IT sistemi v oblaku opravljajo pomembne funkcije v skoraj vsaki moderni industriji. Podjetja, neprofitne organizacije, vlade in celo izobraževalne ustanove uporabljajo oblak, da razširijo tržni doseg, analizirajo uspešnost, upravljajo človeške vire in ponudijo izboljšane storitve. Seveda je učinkovito upravljanje varnosti v oblaku bistveno za vsak subjekt, ki želi izkoristiti prednosti porazdeljene IT.
Kot vsa IT domena ima računalništvo v oblaku edinstvene varnostne skrbi. Čeprav že sama zamisel o varnem shranjevanju podatkov v oblaku že dolgo velja za nemogoče protislovje, razširjene industrijske prakse razkrivajo številne tehnike, ki zagotavljajo učinkovito varnost v oblaku. Ker so komercialni ponudniki oblakov, kot je Amazon AWS, dokazali z ohranjanjem skladnosti FedRAMP, je učinkovita varnost v oblaku dosegljiva in praktična v resničnem svetu.
$config[code] not foundDiagram uspešnega varnostnega načrta
Noben projekt IT varnosti ne more delovati brez trdnega načrta. Prakse, ki vključujejo oblak, se morajo razlikovati v skladu z domenami in izvedbami, ki jih želijo zaščititi.
Recimo, da lokalna vladna agencija uvede svojo napravo ali politiko BYOD. Morda bo moral sprejeti različne nadzorne kontrole, kot bi jih, če bi svojim zaposlenim prepovedal dostop do organizacijske mreže z uporabo svojih osebnih pametnih telefonov, prenosnih računalnikov in tabličnih računalnikov. Podobno bo podjetje, ki želi s svojimi podatki shraniti v oblak, omogočiti dostop do svojih podatkov pooblaščenim uporabnikom, bo verjetno moralo sprejeti različne korake za spremljanje dostopa, kot bi bilo, če bi vzdrževalo lastne baze podatkov in fizične strežnike.
To ne pomeni, kot so nekateri predlagali, da je uspešno ohranjanje varnosti v oblaku manj verjetno kot ohranjanje varnosti v zasebnem omrežju LAN. Izkušnje so pokazale, da je učinkovitost različnih varnostnih ukrepov v oblaku odvisna od tega, kako dobro se držijo določenih dokazanih metodologij. Za izdelke in storitve v oblaku, ki uporabljajo vladne podatke in sredstva, so te najboljše prakse opredeljene kot del Zveznega programa za upravljanje tveganj in avtorizacij ali FedRAMP.
Kaj je zvezni program za upravljanje tveganj in avtorizacij?
Zvezni program za upravljanje tveganj in avtorizacij je uradni proces, ki ga zvezne agencije uporabljajo za presojo učinkovitosti storitev računalništva v oblaku in izdelkov. V svojem srcu so standardi, ki jih je določil Nacionalni inštitut za standarde in tehnologijo, ali NIST, v različnih posebnih publikacijah ali SP in Zvezni standard za obdelavo informacij ali dokumenti FIPS. Ti standardi se osredotočajo na učinkovito zaščito, ki temelji na oblaku.
Program zagotavlja smernice za številne skupne varnostne naloge v oblaku. Ti vključujejo pravilno obravnavanje incidentov, uporabo forenzičnih tehnik za preiskovanje kršitev, načrtovanje nepredvidenih dogodkov za ohranjanje razpoložljivosti virov in obvladovanje tveganj. Program vključuje tudi akreditacijske protokole za akreditacijske organizacije tretje osebe ali 3POS, ki ocenjujejo izvedbo v oblaku za vsak primer posebej. Ohranjanje skladnosti s certifikatom 3PAO je zanesljiv znak, da je IT integrator ali ponudnik pripravljen ohraniti varnost informacij v oblaku.
Učinkovite varnostne prakse
Torej, kako podjetja hranijo podatke varne s komercialnimi ponudniki oblakov? Čeprav obstajajo številne pomembne tehnike, jih je nekaj vrednih omeniti:
Preverjanje ponudnika
Močna delovna razmerja temeljijo na zaupanju, toda dobra vera mora izvirati nekje. Ne glede na to, kako dobro je uveljavljen ponudnik v oblaku, je pomembno, da uporabniki preverijo njihovo skladnost in prakse upravljanja.
Vladni varnostni standardi IT običajno vključujejo revizijske strategije in strategije točkovanja. Preverjanje pretekle uspešnosti ponudnika v oblaku je dober način, da ugotovite, ali so vredni vašega prihodnjega poslovanja. Posamezniki, ki imajo e-poštne naslove.gov in.mil, lahko dostopajo tudi do varnostnih paketov FedRAMP, povezanih z različnimi ponudniki, da potrdijo svoje zahteve glede skladnosti.
Predpostavimo proaktivno vlogo
Čeprav se storitve, kot sta Amazon AWS in Microsoft Azure, izrekajo za spoštovanje uveljavljenih standardov, celovita varnost v oblaku zahteva več kot eno stranko. Odvisno od paketa storitev v oblaku, ki ga kupite, boste morda morali usmeriti izvajalčevo izvajanje nekaterih ključnih funkcij ali jim svetovati, da morajo upoštevati določene varnostne postopke.
Na primer, če ste proizvajalec medicinskih pripomočkov, lahko zakoni, kot je Zakon o prenosljivosti in odgovornosti zdravstvenega zavarovanja, ali HIPAA, pooblastijo, da sprejmete dodatne ukrepe za zaščito podatkov o zdravju potrošnikov. Te zahteve pogosto obstajajo neodvisno od tega, kaj mora storiti vaš ponudnik, da bi obdržal certifikat za Zvezni program upravljanja tveganj in avtorizacije.
Najmanjše možno merilo je, da ste odgovorni samo za ohranjanje varnostnih praks, ki pokrivajo vašo organizacijsko interakcijo s sistemi v oblaku. Na primer, za vaše osebje in stranke morate uvesti varne politike gesel. Spuščanje žoge na vaš konec lahko ogrozi celo najbolj učinkovito izvedbo varnosti v oblaku, zato prevzemite odgovornost zdaj.
Kaj počnete z vašimi storitvami v oblaku, na koncu vpliva na učinkovitost njihovih varnostnih funkcij. Vaši zaposleni se lahko zaradi udobja ukvarjajo z informacijsko prakso v senci, kot je izmenjava dokumentov prek Skypea ali Gmaila, toda ta na videz neškodljiva dejanja lahko ovirajo skrbno pripravljene načrte za zaščito oblaka. Poleg usposabljanja osebja, kako pravilno uporabljati pooblaščene storitve, jih morate naučiti, kako se izogniti pastem, ki vključujejo neuradne tokove podatkov.
Razumeti pogoje storitve v oblaku za nadzor tveganja
Gostovanje vaših podatkov v oblaku vam ne podeljuje nujno enakih pravic, kot bi jih imeli sami s samodejnim shranjevanjem. Nekateri ponudniki si pridržujejo pravico, da vlečejo vsebino, tako da lahko prikazujejo oglase ali analizirajo vašo uporabo svojih izdelkov. Drugi bodo morda morali dostopati do vaših podatkov med zagotavljanjem tehnične podpore.
V nekaterih primerih izpostavljenost podatkov ni velika težava. Ko imate opravka z osebno prepoznavnimi podatki o potrošnikih ali podatki o plačilu, je enostavno videti, kako bi lahko dostop tretjih oseb povzročil katastrofo.
Morda je nemogoče v celoti preprečiti vsak dostop do oddaljenega sistema ali baze podatkov. Kljub temu pa delo s ponudniki, ki izdajajo zapise revizij in dnevnike dostopa do sistema, vas obvešča o tem, ali se vaši podatki varno hranijo. Takšno znanje je veliko, da bi pomagali subjektom ublažiti negativne učinke kakršnih koli kršitev, ki se pojavijo.
Nikoli ne prevzemite varnosti je enkratna afera
Večina inteligentnih ljudi redno spreminja svoja osebna gesla. Ne bi smeli biti prav tako skrbni glede informacijske varnosti v oblaku?
Ne glede na to, kako pogosto vaša strategija zagotavljanja skladnosti s ponudnikom narekuje, da izvedejo lastne revizije, morate določiti ali sprejeti svoj lastni niz standardov za rutinske ocene. Če vas zavezujejo tudi zahteve glede skladnosti, boste morali sprejeti strog režim, ki zagotavlja, da lahko izpolnite svoje obveznosti, tudi če ponudnik v oblaku tega ne počne dosledno.
Ustvarjanje varnostnih izvedb v oblaku, ki delujejo
Učinkovita varnost v oblaku ni neko mistično mesto, ki leži za vedno zunaj obzorja. Kot dobro uveljavljen proces je večina uporabnikov in ponudnikov storitev IT v dosegu, ne glede na standarde, ki jim ustrezajo.
S prilagajanjem praks, opisanih v tem članku, vašim ciljem, je mogoče doseči in vzdrževati varnostne standarde, ki omogočajo varovanje podatkov brez drastičnega povečanja operativnih stroškov.
Slika: SpinSys
1 komentar ▼