新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
多云環(huán)境中的風(fēng)險(xiǎn)管理
隨著企業(yè)越來越多地將運(yùn)營(yíng)業(yè)務(wù)轉(zhuǎn)移到多個(gè)公共云,企業(yè)面臨著不斷變化的風(fēng)險(xiǎn)。企業(yè)必須學(xué)習(xí)如何在多云環(huán)境中管理風(fēng)險(xiǎn)。
如今,企業(yè)最有價(jià)值資產(chǎn)的性質(zhì)已經(jīng)演變。傳統(tǒng)上,企業(yè)資產(chǎn)負(fù)債表上通常是有形資本和人力資本;現(xiàn)在,它是定義數(shù)字時(shí)代的應(yīng)用資本,受到Facebook、亞馬遜、優(yōu)步等公司商業(yè)模式的啟發(fā),許多現(xiàn)代公司的價(jià)值越來越無形,并且存在于其應(yīng)用和數(shù)據(jù)中。隨著價(jià)值概念的發(fā)展,保護(hù)價(jià)值所需的方法也在發(fā)展。現(xiàn)代企業(yè)正在管理復(fù)雜的IT資產(chǎn),這些資產(chǎn)通常涉及IT架構(gòu)和部署模型的混合,更多地依賴于多個(gè)基于云計(jì)算的數(shù)字服務(wù)。這些軟件曾經(jīng)被安置在企業(yè)的私有IT環(huán)境中,但現(xiàn)在正在成為“軟件即服務(wù)”(SaaS),虛擬化計(jì)算基礎(chǔ)設(shè)施(IaaS)以及用于開發(fā)、運(yùn)行和管理應(yīng)用程序(PaaS)的平臺(tái)進(jìn)行管理。
獲取這些服務(wù)為企業(yè)提供了更強(qiáng)大的基礎(chǔ),可以提高效率和卓越運(yùn)營(yíng),并為新企業(yè)進(jìn)行創(chuàng)新。 調(diào)研機(jī)構(gòu)IDC預(yù)測(cè),到2020年,超過90%的企業(yè)將使用多種云計(jì)算服務(wù)和平臺(tái)?!岸嘣啤睘檗D(zhuǎn)變業(yè)務(wù)和增強(qiáng)員工和客戶體驗(yàn)創(chuàng)造了戰(zhàn)略需求。
在云平臺(tái)運(yùn)行應(yīng)用程序,通??梢酝ㄟ^比企業(yè)獨(dú)立管理更高的安全性得到加強(qiáng),畢竟,云計(jì)算提供商每年在基礎(chǔ)設(shè)施和人才上花費(fèi)大量資金來保證數(shù)據(jù)安全。隨著向多云世界的轉(zhuǎn)變,基本的網(wǎng)絡(luò)安全假設(shè)正在發(fā)生變化。企業(yè)必須建立一個(gè)管理風(fēng)險(xiǎn)的框架,以探索多云環(huán)境可以提供的真正好處。
不斷變化的風(fēng)險(xiǎn)格局
企業(yè)現(xiàn)在面臨著巨大的IT風(fēng)險(xiǎn)。網(wǎng)絡(luò)犯罪分子越來越復(fù)雜,他們使用各種策略來攻擊企業(yè)數(shù)據(jù)——其中許多對(duì)黑客來說并不費(fèi)力,但對(duì)組織來說卻帶來了持續(xù)的痛苦和挫折。此類武器包括通過“僵尸網(wǎng)絡(luò)”實(shí)現(xiàn)的自動(dòng)攻擊,可在短短15秒內(nèi)激活,并占據(jù)網(wǎng)絡(luò)攻擊的77%(Verizon 2017數(shù)據(jù)泄露調(diào)查報(bào)告)和分布式拒絕服務(wù)(DDoS)攻擊,將對(duì)企業(yè)業(yè)務(wù)造成巨大損害。
對(duì)于企業(yè)來說,其后果可能是極端的。嚴(yán)重的經(jīng)濟(jì)損失有時(shí)會(huì)因企業(yè)聲譽(yù)和利益相關(guān)者的信任造成無法彌補(bǔ)的損害而加劇,這個(gè)風(fēng)險(xiǎn)并不遙遠(yuǎn)。在2018年,近五分之一的公司遭遇了數(shù)據(jù)泄露行為,估計(jì)有50億個(gè)憑證在數(shù)據(jù)泄露中被盜。
談到公共云數(shù)據(jù),網(wǎng)絡(luò)罪犯并不是唯一的威脅。企業(yè)需要注意自己?jiǎn)T工產(chǎn)生錯(cuò)誤的風(fēng)險(xiǎn)。有一些值得注意的云計(jì)算資源配置錯(cuò)誤,導(dǎo)致私人信息暴露在互聯(lián)網(wǎng)上。在共同責(zé)任模式下,防范這一點(diǎn)的責(zé)任在于客戶而不是云計(jì)算服務(wù)提供商。
獲得應(yīng)用程序的可見性和控制
為了確?;诠苍频膽?yīng)用程序和數(shù)據(jù)的使用安全,企業(yè)面臨的一個(gè)主要問題是可見性。許多企業(yè)仍然不清楚自己在云計(jì)算中的消費(fèi)量。據(jù)估計(jì),一般大型企業(yè)使用大約730個(gè)單獨(dú)的云計(jì)算服務(wù)和功能。企業(yè)員工了解如何使用云計(jì)算可以幫助降低風(fēng)險(xiǎn),使他們能夠更好地將資源導(dǎo)向最易受攻擊的領(lǐng)域。
實(shí)現(xiàn)這一目標(biāo)的方法不在技術(shù)層面,而在人員層面。如果IT安全團(tuán)隊(duì)不知道應(yīng)用程序正在被使用,他們就不能采取行動(dòng)來保護(hù)應(yīng)用程序。不同部門的員工可以輕松地啟動(dòng)應(yīng)用程序,但如果從一開始就不涉及IT,可能會(huì)暴露出漏洞。為了將使用不可信服務(wù)的風(fēng)險(xiǎn)降到最低,IT部門可以為首選供應(yīng)商制定企業(yè)范圍的政策,并鼓勵(lì)員工采用該服務(wù)。
一個(gè)常見的例子是使用Dropbox等基于云計(jì)算的存儲(chǔ)應(yīng)用程序。如果IT團(tuán)隊(duì)知道用戶需要此服務(wù),他們可以設(shè)置企業(yè)許可證、安裝訪問過程,并采取措施來降低風(fēng)險(xiǎn)。如果用戶不參與其中,而是開設(shè)一個(gè)免費(fèi)帳戶,然后使用該帳戶存儲(chǔ)敏感數(shù)據(jù),則會(huì)面臨一系列風(fēng)險(xiǎn),從擁有登錄憑據(jù)的人員到在云計(jì)算服務(wù)器上擁有數(shù)據(jù)的人員。
需要治理協(xié)議
多云的安全使用需要強(qiáng)大的治理協(xié)議??梢岳斫獾氖?,許多企業(yè)都在努力快速修改其政策和程序,以跟上員工采用新的云計(jì)算功能的步伐。強(qiáng)大的治理需要全面了解組織的云計(jì)算網(wǎng)絡(luò),包括業(yè)務(wù)消費(fèi)、如何添加新服務(wù)、風(fēng)險(xiǎn)緩解系統(tǒng),以及數(shù)據(jù)和隱私政策和流程。
然而,沒有專業(yè)知識(shí)就無法開展治理。因此,企業(yè)需要專注于整個(gè)業(yè)務(wù)的培訓(xùn)和意識(shí)建設(shè),以提高對(duì)如何安全使用多個(gè)云計(jì)算服務(wù)的理解。簡(jiǎn)而言之,為了使治理有效,安全性需要嵌入到組織文化中。
保護(hù)企業(yè)免受新威脅
多云架構(gòu)是指允許員工無縫地訪問他們實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所需的一系列服務(wù)。這是關(guān)于轉(zhuǎn)變內(nèi)部IT的運(yùn)作方式,朝著消費(fèi)“即服務(wù)”的方向發(fā)展,并讓工具以安全和可持續(xù)的方式跨云平臺(tái)進(jìn)行設(shè)計(jì)。
公共云的創(chuàng)新正在以驚人的速度進(jìn)行,因此隨著技術(shù)世界的發(fā)展,企業(yè)必須做好重新評(píng)估決策的準(zhǔn)備。在這種快速變化的背景下,創(chuàng)建每隔幾年重新審查的長(zhǎng)期IT戰(zhàn)略不太可能有效。相反,組織應(yīng)該在源代碼中嵌入安全性,強(qiáng)調(diào)管理多云環(huán)境的技術(shù)控制和人員。
最重要的是要重視可視性、風(fēng)險(xiǎn)評(píng)估、適當(dāng)?shù)闹卫怼S辛肆己糜?jì)劃、強(qiáng)大的控制,以及可擴(kuò)展的基于云計(jì)算的安全技術(shù),企業(yè)可以降低風(fēng)險(xiǎn),同時(shí)提高整個(gè)環(huán)境的安全性。
|