Indholdsfortegnelse:
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
En tankevækkende tilgang til sikkerhed kan lykkes i at begrænse mange sikkerhedsrisici i et hybrid-cloud-miljø. For at udvikle et sikkert hybridmiljø skal du vurdere den aktuelle tilstand af din sikkerhedsstrategi samt den sikkerhedsstrategi, som din cloud-udbyder tilbyder.
Vurder din nuværende sikkerhedstilstand
I et hybrid-miljø starter sikkerheden med at vurdere din aktuelle tilstand. Du kan begynde med at besvare et sæt spørgsmål, som kan hjælpe dig med at danne din tilgang til din sikkerhedsstrategi. Her er nogle vigtige spørgsmål at overveje:
-
Har du for nylig evalueret din egen traditionelle sikkerhedsinfrastruktur?
-
Hvordan styrer du adgangsrettigheder til applikationer og netværk - både i din virksomhed og dem uden for din firewall? Hvem har ret til at få adgang til it-ressourcer? Hvordan sikrer du, at kun de rigtige identiteter får adgang til dine applikationer og oplysninger?
-
Kan du identificere sårbarheder og risici i webapplikationen og derefter rette eventuelle svagheder?
-
Har du mulighed for at spore din sikkerhedsrisiko over tid, så du nemt kan dele opdaterede oplysninger med dem, der har brug for det?
-
Beskyttes dine servermiljøer altid fra eksterne sikkerhedstrusler?
-
Hvis du bruger kryptering, opretholder du dine egne nøgler eller får dem fra en betroet og pålidelig leverandør? Bruger du standard algoritmer?
-
Kan du overvåge og kvantificere sikkerhedsrisici i realtid?
-
Kan du implementere sikkerhedspolitikker konsekvent på tværs af alle typer lokaler og cloud arkitekturer?
-
Hvordan beskytter du alle dine data, uanset hvor den er gemt?
-
Kan du opfylde revisions- og rapporteringskrav til data i skyen?
-
Kan du opfylde overholdelseskravene i din branche?
-
Hvad er dit programsikkerhedsprogram?
-
Hvad er dine katastrofe- og genopretningsplaner? Hvordan sikrer du service kontinuitet?
Vurder din cloud-leverandør sikkerhed
En hybrid cloud-miljø udgør et specielt sæt udfordringer, når det gælder sikkerhed og styring. Hybridskyer bruger din egen infrastruktur plus din serviceudbyder. For eksempel kan data gemmes på dine lokaler, men behandles i skyen. Det betyder, at din lokal infrastruktur kan være forbundet med en mere offentlig sky, som vil påvirke de slags sikkerhedskontroller, du har brug for.
Kontrol skal være på plads for omkreds sikkerhed, adgang, dataintegritet, malware og lignende - ikke kun på din placering, men også hos din cloud-udbyder.Cloud-udbydere har hver deres måde at styre sikkerhed på. De er måske ikke kompatible med din organisations overholdelse og overordnede sikkerhedsplan. Det er helt afgørende, at din virksomhed ikke begraver sit hoved i sandet ved at antage, at skyens udbyder har sikkerhed omfattet.
Du skal verificere, at din cloud-udbyder sikrer det samme sikkerhedsniveau, du kræver internt (eller et overordnet niveau, hvis du søger at forbedre din overordnede sikkerhedsstrategi). Du skal stille mange hårde spørgsmål for at sikre, at din virksomheds sikkerheds- og styringsstrategi kan integreres med din udbyder.
Her er nogle tips, der kan komme i gang, og det kan også være nyttigt ved vurderingen af din sikkerhedsstrategi:
-
Spørg din cloud-udbyder, hvilken slags virksomheder de servicerer. Spørg også spørgsmål om systemarkitektur for at forstå mere om, hvordan multi-lejemål håndteres.
-
Besøg faciliteten uanmeldt for at forstå, hvilke fysiske sikkerhedsforanstaltninger der er på plads. Ifølge CSA betyder dette at gå gennem alle områder, fra modtagelsesområdet til generatorrummet og endda inspicere brændstoftanke. Du skal også kontrollere omkretssikkerheden (for eksempel kontrollere, hvordan folk får adgang til bygningen), og om operatøren er forberedt på en krise (f.eks. Ildslukkere, alarmer og lignende).
-
Kontroller, hvor cloud-udbyderen er placeret. For eksempel er det i et højt kriminalitetsområde eller et område, der er udsat for naturkatastrofer som jordskælv eller oversvømmelser?
-
Hvilken slags opdateret dokumentation har cloud-udbyderen på plads? Har det hændelsesplaner? Beredskabsplaner? Backup planer? Restaurering planer? Baggrundskontrol af sikkerhedspersonale og andre medarbejdere?
-
Hvilke certificeringer har leverandøren? Har skyens sikkerhedspersonale certificeringer som CISSP, CISA og ITIL?
-
Find ud af, hvor dine data vil blive gemt. Hvis din virksomhed har overholdelsesbestemmelser, skal den mødes om data bosiddende i fremmede lande, det er vigtigt at vide.
-
Find ud af, hvem der har adgang til dine data. Se også, hvordan data beskyttes.
-
Få mere at vide om leverandørens data backup og retention planer. Du vil gerne vide, om dine data kommer i forbindelse med andre data. Hvis du vil have dine data tilbage, når du opsiger din kontrakt, kan disse problemer være vigtige.
-
Hvordan vil din udbyder forhindre afslag på tjenesten (DoS)?
-
Hvilke slags vedligeholdelseskontrakter har din udbyder på plads for sit udstyr?
-
Overvåger din cloud-udbyder løbende sine operationer? Kan du have synlighed i denne overvågningsevne?
-
Hvordan opdages hændelser? Hvordan er oplysninger logget?
-
Hvordan håndteres hændelser? Hvad er definitionen af en hændelse? Hvem er dit kontaktpunkt hos din tjenesteudbyder? Hvad er gruppemedlemmernes roller og ansvar?
-
Hvordan behandler din udbyder programsikkerhed og datasikkerhed?
-
Hvilke målinger overvåger din cloud-udbyder for at sikre, at programmerne forbliver sikre?
I betragtning af vigtigheden af sikkerhed i skymiljøet kan du antage, at en stor skyudbyder vil have et sæt omfattende serviceniveauaftaler for sine kunder. Faktisk er mange af standardaftalerne beregnet til at beskytte tjenesteudbyderen - ikke kunden. Så din virksomhed skal virkelig forstå kontrakten samt den infrastruktur, processer og certificeringer, som din cloud-udbyder har.
Du skal klart formulere dine cloud sikkerhedskrav og styringsstrategi og bestemme ansvarlighed. Hvis din cloud-udbyder ikke ønsker at snakke om disse emner, skal du overveje en anden cloud-udbyder. På den anden side kan din cloud-udbyder faktisk have nogle tricks op på ærmet, der kan forbedre din egen sikkerhed!
