Notes

Dyman Associates Risk Management: Grunderna i säkerhet i molnet

För många företag är säkerhet fortfarande det största hindren för genomförandet av molnet initiativ. Men det behöver inte vara.

Organisatoriska tryck att minska kostnaderna och optimera verksamheten har lett många företag att undersöka molnberäkning som ett alternativ att skapa dynamiska, snabbt slutna resurser som driver plattformarna ansökan och lagring. Trots potentiella besparingar i kostnader för infrastruktur och förbättrade business flexibilitet är säkerhet fortfarande det största hindren för genomförandet av molnet initiativ för många företag. Information säkerhet proffs måste granska en svindlande mängd säkerhetsaspekter när du utvärderar riskerna med cloud computing.

Med en sådan bred räckvidd, hur kan en organisation på ett adekvat sätt bedöma alla relevanta risker för att säkerställa att verksamheten moln säkert? Medan traditionell säkerhet utmaningar såsom förlust av data, fysiska skador på infrastruktur och compliancerisken är väl kända, en manifestation av sådana hot i en cloud miljö kan vara anmärkningsvärt olika. Ny teknik, kombinerat med den oskärpa av gränser mellan programvara definierade och hårdvara infrastruktur i datacentret, kräver en annan strategi.

En av de första stegen mot att säkerställa företagmolnet är att se över och uppdatera befintliga det politik för att tydligt definiera riktlinjer som alla moln-baserad verksamhet måste följa. En sådan politik genomföra formella kontroller för att skydda data, infrastruktur och kunder från attack, och aktiverar regelefterlevnad. Statliga organ som NIST, oss Department of Commerce, och den australiska regeringen Department of Finance och avreglering (PDF) har producerat cloud computing säkerhet dokument som beskriver övergripande principer för deras avdelningar, som kan vara en bra utgångspunkt för att genomföra en gemensam politik.

Det är viktigt att inse att molnet säkerhetsprinciper bör ge skydd oavsett leveransen modellerar. Om bygga privata, offentliga eller hybrid molnbaserade miljöer inom företaget, är moln säkerhet din organisation och några moln tjänsteleverantörer du engagera med gemensamma ansvar. När de utför diligence på tredje part cloud tjänsteleverantörer, noga granska leverantören publicerade säkerhetsprinciper och säkerställa att de överensstämmer med dina egna företagsprinciper.

Ett grundläggande säkerhetsbegrepp som anställda i många moln installationer kallas strategin försvar på djupet. Detta innebär att använda lager av säkerhetstekniker och affärsmetoder för att skydda data och infrastruktur mot hot på flera sätt. Vid säkerhetsfel på en nivå ger detta tillvägagångssätt en viss redundans och inneslutning för att skapa en varaktig säkerhet netto eller rutnät. Säkerhet är mer effektivt när lager på varje nivå i molnet stacken.

Att genomföra ett moln försvaret djupgående strategi, finns det flera säkerhet lager som kan anses. Den första och mest kända skyddsmekanism är datakryptering. Med lämplig kryptering mekanismer, kan data som lagras i molnet skyddas även om tillgång vinns av skadliga eller obehörig personal. Ett andra lager av försvar är kontext-baserad åtkomstkontroll, en typ av säkerhetspolitik som filtrerar tillgång till cloud data eller resurser baserat på en kombination av identitet, plats och tid. Ännu en annan populär säkerhetsskikt i moln-baserade system är program granskning. Denna process loggar all användaraktivitet inom ett företag program och hjälper information säkerhetspersonal upptäcka ovanliga mönster av aktivitet som kan tyda på en säkerhetsrisk. Slutligen är det viktigt att se till att alla lämpliga säkerhetsprinciper tillämpas som överförs data mellan program eller hela system inom en molnmiljö.

Tyvärr finns det ingen one-size-fits-all lösning för moln säkerhet som kan skydda alla dina IT-tillgångar. Inte heller är det klokt att anta en stängd-perimeter strategi. Organisationer kan inte längre lita på brandväggar som ett enda kontroll och säkerhetspraxis måste expandera utanför datacentret med viktiga kontrollpunkter för slutpunkter åtkomst till molnet och kanten systemen. När utomstående offentliga och hybrid molnlösningar i företagets IT-strategi, kan du anta att dessa tjänsteleverantörer säkerhetsprinciper uppfyller de normer och nivåer av uppfyllande som krävs. Kontrollera att du bokstavera och kan kontrollera vad du behöver och vad levereras.