Cloud-baserte IT-systemer oppfyller viktige funksjoner i nesten alle moderne bransjer. Bedrifter, non-profit, myndigheter, og til og med utdanningsinstitusjoner bruker skyen til å utvide markeds rekkevidde, analysere ytelse, administrere menneskelige ressurser og tilby forbedrede tjenester. Naturligvis er effektiv styring av cloud security viktig for enhver enhet som ønsker å høste fordelene med distribuert IT.
Som alle IT-domene har cloud computing unike sikkerhetsproblemer. Selv om selve ideen om å holde data trygt i skyen lenge har vært ansett som en umulig motsetning, viser utbredt industripraksis en rekke teknikker som gir effektiv skyssikkerhet. Som kommersielle cloud-leverandører som Amazon AWS har demonstrert ved å opprettholde FedRAMP-samsvar, er effektiv sky sikkerhet både oppnåelig og praktisk i den virkelige verden.
$config[code] not foundKartlegging av en virkningsfull sikkerhetskartkart
Ingen IT-sikkerhetsprosjekt kan fungere uten en solid plan. Praksis som involverer skyen, må variere i henhold til domenene og implementeringene de søker å beskytte.
Anta for eksempel at et byrås institusjoner tar med egen enhet, eller BYOD, policy. Det kan være nødt til å innføre forskjellige tilsynskontroller enn det ville hvis det bare hindret sine ansatte fra å få tilgang til organisasjonsnettverket ved hjelp av deres personlige smarttelefoner, bærbare datamaskiner og tabletter. På samme måte vil et selskap som ønsker å gjøre dataene mer tilgjengelige for autoriserte brukere ved å lagre det i skyen, sannsynligvis måtte ta forskjellige skritt for å overvåke tilgangen enn det ville hvis den opprettholdt sine egne databaser og fysiske servere.
Dette er ikke å si, som noen har antydet, at det er mindre sannsynlig å holde skyen trygt, men å holde sikkerheten på et privat LAN. Erfaring har vist at effekten av ulike skytsikkerhetstiltak avhenger av hvor godt de overholder visse velprøvde metoder. For skyprodukter og tjenester som bruker statlige data og eiendeler, er disse beste rutene definert som en del av Federal Risk and Authorization Management Program, eller FedRAMP.
Hva er Federal Risk and Authorization Management Program?
Federal Risk and Authorization Management Programmet er en offisiell prosess som føderale byråer bruker til å bedømme effekten av cloud computing-tjenester og produkter. Ved sitt hjerte ligger standarder som er definert av Nasjonalt institutt for standarder og teknologi, eller NIST, i ulike spesielle publikasjoner eller SP, og Federal Information Processing Standard, eller FIPS, dokumenter. Disse standardene fokuserer på effektiv skybasert beskyttelse.
Programmet gir retningslinjer for mange vanlige skytsikkerhetsoppgaver. Disse inkluderer korrekt håndteringshendelser, ved hjelp av rettsmedisinske teknikker for å undersøke brudd, planleggingsforutsetninger for å opprettholde ressurs tilgjengelighet og håndtere risiko. Programmet inneholder også akkrediteringsprotokoller for Tredjepartsakkrediteringsorganisasjoner, eller 3PAOer, som vurderer cloud-implementeringer fra tilfelle til sak. Opprettholde 3PAO-sertifisert samsvar er et sikkert tegn på at en IT-integrator eller leverandør er forberedt på å holde informasjonen trygg i skyen.
Effektive sikkerhetspraksis
Så hvordan holder bedriftene data trygge med kommersielle cloud-leverandører? Mens det er utallige viktige teknikker, er noen få verdig å nevne her:
Leverandørbekreftelse
Sterke samarbeidsforhold bygger på tillit, men at god tro må stamme fra et eller annet sted. Uansett hvor veletablert en skyleverandør er det viktig at brukere autentiserer deres samsvar og styringspraksis.
Statens IT-sikkerhetsstandarder omfatter vanligvis revisjons- og scoringstrategier. Det er en fin måte å finne ut om de er verdige for din fremtidige virksomhet, når du sjekker opp på skyforhandlerens tidligere ytelse. Personer som har.gov og.mil e-postadresser, kan også få tilgang til FedRAMP-sikkerhetspakker assosiert med ulike tilbydere for å bekrefte deres krav om samsvar.
Anta en proaktiv rolle
Selv om tjenester som Amazon AWS og Microsoft Azure bekrefter at de overholder etablerte standarder, tar omfattende skyvesikkerhet mer enn ett parti. Avhengig av hvilken skyttjenestepakke du kjøper, må du kanskje lede leverandørens gjennomføring av bestemte nøkkelfunksjoner eller gi dem råd om at de må følge bestemte sikkerhetsprosedyrer.
Hvis du for eksempel er en produsent av medisinsk utstyr, kan lover som helseforsikringsportabilitet og ansvarlig lov, eller HIPAA, kreve at du tar ekstra skritt for å beskytte forbrukerens helsedata. Disse kravene eksisterer ofte uavhengig av hva leverandøren må gjøre for å beholde deres Federal Risk and Authorization Management Program-sertifisering.
På et minimum, er du alene ansvarlig for å opprettholde sikkerhetspraksis som dekker din organisatoriske samhandling med skytsystemer. For eksempel må du opprette sikre passordregler for dine ansatte og kunder. Å droppe ballen på slutten kan kompromittere selv den mest effektive implementeringen av skytsikkerhet, så ta ansvaret nå.
Hva du gjør med skyttjenestene dine, påvirker effekten av deres sikkerhetsfunksjoner. Dine ansatte kan engasjere seg i skygge IT-praksis, for eksempel å dele dokumenter via Skype eller Gmail, av praktiske grunner, men disse tilsynelatende uskyldige handlingene kan hindre dine nøye fastsatte skybeskyttelsesplaner. I tillegg til treningspersonalet hvordan du bruker autoriserte tjenester på riktig måte, må du lære dem hvordan du unngår fallgruver som involverer uoffisielle datastrømmer.
Forstå vilkårene for Cloud Service for å kontrollere risiko
Hosting dataene dine på skyen gir ikke nødvendigvis deg samme kvoter du selvsagt vil ha med selvlagring. Noen tilbydere beholder retten til å tråle innholdet ditt slik at de kan vise annonser eller analysere bruken av deres produkter. Andre må kanskje få tilgang til informasjonen din i løpet av å gi teknisk støtte.
I noen tilfeller er dataeksponering ikke et stort problem. Når du har å gjøre med personlig identifiserbar forbrukerinformasjon eller betalingsdata, er det imidlertid lett å se hvordan tilgang fra tredjepart kan føre til katastrofe.
Det kan være umulig å forhindre all tilgang til et eksternt system eller en database. Likevel, når du arbeider med tilbydere som slipper ut revisjonsoppføringer og systemlogger, holder du oppmerksom på om dataene dine opprettholdes sikkert. Slike kunnskaper går langt i retning av å hjelpe enheter å redusere de negative konsekvensene av eventuelle brudd som oppstår.
Aldri anta sikkerhet er en engasjement
De fleste intelligente mennesker endrer sine personlige passord regelmessig. Skal du ikke være like flittig om skybasert IT-sikkerhet?
Uansett hvor ofte leverandørens compliancestrategi dikterer at de utfører selvrevisjon, må du definere eller vedta ditt eget sett av standarder for rutinemessige vurderinger. Hvis du også er bundet av krav til etterlevelse, vil det kreve deg å innføre et strengt regime som sikrer at du kan oppfylle dine forpliktelser, selv om skyen din ikke klarer å gjøre det konsekvent.
Opprette Cloud Security-implementeringer som fungerer
Effektiv sky sikkerhet er ikke noe mystisk by som ligger for alltid utover horisonten. Som en veletablert prosess er det godt innen rekkevidde for de fleste IT-brukere og leverandører, uansett hvilke standarder de overholder.
Ved å tilpasse praksisene som er skissert i denne artikkelen til dine formål, er det mulig å oppnå og opprettholde sikkerhetsstandarder som holder dataene dine trygge uten drastisk økende driftskostnader.
Bilde: SpinSys
1 Kommentar ▼
