雲應用的普遍使用給負責管理企業雲平台的IT和安全人員帶來了很多阻礙和挑戰。據Ponemon Institute所做的調查顯示超過半數受訪者所在企業正在向雲端轉移機密或敏感數據,然而57%的運維人員承認自己對於敏感信息的存儲並沒有一個全面的認識。
雲計算正在全球范圍內向各行各業擴展,顯而易見基於雲的SaaS應用會越來越多地取代現有的關鍵業務系統和服務。很多企業都看到了應用雲計算的好 處,但挑戰與顧慮是難免的。本文中列舉了幫助企業應對有關雲計算的隱私、法規及安全問題的18個小貼士,希望可以使企業更順利地使用雲計算。
問題
用戶的風險意識:商業用戶只看到雲應用提高生產力的一面,而IT部門又不十分了解企業數據在應用中的使用方式。有些商業用戶還會撇開IT與安全政策自己去訂閱雲服務。
雲服務條款:企業所遵守的數據相關政策標准與雲服務提供商所遵守的並不相同,但用戶在訂閱雲應用時看到使用條款就直接點同意了。
虛擬化:虛擬化技術是SaaS和雲平台的核心,但它自身也有一定的安全風險。作為雲計算用戶,應主動了解雲服務提供商所使用的虛擬化技術並在必要時采取適當的措施以降低風險。
身份驗證與訪問控制:Perspecsys公司的研究顯示31%的受訪企業不允許員工通過移動設備訪問雲應用中的企業數據,但堵不如疏,積極主動地采取安全措施才能保證無論存儲於何處都保證數據處於保護中。
數據控制權:雲計算技術應用中碰到的數據隱私問題正在阻礙雲計算的應用,使用公有SaaS雲服務就相當於將數據交給雲服務提供商,因此企業正面臨敏感信息的控制權問題。
數據存儲位置:某些客戶信息需要存儲於特定的地理位置,這是企業經常碰到的一個問題。如此一來企業就很難使用在世界其他地區運營的雲服務,監管和數據隱私顧慮使得數據存儲位置成了企業應用雲計算過程中的一個重大挑戰。
數據隱私:商業敏感數據通常需要更嚴格的保護。無論儲存在企業內部或是雲端,數據發生洩露倒霉的都是企業自身。所以無論數據儲存在哪裡都有必要采取嚴格的安全措施。
法律法規:企業對於敏感信息的使用和保護必須要遵守相關的法律法規。
數據保護條款:越來越多的企業要求對雲服務提供商所維護的數據進行一定的處理,例如采取更嚴格的安全措施。
應對
開放:企業IT部門需要尋找在遵守行業標准等方面持開放態度的雲技術,同時也需要相互之間能夠進行對接集成的安全解決方案以使雲端環境在使用中可以得到完全的信任。
追蹤企業數據:今天的數字經濟時代,信息可以自由地流動,這使得追蹤敏感信息變得越來越難。所以企業應當了解企業內部及雲端所使用的數據安全工具,特別是雲數據加密和記號化工具。
測試:Caliber Security Partners的John Overbaugh表示:對網絡和架構進行測試是重要的安全 策略。雖然部署到雲上與傳統的部署方式相比有一些變化,但還是有辦法做測試的,重點是提前規劃、修改測試的策略以及管理領導層的期望,但最重要的還是在進 行測試之前和測試中做好與雲服務提供商和安全機構的溝通工作。
備份:無論數據是否儲存在雲端,備份都是一個好主意。
使用多個雲服務:使用多個不同雲服務的策略可以降低數據丟失或系統宕機的風險,企業可以開發在不同雲環境中實施統一的數據保護政策的安全平台,如果可以簡化密匙和政策管理就更好了。
安全教育:除了流程和技術,人的因素對信息安全也有著關鍵的影響,提前對企業雇員進行安全教育才能避免他們犯下大錯。
建立全面的數據管理政策:為了符合企業內部和法律上的數據隱私要求,必須建立起行之有效的數據管理政策,數據應根據敏感性進行分類並根據其分類施以相應的安全手段。
實施數據安全服務:企業可以考慮在公司內部以軟件即服務的形式實現加密和記號化這樣的功能,如此便可以減少在雲端儲存和處理數據的安全風險。
正確的加密方式:密匙和數據應分開儲存。IT部門應負責密匙的保管並確保加密算法的強度,同時還應確保數據加載到內存之後仍然得到有效保護。
通常數據在處理過程中不會雲端的加密算法所保護,所以企業最好自己掌控敏感數據的加密過程。