A felhőalapú informatikai rendszerek szinte minden modern iparágban fontos funkciókat töltenek be. A vállalatok, a nonprofitok, a kormányok, sőt az oktatási intézmények is használják a felhőt a piac eléréséhez, a teljesítmény elemzéséhez, az emberi erőforrások kezeléséhez és a jobb szolgáltatások nyújtásához. Természetesen a hatékony felhőbiztonsági irányítás elengedhetetlen minden olyan szervezet számára, amely az elosztott informatika előnyeit kívánja kihasználni.
Mint minden IT-tartomány, a felhőalapú számítástechnika egyedi biztonsági problémákat vet fel. Bár az a gondolat, hogy az adatok biztonságban maradnak a felhőben, már régóta lehetetlen ellentmondásnak tekinthetők, a széles körben elterjedt iparági gyakorlatok számos technikát mutatnak, amelyek hatékony felhőbiztonságot nyújtanak. Mivel a kereskedelmi felhőszolgáltatók, mint az Amazon AWS, bizonyították, hogy a FedRAMP megfelelőségét fenntartja, a hatékony felhőbiztonság mind a valós világban elérhető, mind praktikus.
$config[code] not foundImpactful biztonsági ütemterv ábrázolása
Egy informatikai biztonsági projekt nem működhet szilárd terv nélkül. A felhőt magában foglaló gyakorlatoknak a védendő területeknek és megvalósításoknak megfelelően kell változniuk.
Tegyük fel például, hogy egy helyi önkormányzati intézet hozza a saját eszközt, vagy a BYOD-et. Előfordulhat, hogy különböző felügyeleti ellenőrzéseket kell bevezetnie, mintha csak a személyi okostelefonok, laptopok és táblagépek használatával akadályozná meg a szervezeti hálózathoz való hozzáférést. Hasonlóképpen, egy olyan cégnek, amely a felhőbe történő tárolásával kívánja hozzáférhetővé tenni az adatokat a jogosult felhasználók számára, valószínűleg különböző lépéseket kell tennie a hozzáférés ellenőrzésére, mintha saját adatbázisait és fizikai szervereit fenntartaná.
Ez nem jelenti azt, ahogyan néhányan azt javasolják, hogy a felhőbiztonság sikeres megtartása kevésbé valószínű, mint a magán LAN-on történő biztonság fenntartása. A tapasztalatok azt mutatják, hogy a különböző felhővédelmi intézkedések hatékonysága attól függ, hogy mennyire felelnek meg bizonyos bizonyított módszereknek. A kormányzati adatokat és eszközöket használó felhőalapú termékek és szolgáltatások esetében ezek a legjobb gyakorlatok a Federal Risk and Authorization Management program (FedRAMP) részeként kerülnek meghatározásra.
Mi a szövetségi kockázatkezelési és engedélyezési program?
A Federal Risk and Authorization Management program egy hivatalos folyamat, amelyet a szövetségi ügynökségek a felhőalapú számítástechnikai szolgáltatások és termékek hatékonyságának megítélésére használnak. Szívében fekszik a Nemzeti Szabványügyi és Technológiai Intézet, vagy a NIST, a különféle speciális kiadványokban, vagy az SP, valamint a szövetségi információfeldolgozási szabványban, vagy a FIPS dokumentumokban meghatározott szabványok. Ezek a szabványok a felhőalapú hatékony védelemre összpontosítanak.
A program számos közös felhővédelmi feladatra vonatkozó iránymutatást ad. Ezek közé tartoznak a helyes kezelési események, a törvényszéki technikák alkalmazása a jogsértések kivizsgálására, az erőforrások rendelkezésre állásának fenntartása és a kockázatok kezelése. A program magában foglalja a harmadik fél akkreditációs szervezeteinek vagy 3PAO-knak az akkreditációs protokolljait is, amelyek eseti alapon értékelik a felhő megvalósítását. A 3PAO által tanúsított megfelelőség fenntartása biztos jel, hogy az informatikai integrátor vagy a szolgáltató készen áll arra, hogy az információ biztonságban maradjon a felhőben.
Hatékony biztonsági gyakorlatok
Szóval, hogy a vállalatok hogyan tárolják az adatokat biztonságos felhőszolgáltatókkal? Bár számtalan fontos technika létezik, néhányat érdemes itt megemlíteni:
Szolgáltató ellenőrzése
Az erős munkakapcsolatok a bizalomra épülnek, de a jóhiszeműségnek valahol származnia kell. Függetlenül attól, hogy a felhőszolgáltató milyen jól működik, fontos, hogy a felhasználók hitelesítsék a megfelelőségi és irányítási gyakorlatukat.
A kormányzati informatikai biztonsági szabványok jellemzően tartalmazzák az ellenőrzési és pontozási stratégiákat. A felhőszolgáltató múltbeli teljesítményének ellenőrzése jó módja annak, hogy megtudja, érdemes-e a jövőbeni üzleti tevékenységét. Azok a személyek, akik.gov és.mil e-mail címeket tartanak, hozzáférhetnek a különböző szolgáltatókhoz tartozó FedRAMP biztonsági csomagokhoz, hogy megerősítsék azok megfelelőségi állításait.
Tegyünk fel egy proaktív szerepet
Bár az olyan szolgáltatások, mint az Amazon AWS és a Microsoft Azure elismerik a szabványok betartását, az átfogó felhőbiztonság több félnél is többet vesz igénybe. A vásárolt felhőszolgáltatási csomagtól függően előfordulhat, hogy a szolgáltató bizonyos kulcsfontosságú jellemzőinek végrehajtását kell irányítania, vagy tájékoztatnia kell őket arról, hogy konkrét biztonsági eljárásokat kell követniük.
Például, ha Ön orvostechnikai eszközgyártó, az olyan törvények, mint az egészségbiztosítási hordozhatóság és az elszámoltathatóságról szóló törvény, vagy a HIPAA, felhatalmazhatnak arra, hogy tegyen további lépéseket a fogyasztók egészségére vonatkozó adatok védelme érdekében. Ezek a követelmények gyakran léteznek függetlenül attól, amit a szolgáltatónak meg kell tennie ahhoz, hogy megtartsa szövetségi kockázatkezelési és engedélyezési programja tanúsítványát.
Minimálisan kizárólag a felhőrendszerekkel való szervezeti interakciót lefedő biztonsági gyakorlatok fenntartásáért felelősséggel tartozik. Például biztonságos jelszó-házirendeket kell létrehoznia a személyzet és az ügyfelek számára. A labda eldobása a leghatékonyabb felhőbiztonsági végrehajtást is veszélyeztetheti, ezért vállaljon felelősséget.
Amit a felhő szolgáltatásaival csinál, végső soron a biztonsági funkciók hatékonyságát érinti. Munkatársaink kényelmességi okokból, például a Skype-on vagy a Gmailen keresztül történő dokumentumok megosztásával foglalkozhatnak, de ezek a látszólag ártalmatlan cselekedetek akadályozhatják a gondosan meghatározott felhővédelmi terveket. Amellett, hogy képzett személyzetet képez az engedélyezett szolgáltatások megfelelő használatára, meg kell tanítania nekik, hogyan lehet elkerülni a nem hivatalos adatfolyamokkal kapcsolatos buktatókat.
Ismerje meg a Cloud Service szabályait a kockázat ellenőrzésére
Az adatok tárolása a felhőn nem feltétlenül adja meg ugyanazokat a juttatásokat, mint amennyit önmaga tárol. Egyes szolgáltatók fenntartják maguknak a jogot, hogy a tartalmat vonzzák, hogy hirdetéseket tudjanak kiszolgálni vagy elemezni tudják termékeik használatát. Másoknak technikai segítségnyújtás során előfordulhat, hogy hozzáférniük kell az információihoz.
Bizonyos esetekben az adatok expozíciója nem nagy probléma. Ha személyesen azonosítható fogyasztói tájékoztatással vagy fizetési adatokkal foglalkozik, azonban könnyen láthatjuk, hogy a harmadik felek hozzáférhetnek a katasztrófához.
Lehetetlen lehet teljesen megakadályozni a távoli rendszerhez vagy adatbázishoz való hozzáférést. Mindazonáltal a könyvvizsgálati nyilvántartást és a rendszer-hozzáférési naplót kibocsátó szolgáltatókkal való munka megtartja Önt abban, hogy az adatait biztonságosan tartják-e. Az ilyen ismeretek nagyban segítenek abban, hogy az entitások segítsék az esetlegesen bekövetkezett jogsértések negatív hatásait.
Soha ne vegye fel a biztonságot egy egyszeri ügy
A legtöbb intelligens ember rendszeresen módosítja személyes jelszavát. Nem kellene ugyanolyan gondoskodnia a felhőalapú informatikai biztonságról?
Függetlenül attól, hogy a szolgáltató megfelelőségi stratégiája milyen gyakran határozza meg önellenőrzését, meg kell határoznia vagy elfogadnia saját rutinértékelési szabványait. Ha a megfelelőségi követelmények is kötődnek, úgy vélik, hogy olyan szigorú szabályozást fogadna el, amely biztosítja, hogy teljesítse a kötelezettségeit még akkor is, ha a felhő szolgáltatója ezt nem teszi következetesen.
Felhőbiztonsági megvalósítások létrehozása, amelyek működnek
A hatékony felhőbiztonság nem olyan misztikus város, amely örökre fekszik a horizonton. Mint jól megalapozott folyamat, a legtöbb informatikai szolgáltató és szolgáltató számára is elérhető, függetlenül attól, hogy melyik szabványnak felel meg.
Az ebben a cikkben ismertetett gyakorlatoknak az Ön céljaihoz való hozzáigazításával elérhetjük és karbantarthatjuk azokat a biztonsági szabványokat, amelyek az Ön adatainak biztonságát megőrzik anélkül, hogy drasztikusan növelnék az üzemeltetési költségeket.
Kép: SpinSys
1 Megjegyzés ▼