让主管们夜不能寐的四大云安全误区

标签:数据安全云计算云安全

访客:26757  发表于:2015-07-15 09:42:39

尽管云计算在企业的采用率有所增加,但许多主管还是小心翼翼,不敢将数据迁移到云端。虽然他们不愿采用云主要源自安全和隐私方面的问题,但是那些担心并非总是有根有据。
 让主管们夜不能寐的四大云安全误区
    TierPoint LLC是一家总部位于圣路易斯的云和主机托管服务提供商,首席安全官Paul Mazzucco表示,实际上,许多企业组织担心云安全基本上归因于误区,尤其是下列四大误区让主管们夜不能寐。
 
    第一大误区:云端数据天生就不大安全。
 
    Mazzucco表示,许多主管误以为放在云端的数据要比放在企业内部的数据来得岌岌可危。事实上,尽管业务主管们很担心,但数据在云端通常要比在企业内部来得安全。这是由于,绝大多数云服务提供商一开始就将安全(常常使用多层次方法)纳入到其基础设施中。
 
    将数据迁移到云端还减小了影子IT的风险。所谓的影子IT是指,用户绕过IT部门,访问未经批准的云应用程序。
 
    Mazzucco表示,大多数主管以为本公司运行的基于云的应用程序至多不超过50个,而企业实际使用的云应用程序平均超过500个。制定一项正式的云战略让IT部门拥有更大的透明度和控制度。
 
    第二大误区:安全战略可以等一等。
 
    自任何云部署项目一开始,制定云安全战略就应该是业务部门和IT部门关注的首要事项。据Mazzucco声称,在部署后打上安全补丁了事是没有哪家公司愿意冒的风险。
 
    即便企业组织已落实了适当的安全措施,并且通过服务级别协议(SLA)确保云服务提供商同样落实了适当的安全措施,日常监控和报告也应该总是一个优先事项。
 
    第三大误区:通过认证的云服务提供商保证数据肯定能得到保护。
 
    许多企业组织完全凭借云服务提供商拥有的合规或监管认证数量来评估对方的安全模型。Mazzucco提醒,但不应该是这样。相反,IT部门应该总是“进入到下一个阶段”,评估提供商的云环境。
 
    他说:“总是要核实提供商向你出示的合规认证。”
 
    为此,企业应该对提供商进行独立的安全评估,或者请第三方开展这项工作。首先,要参照云安全联盟的《共识评估倡议调查问卷》(Consensus Assessment Initiative Questionnaire),它列出了云用户和审查人员应当询问潜在云服务提供商的一系列问题。
 
    此外,企业组织应该总是要求提供商的安全实践/做法至少有一定的透明度,并且尽可能在SLA中加以注明。
 
    第四大误区:弄好后就不用管。
 
    可靠的云安全模型应该不断完善。它应该需要多层次方法,需要日常的高级威胁检测,需要实时警报,还需要一致的监控和报告机制。不断更新反病毒和反恶意软件技术在云环境下应当与在内部环境下来得同样要紧。
 

    Mazzucco说:“说到云安全,过去那种‘眼不见心不烦’的心态很危险,要不得。当然,让一支专设的小组查看计算环境的所有层次、所有日志以及安全环境的方方面面,这比老方法要好得多。”

让主管们夜不能寐的四大云安全误区

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");