企业入云端 别一味纠结安全问题
人为错误与用户访问
无疑,供应商已经在保障云环境的安全方面有了不少进展,但还会有因供应商或用户的错误而导致的其它问题。
云的最大安全问题之一就是使用公有云的企业和个人粗心大意,从而在无意中将数据置于风险中。其它的安全风险至少有一部分是由云供应商造成的:口令成为许多云服务的默认访问方法。
当云用户在家中的电脑上工作时,或在不受控制的其它地方工作时,就可能使公司的口令和登录信息容易遭受钓鱼攻击的风险。因此,一些软件厂商正着手开发有助于使公司更多地控制SaaS应用的解决方案,并以此更好地管理通过云环境的信息流,从而避免数据丢失事件。
选择适当的供应商
云安全问题往往未必是数据丢失或数据失窃等问题的主要元凶。无论从哪个方面来说(尤其是从经济方面),云供应商都会坚决地管理自己的服务,保持其强健、可靠、安全。云供应商对安全的重视程度要比过去更强,而且也深刻地理解与故障、重大安全事件有关的风险,理解这些风险与客户和收入的丧失、品牌受损之间的关系。
数据丢失往往发生在云供应商产生财务问题或因某种原因而陷于倒闭时。如果云供应商破产而被另一供应商收购,或者彻底倒闭,就会将公司的数据置于危险的边缘,或丢失或失窃。
企业实际上是受到供应商的能力、财务、技术等因素的制约。在将“鸡蛋(数据)”放在它们的“篮子”中时,企业应知道供应商如何确保这个篮子保持完整。
安全并非需要考虑的唯一问题
在决定是否迁移到云中时,安全性并不是应当考虑的唯一因素。除非企业属于严格管制的行业,其中的数据完全不能面临丝毫风险。通常,企业至少可以把部分不敏感的数据和负载放在云中而获得一些好处。
即使企业有时要减少安全功能,与云计算有关的其它好处也可促使企业采用云。这种权衡可能很复杂,但从企业面临的整体风险来说,采用云还是利大于弊。
重视第三方的评估
当然,为了使利用云的过程可靠稳健,企业不能简单地问几个问题,而应看一下云服务供应商是否有第三方评估(如ISO 270001和SOC2)的证明。企业不应听信供应商的一面之词,而应主动地找到拥有认证和适当评估的供应商。
云安全可以改善企业的风险状态
云供应商有很多提升安全性和确保保护客户资产安全性的动机和理由,所以在有些情况下与云供应商合作可以提高安全性。
实际上,云供应商可以在多个客户的安全监视和保护费用之间实现共享,这是一种能够以更低的成本换来更大安全性的的规模经济。中小型企业尤其可以考虑此种方案,因为对于没有很成熟或强健的安全控制的公司来说,迁移到云计算不仅有助于降低成本,还有益于风险管理。
不妨以SIEM(安全信息和事件管理)为例。多数小型企业不可能有专门的人员全天候地运行一个安全操作中心,因为这种做法成本高昂。为进行全天候的监视,企业需要有多个雇员轮换(包括在周末)值班。云服务供应商可以用专门的专业人员提供安全操作,这对企业来说是很划算的。
上一篇: 嵌入式系统watchdog的实现