很多企業(yè)的數(shù)據(jù)存放在云端，而沒(méi)有存放在內(nèi)部部署數(shù)據(jù)中心，但這并不意味著可以不用負(fù)責(zé)其數(shù)據(jù)的安全性。

[[272460]]

云計(jì)算技術(shù)當(dāng)然具有一定的優(yōu)勢(shì)，但與任何大規(guī)模部署一樣，采用云計(jì)算也可能面臨無(wú)法預(yù)料的挑戰(zhàn)。“云計(jì)算只是別人的數(shù)據(jù)中心”，這個(gè)概念讓很多人感到困惑，因?yàn)檫@可能假設(shè)企業(yè)放棄安全責(zé)任，因?yàn)?ldquo;別人會(huì)照顧它”。

云計(jì)算系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序并非實(shí)際位于企業(yè)的控制范圍內(nèi)，而是安全責(zé)任和風(fēng)險(xiǎn)的一種緩解。云計(jì)算基礎(chǔ)設(shè)施提供商可以在設(shè)置運(yùn)營(yíng)環(huán)境的方式、放置的內(nèi)容，如何保護(hù)數(shù)據(jù)，以及如何監(jiān)控環(huán)境方面實(shí)現(xiàn)大量控制。企業(yè)在整個(gè)環(huán)境中管理風(fēng)險(xiǎn)，并與現(xiàn)有安全框架保持一致是最重要的。

隱私和風(fēng)險(xiǎn)

根據(jù)歐盟發(fā)布的通用數(shù)據(jù)保護(hù)法規(guī)和美國(guó)一些地區(qū)(亞利桑那州、科羅拉多州、加利福尼亞州和其他州)的類似政策，組織在保護(hù)云中的數(shù)據(jù)時(shí)面臨更高的要求。其解決方案并不像在數(shù)據(jù)中心安裝數(shù)據(jù)丟失防護(hù)軟件那么簡(jiǎn)單，因?yàn)槠髽I(yè)現(xiàn)在擁有很多不屬于自己但仍需要可見(jiàn)性和控制權(quán)的服務(wù)、系統(tǒng)和基礎(chǔ)設(shè)施。

共享或交換信息的云計(jì)算服務(wù)和基礎(chǔ)設(shè)施也難以管理：那么誰(shuí)擁有服務(wù)級(jí)別協(xié)議?是否需要一個(gè)控制臺(tái)可以監(jiān)控一切?DevOps迫使企業(yè)實(shí)施微分段，并調(diào)整防火墻規(guī)則變更管理流程。此外，采用無(wú)服務(wù)器計(jì)算允許開(kāi)發(fā)人員運(yùn)行代碼，而無(wú)需擔(dān)心基礎(chǔ)設(shè)施和平臺(tái)，為組織提供了降低成本和提高工作效率的方法。但是，如果沒(méi)有處理虛擬私有云和工作負(fù)載部署，事情可能會(huì)失控，就會(huì)開(kāi)始看到重要數(shù)據(jù)可能泄漏。

緩解

組織可以采取幾個(gè)步驟來(lái)幫助降低在云中的數(shù)據(jù)風(fēng)險(xiǎn)。

1.設(shè)計(jì)保持一致。首先，將組織的云計(jì)算環(huán)境與網(wǎng)絡(luò)安全框架保持一致。通常，組織將業(yè)務(wù)迅速地遷移到云平臺(tái)，以至于應(yīng)用于其內(nèi)部部署數(shù)據(jù)中心的安全控制措施可能不會(huì)有效地遷移到云平臺(tái)。此外，組織可以采用軟件即服務(wù)(SaaS)應(yīng)用程序(如Salesforce或Office 365)上的安全措施。但即使使用這些合法的業(yè)務(wù)應(yīng)用程序，如果組織沒(méi)有正確的數(shù)據(jù)，數(shù)據(jù)可能會(huì)丟失能見(jiàn)度和控制力。因此，使云計(jì)算提供商技術(shù)與網(wǎng)絡(luò)安全框架和業(yè)務(wù)運(yùn)營(yíng)程序保持一致，可以實(shí)現(xiàn)高度安全、更高效的云平臺(tái)，從而提供更好的結(jié)果和成功的部署。

2.應(yīng)該像對(duì)待局域網(wǎng)和數(shù)據(jù)中心那樣對(duì)待云計(jì)算系統(tǒng)和網(wǎng)絡(luò)。例如，亞馬遜公司的共享責(zé)任模型概述了其安全責(zé)任從何處結(jié)束，以及其安全責(zé)任從何處開(kāi)始。盡管計(jì)算層存在威脅(正如人們?cè)贛eltdown、Foreshadow和Spectre中看到的那樣)，最近的云計(jì)算數(shù)據(jù)泄露事件已經(jīng)顯示出組織安全責(zé)任領(lǐng)域的崩潰，即操作系統(tǒng)安全、數(shù)據(jù)加密和訪問(wèn)控制。如果組織有管理服務(wù)器配置、漏洞管理、修補(bǔ)、身份和訪問(wèn)管理、加密、分段、防火墻規(guī)則、應(yīng)用程序開(kāi)發(fā)和監(jiān)控的標(biāo)準(zhǔn)，需要注意這些標(biāo)準(zhǔn)是否適用于云計(jì)算服務(wù)，并且定期進(jìn)行審核。

3.有效的安全控制。很多組織通常會(huì)警告那些為了獲得靈活性和效率卻接入不安全無(wú)線接入點(diǎn)的員工，提醒他們注意安全。提供惡意檢測(cè)和入侵防御系統(tǒng)功能的無(wú)線控制器有助于控制這種行為。通過(guò)云計(jì)算技術(shù)，員工可以根據(jù)需要設(shè)置云計(jì)算存儲(chǔ)賬戶、無(wú)服務(wù)器計(jì)算環(huán)境和虛擬專用網(wǎng)絡(luò)，以避免繁瑣的變更控制程序，降低成本，并獲得類似的靈活性和效率。通過(guò)重新架構(gòu)傳統(tǒng)網(wǎng)絡(luò)調(diào)整數(shù)十年前的流程和程序，實(shí)施云計(jì)算代理或云計(jì)算訪問(wèn)安全代理(CASB)技術(shù)，并將其與強(qiáng)大的端點(diǎn)安全控制和有效的意識(shí)活動(dòng)相結(jié)合，組織可以提供這種級(jí)別的靈活性和效率，但仍然可以提供數(shù)據(jù)保護(hù)。

4.密切關(guān)注。網(wǎng)絡(luò)安全運(yùn)營(yíng)中心(CSOC)不再僅僅關(guān)注本地網(wǎng)絡(luò)和數(shù)據(jù)中心。安全運(yùn)營(yíng)中心(CSOC)使用的運(yùn)營(yíng)監(jiān)控程序、威脅搜尋、情報(bào)和事件響應(yīng)也適用于組織數(shù)據(jù)所在的云計(jì)算環(huán)境。監(jiān)控組織數(shù)據(jù)可能駐留的SaaS應(yīng)用程序具有挑戰(zhàn)性，但可以使用有效的端點(diǎn)安全性以及云計(jì)算訪問(wèn)解決方案(CASB和代理)的監(jiān)控來(lái)完成。對(duì)于無(wú)服務(wù)器環(huán)境，根據(jù)組織的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心(CSOC)要求，這可能意味著第三方監(jiān)控平臺(tái)或解決方案的應(yīng)用超出云計(jì)算提供商提供的范圍。在所有情況下，事件記錄和觸發(fā)器都需要反饋到網(wǎng)絡(luò)安全運(yùn)營(yíng)中心(CSOC)以便與本地事件數(shù)據(jù)、分析和威脅情報(bào)相關(guān)聯(lián)。

由于可用的云計(jì)算服務(wù)，組織難以管理風(fēng)險(xiǎn)。從“盡一切努力完成工作”到“做對(duì)企業(yè)有利的事情”的文化轉(zhuǎn)變需要大量的協(xié)調(diào)努力和時(shí)間，但其根源在于安全成為業(yè)務(wù)推動(dòng)者。

如果需要繼續(xù)保護(hù)業(yè)務(wù)，組織必須在技術(shù)決策中包含安全性，并且其安全性必須了解業(yè)務(wù)需求和技術(shù)變化才能成為推動(dòng)者。為了幫助阻止員工自己尋求技術(shù)問(wèn)題解決方案，IT團(tuán)隊(duì)和安全團(tuán)隊(duì)必須開(kāi)發(fā)他們的資產(chǎn)和功能，以提供速度和便利，或者需要不斷努力跟上這種需求。