IT泄密事件引起了公眾對云安全的擔憂。為了限制潛在的問題,企業必須考慮治理方面的要求、工具、提供商及更多因素。
應用程序和數據的安全性對任何企業來說都極為重要,但責任卻不是平均分配的。因而,IT部門需要制定一項云安全戰略,明確企業的其余部門或人員需要遵守的合規政策或原則。
公有云消除了傳統數據中心的一部分基礎架構和管理開銷,但滿足云治理需求的重擔仍然責無旁貸地落在IT部門的肩上。在不斷變化的云計算領域,建立一套類似日常流程,而非產品的管理模式很重要。
根據貴企業的數據位置、隱私性和治理要求來選擇云提供商,另外根據制定覆蓋整個企業的云治理戰略的最佳實踐來選擇云提供商,這對任何IT部門來說是重要的考量因素。
云安全方面的挑戰
說到云安全,大多數企業并不是非常清楚什么是事實、什么是虛構。據Alert Logic公司的《2012年云安全狀況報告》聲稱,威脅活動的多樣性并不如基礎設施的所在位置來得重要。攻擊在本質上具有隨機性,所以可以從外面訪問的任何系統(無論是企業系統還是云系統)都有同樣的機會遭到攻擊。
該報告發現,基于Web應用程序的攻擊經常襲擊服務提供商的環境和內部環境,分別有53%的企業和44%的企業遭到此類攻擊。不過,內部環境受到的攻擊次數多于服務提供商環境,分別平均是61.4次攻擊和27.8次攻擊。相比服務提供商環境的用戶,內部環境用戶也要受到明顯更多的蠻力攻擊。
2012年的這份報告在今天仍然有警示作用,近期索尼、家得寶和塔吉特等公司的數據泄密事件與云無關。大多數攻擊發生在傳統系統上,歸咎于老化的安全系統和暴露的安全漏洞。
云計算繼續變得越來越普及,實現的系統變得更復雜、更異構時,擁有行之有效的云安全戰略和技術具有的重要性大幅提升。
身份和訪問管理(IAM)又稱為身份管理,它不是什么新技術,但云計算的興起讓它登上了舞臺的中央。亞馬遜網絡服務(AWS)等許多云提供商在默認情況下徑直將IAM作為一項服務來提供。其他提供商要求客戶選擇和部署第三方IAM系統。
IAM 的概念很簡單:提供一種安全方案和技術,讓合適的人員可以以合適的理由,在合適的時間訪問合適的資源。這個概念遵循這個準則:任何系統和任何人都有身份,包括人員、服務器、設備、API(應用編程接口)、應用程序和數據。一旦身份進行了驗證,接下來只要定義哪些身份可以訪問其他身份,并制定界定這些關系限制的政策。
一個例子就是,定義并存儲一組基于云的API的身份,這些API只被一批運行某個應用程序的智能手機所使用。這些API各自都有身份,智能手機、應用程序和使用手機的人也都有身份。每當與另一種資源進行交互時,IAM服務就會驗證每個實體的身份。
IAM 的一個典例就是AWS版本,這是一種完全成熟的身份管理和安全系統,它讓用戶可以控制對AWS云服務的訪問。這個IAM讓你可以通過權限的方式,創建并管理AWS用戶和用戶組,權限允許或禁止對數據進行訪問。亞馬遜的IAM其好處在于,它能夠管理誰能訪問什么數據、在什么情況下訪問。
行業的其他廠商
當然,不是每個人都運行AWS。幸好,許多新的IAM廠商致力于云,通常承諾同時提供身份管理和單點登錄服務。這些廠商包括Bitium、Centrify、Okta、OneLogin、Ping Identity和Symplified。
每家廠商對待云安全和IAM的方法各有不同,所以要結合你的具體要求來測評每個產品。選擇合適的云安全方案時,一定要考慮到下列因素:
- 基于云的身份管理服務或其他安全服務與企業安全系統的整合。安全對云系統和非云系統來說都應該是系統性的。應考慮同時滿足這兩套需求的產品。
- 基于身份的安全服務的設計和架構。有時候,安全服務可能來自你的云提供商。而在另外許多情況下,你不得不選擇并部署第三方安全工具。
- 測試(包括“白帽”安全測試)很重要。測試結果在安全系統的實際有效性方面頗有說服力。
- 對于性能的影響。在一些情況下,安全會讓你的系統拖慢到影響生產力的程度。
- 行業和需要遵守的所有必需的法規。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:企業云安全戰略:如何滿足治理要求
本文網址:http://www.guhuozai8.cn/html/consultation/10839517836.html