Информационните системи, базирани на облак, изпълняват важни функции в почти всяка съвременна индустрия. Компаниите, неправителствените организации, правителствата и дори образователните институции използват облака, за да разширят пазарния си обхват, да анализират резултатите, да управляват човешките ресурси и да предлагат подобрени услуги. Естествено, ефективното управление на сигурността в облака е от съществено значение за всяка организация, която иска да се възползва от предимствата на разпределената ИТ.
Подобно на всеки ИТ домейн, изчислителните облаци имат уникални проблеми със сигурността. Въпреки, че самата идея за запазване на данните в облака отдавна се смята за невъзможно противоречие, широко разпространените индустриални практики разкриват многобройни техники, които осигуряват ефективна сигурност в облака. Тъй като търговските облачни доставчици като Amazon AWS са демонстрирали чрез спазването на FedRAMP, ефективната сигурност на облака е постижима и практична в реалния свят.
$config[code] not foundНачертаване на пътна карта за сигурност
Проектът за ИТ сигурност не може да функционира без солиден план. Практиките, които включват облака, трябва да варират в съответствие с областите и реализациите, които се стремят да защитят.
Например, да предположим, че местната държавна агенция създава свое собствено устройство или политика на BYOD. Може да се наложи да въведе различни контроли за контрол, отколкото би било, ако просто забрани на служителите си достъп до организационната мрежа, използвайки личните си смартфони, лаптопи и таблети. По същия начин, компания, която иска да направи своите данни по-достъпни за оторизирани потребители, като я съхранява в облака, вероятно ще трябва да предприеме различни стъпки, за да наблюдава достъпа, отколкото ако поддържа свои собствени бази данни и физически сървъри.
Това не означава, както някои предположиха, че успешното запазване на безопасността в облака е по-малко вероятно от поддържането на сигурността в частна LAN мрежа. Опитът показва, че ефективността на различните мерки за сигурност в облака зависи от това доколко те се придържат към някои доказани методологии. За облачни продукти и услуги, които използват правителствени данни и активи, тези най-добри практики се дефинират като част от Федералната програма за управление на риска и оторизацията или FedRAMP.
Какво е Федералната програма за управление на риска и разрешенията?
Федералната програма за управление на риска и оторизацията е официален процес, който федералните агенции използват, за да преценят ефикасността на услугите и продуктите за изчислителни облаци. В основата си са стандартите, определени от Националния институт за стандарти и технологии, или NIST, в различни специални публикации, или SP, и Федералния стандарт за обработка на информация, или FIPS, документи. Тези стандарти се съсредоточават върху ефективна защита, базирана на облак.
Програмата предоставя указания за много общи задачи за сигурност в облака. Те включват правилно обработване на инциденти, използване на криминалистични техники за разследване на нарушения, планиране на непредвидени обстоятелства за поддържане на наличността на ресурси и управление на рисковете. Програмата включва също така протоколи за акредитация за организациите за акредитация на трети страни или 3 PAOs, които оценяват внедряването на облака за всеки отделен случай. Поддържането на 3PAO сертифицирано съответствие е сигурен знак, че ИТ интегратор или доставчик е готов да запази информацията в облака.
Ефективни практики за сигурност
И така, как компаниите пазят данните безопасни с търговските доставчици на облаци? Въпреки че има безброй важни техники, някои от тях заслужават да бъдат споменати тук:
Проверка на доставчика
Силните работни взаимоотношения се изграждат върху доверие, но добрата вяра трябва да произхожда някъде. Без значение колко добре е създаден доставчик на облак, важно е потребителите да удостоверят своите практики за съответствие и управление.
Правителствените стандарти за сигурност на ИТ обикновено включват стратегии за одит и точкуване. Проверката на предишното представяне на доставчика на облак е добър начин да откриете дали са достойни за бъдещия ви бизнес. Хората, които притежават e-mail адреси.gov и.mil, могат също да получат достъп до FedRAMP защитните пакети, свързани с различни доставчици, за да потвърдят своите искания за съответствие.
Да приемем проактивна роля
Въпреки че услуги като Amazon AWS и Microsoft Azure изповядват спазването на установените стандарти, цялостната безопасност на облаците отнема повече от една страна. В зависимост от пакета с облачни услуги, който закупувате, може да се наложи да насочите изпълнението на някои ключови характеристики на вашия доставчик или да ги съветвате, че трябва да следват определени процедури за сигурност.
Например, ако сте производител на медицински изделия, закони като Закона за преносимостта и отчетността на здравното осигуряване или HIPAA, могат да изискват да предприемете допълнителни мерки за защита на данните за здравето на потребителите. Тези изисквания често съществуват независимо от това, което вашият доставчик трябва да направи, за да запази своята Федерална програма за управление на риска и разрешението.
Като минимум, ще бъдете единствено отговорни за поддържането на практики за сигурност, които покриват организационното ви взаимодействие с облачните системи. Например, трябва да въведете политики за сигурни пароли за персонала и клиентите си. Отпадането на топката от вашия край може да компрометира дори и най-ефективното внедряване на сигурността в облака, така че сега поемете отговорност.
Това, което правите с облачните си услуги, в крайна сметка оказват влияние върху ефективността на техните защитни елементи. Вашите служители могат да се занимават с информационни практики в сянка, като например споделяне на документи чрез Skype или Gmail, за удобство, но тези на пръв поглед безвредни действия могат да попречат на внимателно изработените планове за защита на облаците. В допълнение към обучението на персонала за правилното използване на оторизирани услуги, трябва да ги научите как да избягват капаните, включващи неофициални потоци от данни.
Разберете Условията на Вашата Cloud услуга за контрол на риска
Хостингът на данните ви в облака не е задължително да ви предоставя едни и същи квоти, които сами по себе си сте имали при самостоятелното съхранение. Някои доставчици запазват правото си да разбират съдържанието ви, така че да могат да показват реклами или да анализират използването на продуктите си. Други може да имат нужда от достъп до вашата информация в процеса на предоставяне на техническа поддръжка.
В някои случаи експозицията на данни не е голям проблем. Когато работите с лично идентифицирана потребителска информация или данни за плащане, обаче, е лесно да видите как достъпът на трети страни може да предизвика бедствие.
Може да е невъзможно напълно да се предотврати достъпа до отдалечена система или база данни. Въпреки това, работата с доставчици, които пускат записи за одит и журнали за системен достъп, ви държи в течение за това дали вашите данни се поддържат сигурно. Такива познания вървят дълъг път към подпомагане на организациите да смекчат негативните въздействия на всякакви нарушения, които се случват.
Никога не приемайте, че сигурността е еднократна афера
Повечето интелигентни хора редовно сменят личните си пароли. Не трябва ли да бъдете толкова усърдни по отношение на ИТ сигурността в облака?
Независимо колко често стратегията за спазване на изискванията на вашия доставчик налага да провеждат самостоятелни одити, трябва да определите или приемете своя собствен набор от стандарти за рутинни оценки. Ако също така сте обвързани с изисквания за съответствие, трябва да въведете строг режим, който гарантира, че можете да изпълните задълженията си, дори ако доставчикът на облак не успее да го направи последователно.
Създаване на приложения за сигурност в облака, които работят
Ефективната сигурност на облаците не е някакъв мистичен град, който лежи завинаги отвъд хоризонта. Като добре установен процес, той е в рамките на обсега на повечето потребители и доставчици на ИТ услуги, независимо от стандартите, на които те отговарят.
Чрез адаптиране на практиките, описани в тази статия, с вашите цели, е възможно да се постигнат и поддържат стандарти за сигурност, които пазят данните ви безопасни без драстично увеличаване на оперативните разходи.
Изображение: SpinSys
1 Коментар ▼
