Debesų pagrindu veikiančios IT sistemos atlieka svarbias funkcijas beveik visose moderniose pramonės šakose. Įmonės, ne pelnas, vyriausybės ir net švietimo įstaigos naudoja debesį, siekdamos išplėsti rinką, analizuoti rezultatus, valdyti žmogiškuosius išteklius ir teikti geresnes paslaugas. Natūralu, kad efektyvus debesų saugumo valdymas yra būtinas bet kuriam subjektui, norinčiam pasinaudoti paskirstyto IT teikiama nauda.
Kaip ir kiekvienas IT domenas, debesų kompiuterija turi unikalių saugumo problemų. Nors pati idėja saugoti duomenis debesyje jau seniai laikoma neįmanomu prieštaravimu, plačiai paplitusi pramonės praktika atskleidžia daugybę metodų, kurie užtikrina efektyvų debesų saugumą. Kaip komerciniai debesų paslaugų teikėjai, tokie kaip „Amazon AWS“, parodė, kad išlaikydami „FedRAMP“ reikalavimus, efektyvus debesų saugumas yra realus ir realus, ir realus.
$config[code] not foundPoveikio saugumo plano grafikas
Nė vienas IT saugumo projektas negali veikti be patikimo plano. Praktika, kurioje dalyvauja debesis, turi skirtis priklausomai nuo domenų ir įgyvendinimo, kurią jie siekia apsaugoti.
Pvz., Tarkime, kad vietos valdžios institucijų institutai atneša jūsų prietaisą, arba BYOD, politiką. Gali tekti įvesti skirtingas priežiūros kontrolės priemones, nei būtų, jei ji paprasčiausiai uždraustų savo darbuotojams naudotis organizaciniu tinklu, naudodama asmeninius išmaniuosius telefonus, nešiojamus kompiuterius ir tabletes. Be to, įmonė, norinti padaryti savo duomenis prieinamesnius įgaliotiems naudotojams, laikydama ją debesyje, tikriausiai turės atlikti įvairius veiksmus, kad galėtų stebėti prieigą, nei ji turėtų savo duomenų bazes ir fizinius serverius.
Tai nereiškia, kad kai kurie teigė, kad saugus debesų saugumas yra mažiau tikėtinas nei saugumas privačiame LAN tinkle. Patirtis parodė, kad įvairių debesų saugumo priemonių veiksmingumas priklauso nuo to, kaip gerai jie laikosi tam tikrų įrodytų metodikų. Debesų produktams ir paslaugoms, kuriose naudojami vyriausybės duomenys ir turtas, šios geriausios praktikos apibrėžiamos kaip Federalinės rizikos ir autorizacijos valdymo programos arba FedRAMP dalis.
Kas yra federalinė rizikos ir autorizacijos valdymo programa?
Federalinė rizikos ir autorizacijos valdymo programa yra oficialus procesas, kurį federalinės agentūros naudoja vertindamos debesų kompiuterijos paslaugų ir produktų efektyvumą. Jo širdyje yra standartai, kuriuos nustato Nacionalinis standartų ir technologijų institutas, arba NIST, įvairiuose specialiuose leidiniuose arba SP, o Federalinės informacijos apdorojimo standartas arba FIPS dokumentai. Šie standartai sutelkti į efektyvią debesų apsaugą.
Programoje pateikiamos daugelio bendrų debesų saugumo užduočių gairės. Tai apima tinkamai tvarkomus incidentus, naudojant teismo ekspertizės metodus, siekiant ištirti pažeidimus, numatyti nenumatytus atvejus, kad būtų galima užtikrinti išteklių prieinamumą ir valdyti riziką. Į programą taip pat įtraukiami trečiųjų šalių akreditavimo organizacijų arba 3PAO akreditavimo protokolai, pagal kuriuos kiekvienu konkrečiu atveju įvertinamos debesų diegimo galimybės. 3PAO patvirtinto atitikties palaikymas yra tikras ženklas, kad IT integratorius ar paslaugų teikėjas yra pasirengęs saugoti informaciją debesyje.
Veiksminga saugumo praktika
Taigi, kaip įmonės saugo duomenis su komerciniais debesų teikėjais? Nors yra daugybė svarbių metodų, keli čia paminėti:
Teikėjo patikra
Stipri darbo santykiai grindžiami pasitikėjimu, bet tai, kad sąžiningumas turi kilti. Nesvarbu, kaip gerai veikia debesų paslaugų teikėjas, svarbu, kad naudotojai patvirtintų savo atitikties ir valdymo praktiką.
Vyriausybės IT saugumo standartai paprastai apima audito ir įvertinimo strategijas. Tikrinant jūsų debesies paslaugų teikėjo ankstesnius rezultatus, galite sužinoti, ar jie vertas jūsų būsimo verslo. Asmenys, turintys „.gov“ ir „.mil“ el. Pašto adresus, taip pat gali naudotis „FedRAMP“ saugumo paketais, susijusiais su skirtingais teikėjais, kad patvirtintų jų atitikties reikalavimus.
Tarkime, kad yra aktyvus vaidmuo
Nors tokios paslaugos kaip „Amazon AWS“ ir „Microsoft Azure“ pripažįsta, kad laikosi nustatytų standartų, visapusiška debesų sauga užima daugiau nei vieną šalį. Priklausomai nuo perkamo debesies paslaugų paketo, gali tekti nukreipti paslaugų teikėjo tam tikrų pagrindinių funkcijų įgyvendinimą arba patarti, kad jie turi laikytis konkrečių saugumo procedūrų.
Pavyzdžiui, jei esate medicinos prietaisų gamintojas, įstatymai, pvz., Sveikatos draudimo perkėlimo ir atskaitomybės įstatymas, arba HIPAA, gali suteikti įgaliojimus imtis papildomų veiksmų siekiant apsaugoti vartotojų sveikatos duomenis. Šie reikalavimai dažnai egzistuoja nepriklausomai nuo to, ką jūsų teikėjas turi padaryti, kad išlaikytų savo federalinį rizikos ir autorizacijos valdymo programos sertifikatą.
Esant minimaliam minimumui, būsite atsakingi tik už saugos praktikos, kuri apima jūsų organizacijos sąveiką su debesų sistemomis, palaikymą. Pvz., Turite sukurti saugią slaptažodį savo darbuotojams ir klientams. Rutulio nuleidimas ant galo gali pakenkti net efektyviausiam debesų saugumo įgyvendinimui, todėl prisiimkite atsakomybę dabar.
Tai, ką darote su debesų paslaugomis, galiausiai daro įtaką jų saugumo funkcijų veiksmingumui. Jūsų darbuotojai gali patirti šešėlinę IT praktiką, pvz., Dalintis dokumentais per „Skype“ ar „Gmail“, dėl patogumo, tačiau šie tariamai nekenksmingi veiksmai gali trukdyti kruopščiai nustatyti debesų apsaugos planus. Be to, kaip mokyti darbuotojus, kaip tinkamai naudoti įgaliotas paslaugas, turite išmokyti juos, kaip išvengti sunkumų, susijusių su neoficialių duomenų srautais.
Suprasti „Cloud Service“ sąlygas rizikai kontroliuoti
Duomenų talpinimas debesyje nebūtinai suteikia jums tuos pačius leidimus, kuriuos turėtumėte turėti savarankiškai. Kai kurie paslaugų teikėjai pasilieka teisę trinti jūsų turinį, kad jie galėtų pateikti skelbimus arba analizuoti savo produktų naudojimą. Kiti gali tekti pasiekti jūsų informaciją teikdami techninę pagalbą.
Kai kuriais atvejais duomenų ekspozicija nėra didelė problema. Tačiau, kai dirbate su asmeniškai identifikuojančia informacija apie vartotoją arba mokėjimų duomenimis, lengva pamatyti, kaip trečiosios šalies prieiga galėtų paskatinti nelaimę.
Gali būti neįmanoma visiškai užkirsti kelią prieigai prie nuotolinės sistemos ar duomenų bazės. Nepaisant to, dirbant su paslaugų teikėjais, kurie išleidžia audito įrašus ir sistemos prieigos žurnalus, jūs žinote, ar saugiai tvarkomi duomenys. Tokios žinios yra labai svarbios padedant įmonėms sumažinti neigiamą bet kokių pažeidimų poveikį.
Niekada netikėkite, kad saugumas yra vienkartinis veiksmas
Dauguma protingų žmonių reguliariai keičia savo asmeninius slaptažodžius. Ar neturėtumėte būti lygiai taip pat rūpestingi dėl debesų grindžiamos IT saugumo?
Nepriklausomai nuo to, kaip dažnai jūsų teikėjo atitikties strategija reikalauja, kad jie atliktų savarankišką auditą, turite apibrėžti arba priimti savo įprastinius vertinimus. Jei taip pat privalote laikytis atitikties reikalavimų, jums reikėtų laikytis griežto režimo, kuris užtikrintų, kad jūs galite įvykdyti savo įsipareigojimus, net jei jūsų debesies paslaugų teikėjas to nepadarys.
„Cloud Security“ diegimo darbų kūrimas
Efektyvus debesų saugumas nėra tam tikras mistinis miestas, kuris yra amžinai už horizonto. Kaip gerai nusistovėjęs procesas, jis puikiai tinka daugeliui IT paslaugų vartotojų ir paslaugų teikėjų, neatsižvelgiant į tai, kokius standartus jie atitinka.
Pritaikydami šiame straipsnyje aprašytą praktiką jūsų tikslams, galima pasiekti ir išlaikyti saugumo standartus, kurie saugo jūsų duomenis saugiai nepadidindami eksploatacinių išlaidų.
Vaizdas: SpinSys
1 komentaras ▼