云安全优先事项和企业安全协同作用

根据ESG的研究显示,63%的中端市场(即拥有250至999名员工的企业),以及大型企业(员工超过1000余人)目前正在使用软件即服务(SaaS),33%使用基础设施即服务(IaaS),以及27%使用平台即服务(PaaS)。此外,72%的企业正计划在今年提高云计算的开支。

云计算部署中是否也存在安全风险?安全专家对此相当关注。在最近的ESG研究调查中,信息安全专业人士指出了几个云计算安全风险:

· 33% 的企业安全专业人士表示,缺乏对用于内部使用的IT资源相关的安全操作的直接控制。

· 31% 的企业安全专业人士表示,对由云计算基础设施供应商存储和/或处理的敏感数据和/或监管数据的隐私关注。

· 29%的企业安全专业人士表示,缺乏对云安全基础设施的安全可视性。

· 28%的企业安全专业人士表示,破坏云服务供应商的基础设施的安全泄漏事故。

· 27%的企业安全专业人士表示,在云服务提供商方面糟糕的信息安全做法。

这些安全担忧显然是合理的,企业也许会更加谨慎,但却并没有做出什么实际改进。

对于想要利用SaaS、IaaS和PaaS用于金融行业和获取商业利益的企业,安全专家必须想出一种办法来让企业在这样做的同时,确保不会带来任何不好的IT风险。

那么,我们应该怎么做呢?在IT控制正在减弱的时代,首席信息安全官必须更好地控制他们能控制的事物。在笔者看来,这可以归结为几个关键的优先领域:

1. 识别。 无论应用程序和数据在哪里,企业都必须知道谁正在访问这些资源,他们在使用何种设备,用户的位置。他们还需要不断地更新这些信息。在任何情况下,企业都应该确保这种监督水平,这意味着企业需要知道具体用户(员工或第三方)、具体设备、具体网络位置、具体时间日期等。此外,我们还需要业务背景,例如我们需要知道John Smith正在试图从公共网络访问财务数据,以及奇怪的IP地址、MAC地址和DNS查询。对于Centrify、ForgeRock、Okta、Ping以及McAfee、微软等公司而言,将这种识别带入到云应用程序是一个巨大的机会。

2. 数据。 网络攻击者可以发起DDoS[注]攻击来获取IT资产,但大多数攻击都是瞄准目标本身。因此,我们需要知道数据的位置、重要程度,以及谁在对数据做什么。这是CloudLock、Ionic Security、赛门铁克、Varonis、Verdasys和Vormetric等公司的领域。

3. 可视性。 作为首席信息安全官(+本站微信networkworldweixin),你需要了解一切,你的内部网络在发生什么,端点在发生什么,云计算在发生什么等。此外,你还需要从不同角度获取内部和外部的态势感知。例如,如果你想要了解你的业务合作伙伴以及云计算供应商相关的风险。与此同时,随着工作负载从服务器到服务器跨内部和云供应商网络移动,你想要锁定日志数据、web会话和网络数据包,你还想要获取威胁情报来预测内部IT、整个行业或云供应商合作伙伴的情况,你会想要中央的命令和控制。

还有一个比这三个方面更重要的领域。管理现在的IT安全需要对所有IT资产、网络、传输的一致的完整的控制,无论它们位于企业内部还是云计算中。这可能需要一种联合的方法或者跨整个网络的单窗格视图,但作为首席信息安全官,你需要对一切事物的综合可视性。

毫无疑问,在未来云计算将会成为主导,但现在大多数企业仍然有很多内部资源。连接内部资源和云计算环境将会是成功的关键,聪明的首席信息安全官将会尽可能地构建更少的连接,并专注于弥合其最重要的监督和可视性方面的差距。(邹铮编译)

文章标题:云安全优先事项和企业安全协同作用
分享路径:http://www.shufengxianlan.com/qtweb/news46/327046.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联