怎么创建云安全策略

怎么创建云安全策略 在当今世界,许多首席信息安全官关于云核算是持怀疑情绪的,假如没有其他任何出售数字的云效劳的话,例如SaaS,PaaS,IaaS,这证明恰恰相反。西瑟表明,首席信息安全官愈来愈情愿使用云核算,这其间的原因有很多。

一些首席信息安全官(CISO)被组织引导到中,他们抉择有必要使用散布式体系的强壮和活络性。而其别人是没有由管理层同意或常识而只注册的员工推入的。

无论哪一种方式,假如没有技能战略,那么组织将会遇到麻烦,Forrester公司研讨副总裁兼首席安全分析师安德拉斯 西瑟说。

在当今世界,许多首席信息安全官关于云核算是持怀疑情绪的,假如没有其他任何出售数字的云效劳的话,例如SaaS,PaaS,IaaS,这证明恰恰相反。西瑟表明,首席信息安全官愈来愈情愿使用云核算,这其间的原因有很多。

这些包括数据维护东西,例如某些效劳提供的加密和密钥办理,以及履行数据安全策略和数据跟踪技能的云拜访安全署理/网关等产品。

可是技能本身不会使组织安全,其间包括加密到云端的所有东西。除此之外,它是不切实践的。西瑟说,只有灵敏数据有必要加密。

但重点是加密和使用安全网关本身不会使企业安全,没有一个整体的云安全战略。

关于在哪里开始有不同的定见。云核算安全署理提供商Skyhigh网络公司产品和营销副总裁KamalShah说, 在你乃至考虑一个策略做审阅,并了解云核算中真正发生的事情之前,它可所以一样广泛的,了解正在使用多少云效劳,哪一个部分使用,有多少数据在云中,这可以用于制定企业的战略,或者可以专门为云核算运用程序了解用户怎么使用它,存储什么数据,怎么在企业外部同享,哪些是同享数据,有多少是受信赖的供给商与个人电子邮件地点等。

除此之外,他说,假如组织是在医疗保健职业和零售职业,可能会衩云核算中存在的监管所限制,或者假如允许的话,那么怎么保护它。

终究,管理层可能声明某些灵敏数据(例如常识产权)是完全被禁止的。然后找到一个提供者。云核算管理效劳提供商CenturyLink公司的IT安全部总裁TimKelleher说,首席信息安全官应该质疑供给商以各种方式保护其环境,包括满足特定职业的必要法规(如付出卡职业的数据安全规范),怎么保护每一个客户的环境,并且提供额定的安全效劳(例如可以启动的虚拟防火墙),以及怎么证明这些是用于审计意图。

开始这个研讨的组织多是云安全联盟,VMware公司是这个规模广泛的职业组织成员之一,将为成员提供认证。

Forrester公司首席安全分析师西瑟引荐了一个用于创建一个云安全战略的五个阶段流程,以完成三年的技能道路图:

1.界说云安全的事务理由

首席信息安全官在选用云核算之前,有必要显示为何需要在安全开销。量化效益,包括违约本钱,合规本钱与运营功率(例如,可能会节省本钱,因为效劳提供商会对运用程序进行补丁,并考虑加密)。

2.确定利益相关者及其安全需求

事务部分期望保证云安全不会阻碍他们的工作。西瑟说,单一登录和布置集成将有助于使用多个云运用程序的组织更加容易选用。开发人员还可能需要协助确保云核算安全不会搅扰工作负载。此外,合规和审计人员将需要确保云核算满足他们的要求。

3.界说组织的云安全管理流程

西瑟说,组织不能在没稀有据发现的状况下进行管理,也不知道流量到哪里,以及标记信息的才能。这将有助于界说需要加密的内容,可以拜访云核算的工作人员,内部的属性,以及怎么对非结构化数据进行分类。这是未授权的云运用程序有必要被发现的过程。

4.评价组织其时的云安万能力并确定距离

这里是云安全网关,标记化和加密对性能的影响,以及身份和拜访管理的丈量。

其他考虑包括其处理计划是否满足法规要求,数据丢掉防护和侵略检测,用户行为监控,云工作负载(装备)文件的完好性监控。

5.创建一个三年技能道路图。

Forrester集团称这是一个管理人员的概述,描述怎么方案施行建议。


12:32:21 云安全 云安全危险概览 企业上云后的安全危险概览 数据和各类效劳向云端迁移不由让很多企业开始从头考虑自己的网络安全体系。企业上云后究竟会面对什么样的安全危险?

相关阅读