【CIO早班车】给CIO支招,企业云计算安全要这样管!

标签:信息安全云计算早班车

访客:142655  发表于:2017-12-26 09:49:57

音频:给CIO支招,企业云计算安全要这样管!

我是IBM公司企业信息安全服务部云安全咨询经理贺志生。今天,有我来和各位CIO朋友们聊一下,CIO们是如何管理企业的云计算信息安全的。

近日在乌镇的第四届世界互联网大会上,马云也提到数字经济将重塑世界经济,未来30年数据将成为生产资料,云计算会是生产力,如果我们不数据化,不和互联网相连,会比过去30年不通电更为可怕。

继在社交、电商、游戏、视频等领域的应用后,云计算也正在政务、金融、制造、医疗等行业跃跃欲试。行业云将成为云计算2.0时代的焦点。

传统模式中,信息安全容易被站在业务的对立面,安全工作主要放在在网络边界防御,以及如何加强计算、存储、网络及应用层面的单点的安全性。随着云数字化的创新,软件定义网络的普及,攻击面不断扩大,企业需要打破边界,由点及面的应对快速变化的安全威胁,把新的科技风险控制在一个业务可接受的范围之内。

新一代的安全服务一定是以企业的商业成功为先,技术要更好地服务于商业,安全为业务服务,保护并驱动创新业务,帮助客户新业务增值,并在市场上形成“安全特色”的差异化竞争。

据《埃维诺全球混合云调查》报告中显示,76%的高管们期待在未来三年内将他们的应用和服务的大部分,转移到混合云环境中运营。Verizon的调查结果显示,阻碍企业深入云端的最大障碍是安全(35%)。

如何安全的迈向复杂的混合云模式, 敏感数据迁移及保护是最难的。

企业安全管理策略的改变对混合云迁移及其重要,安全已不再是出事后才考虑的问题,而是融入到风险模型和风险评估之中,从迁移前的战略评估开始就需要同步规划,云战略转型同步实施及落地。

想让迁移工作按优先顺序有效执行,就需要对数据进行分类分级,分析应用的复杂度及其处理的数据的敏感性,并将处理机密和专有信息的应用找出来。

同时,需要考虑不同行业的数据合规要求(比如HIPPA法案(简化管理以降低日益增长的医疗费用开支的法案)、Sox法案(《萨班斯法案》),以及涉及到会计职业监管、 公司治理、证券保险市场监管,银行监管机构(证监会,保监会,银监会,中国人民银行等机构)和Basel 3资本监管协议之类的规章制度。这些行业监管要求不仅仅让企业严肃地对待安全问题,它们还建立了归类数据的框架,还会给监管机构经常性的审计,来监察是否合规。

混合云的形态多种多样,无论是公共云还是私有云的部署, 保护迁往云和在云内迁移的数据,数据传输和存储的保护都非常重要, 数据所有者及保管者的权责定义也要非常清晰,模糊的定义会带来数据保护的空白地带。这些数据传输过程包括:数据从传统基础架构迁移至云数据中心中;公有云和私有云间迁移;数据在不同云服务提供商间迁移、云内部不同实例间迁移及其他组合方式。

IBM X-force威胁情报指明:每条数据泄漏的平均损失为7美金, 确认一起数据泄漏事件的平均花费时间为201天。

我们建议CIO需要考虑以下云计算安全问题:

1. 多租户安全问题

2. 采用微服务架构的PAAS平台安全问题

3. 云环境下的业务连续性问题

4. 应用安全问题

5. 数据安全问题

6. 混合云环境下的安全运营

7. 安全合规问题

目前,我们IBM已帮助了金融、医疗健康及新零售等较多行业客户安全解决云安全的咨询规划及落地,不同的行业客户,面临的安全问题有所不同,但总体来说主要集中在采用微服务的PAAS业务安全,数据安全及合规性要求等。

如果您想更进一步了解相关资料和案例,请点击(http://meet.cio.com.cn/meet/newmeeting/inroll/235)注册报名吧!

评论(1)

您可以在评论框内@您的好友一起参与讨论!

    1. monicaliu 随着云数字化的创新,软件定义网络的普及,攻击面不断扩大,企业需要打破边界,由点及面的应对快速变化的安全威胁,把新的科技风险控制在一个业务可接受的范围之内!

      回复[0] 2017/12/26 10:47

--> --> -->
<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");