先生和其他研究人員指出了雲端存取安全代理 (CASB) 等解決方案，這是位於組織的本地基礎設施和雲端供應商的基礎設施之間的軟體工具或服務。憑證映射、裝置資訊保留、加密和惡意軟體檢測。

該工具還列出了人工智慧技術，然後分析網路流量，以準確檢測需要人類關注的異常現象，從而限制必須驗證或替換的事件數量，然後將這些資源重定向到可能產生嚴重後果的事件。

專家指出，持續使用自動化是優化多雲環境安全性的關鍵技術。正如斯皮維先生還指出的那樣：“成功的組織是那些使許多部分自動化並專注於治理和管理的組織。”

此外，Spivey 和其他研究人員表示，雖然透過許多雲端服務（例如 CASB）保護資料的確切技術可能是多雲環境所獨有的。專家強調，整體安全原則遵循人員和技術長期結合的目標，以建立最佳策略。

「我們談論的是不同的技術和場景，更關注數據，但你必須實施的是相同的概念，」Onapsis 首席技術長 Perez-Etchegoyen 說。 “每個多雲環境的技術方法都會有所不同，但總體策略將是相同的。”

看更多：

• 雲端運算和 10 個常見安全性問題
• 如何將雲端儲存與工作結合起來
• 雲端運算的挑戰