如何展现云计算安全领导力
网络安全和云计算技术领域专家就如何有效展现云计算安全领导力分享了一些见解和体会。
展现云安全领导力时需要考虑什么?
企业的决策者必须将其各个领域的安全放在首位,而对于云计算来说,这一点并没有什么不同。
但是,存储设备生产商希捷公司最近发布的一个研究报告表明,尽管安全是数据存储策略中经常被提及的驱动因素,但在大中型企业工作的行业专业人士中,有三分之二的人表示其安全性不足。
考虑到这一点,企业的决策者如何有效地展现云计算安全领导力?
确保完全可见
首先,企业领导者必须确保员工对从目标到性能的所有云计算运营和应用程序具有完全的可见性。
Netskope公司EMEA地区首席信息安全官Neil Thacker表示:“企业决策者可以通过获得对云计算的真正了解对其组织真正意义的全面可见性和洞察力,来证明其在组织中的云安全领导地位。而只关注他们在AWS、Azure或谷歌云基础设施或MS365或GSuit的部署,那么可能会丧失80%以上的云计算资产。
例如,企业拥有一个正在使用的所有云计算服务的实时清单,通常包括1000多个云计算应用程序,每个应用程序都代表一种风险。企业领导者应了解每种应用程序的业务和技术目标,同时还要考虑合规性要求、用户体验、性能、可靠性,以及最终的业务许可成本。
这些风险中的许多都可以通过一些基本原则来克服,例如保护每个云计算服务、确保与每个服务的连接安全、对每个服务应用威胁和数据保护,以及最终确保云计算安全的消费者(即员工)有一个安全和高性能的网络来访问这些服务。”
了解责任
展现这一领域的安全领导力还包括了解企业负责云计算部署的哪些方面,并承担这些责任。
Orange Cyberdefense公司英国市场负责人Stuart Reed解释说:“决定利用云计算的功能不仅是一项业务决定,还应考虑相关的责任及其对资源的影响。至关重要的是要记住,外包控制并不等于外包责任,企业领导者应了解云计算提供商处理哪些安全任务以及自己的组织负责哪些安全任务。
尽职调查是必不可少的,云计算提供商应至少具有与企业应用在自己的组织相同的风险框架和控制措施。在理想情况下应该更好。
随着涉及配置不足的网络泄露的案例不断增多,重要的是要了解如何稳健地配置服务以确保最佳性能和安全性。证明安全性被包装在云计算项目的核心而不是附件中,可以使安全性成为可扩展和可持续计划的推动者。”
制定明确的战略
企业在制定云安全策略时,应该牢记与云计算提供商之间的关系,了解双方的责任,这样安全人员就可以清楚地了解情况。
F5 Networks 公司首席技术官Lori MacVittie说,“公共云提供商都采用一种共享的安全责任模式,这种模式在服务提供商和企业之间有明确的划分。也就是公共云提供商负责云计算基础设施安全,企业负责应用程序和系统等其他事项的安全,从这个意义上讲,没有‘云安全’这个单一的概念。
这一区别很重要,因为在大多数情况下,企业IT员工对云计算基础设施操作的知识有限。通过明确区分这两方面,企业领导者可以了解其组织只对受其控制的系统和应用程序的安全性负责。这一区别还将重点转移到IT团队可以保护的领域,这使他们有信心推进保护公共云中应用程序和系统的策略和服务。
因此,企业领导层必须制定一个安全策略,清楚地描述操作和应用方面的问题。对于企业来说,这意味着要保护仪表板和控制台,并适当遵守云提供商服务(例如Amazon S3)的最佳实践。这两者都是云计算安全的重要组成部分。
通过展现对共享云安全责任模式的认识,并就保护应用程序、系统和服务的需求提供明确的方向,企业领导者将帮助安全人员更加自信地实现云安全。”
自动化和DevOps
云计算提供商通常支持自动化和DevOps,并且这些技术能够加快任务的完成。此外,它们还可以进行自动安全检查,从而可以为安全人员腾出更多的时间。
Red Hat公司首席安全架构师Mike Bursell说:“有时候不必展现领导能力,因为已经掌握了一切。”一般而言,自动化为云计算的应用提供帮助,而云计算的安全性也必须实现自动化。
企业的安全控件需要集成到整个DevOps生命周期中,这样就不会出现瓶颈,而企业中为数不多的安全专家之一会在部署前检查所有内容。与其相反,安全性应该是生命周期的一部分,并且是内置和自动化的,因此可以通过检查异常来管理安全性:在出现问题时可以通过专家解决,如果一切都能正常进行部署,那可以实现自动化。这使企业的开发和运营团队摆脱繁重琐碎的人工检查工作,并使企业的安全专家团队可以专注于应对网络攻击和漏洞等真正的问题。”
警惕云蔓延
理光公司IT、通信和工作场所总监John Chambers认为,企业决策者要考虑的云安全领导力的最后一个方面是云蔓延的可能性。
Chambers说:“云计算应该被视为一项至关重要的长期投资,因为它无疑将使企业员工的工作更轻松,并有助于防止安全威胁。此外,基于云计算的基础设施可以提供可扩展性和弹性,以提供适应季节性需求高峰所需的原始计算和存储容量。
但是,需要注意避免‘云蔓延’——在这种情况下,额外的资源被激活,并在不再需要时没有停用,这可能会导致不可预见的成本大幅增加。
云计算为企业在异常情况下继续运作提供了更大的潜力。重要的是要记住,在家工作的只有员工个人和他们的设备,其余大部分业务活动都应该在云端进行。而现在员工开展的工作都能在任何地方进行。”
