Chmurowe systemy informatyczne spełniają ważne funkcje w niemal każdej nowoczesnej branży. Firmy, organizacje non-profit, rządy, a nawet instytucje edukacyjne wykorzystują chmurę do poszerzania zasięgu rynkowego, analizowania wydajności, zarządzania zasobami ludzkimi i oferowania lepszych usług. Naturalnie, skuteczne zarządzanie bezpieczeństwem w chmurze ma zasadnicze znaczenie dla każdego podmiotu, który chce czerpać korzyści z rozproszonego IT.
Jak każda domena IT, przetwarzanie w chmurze ma wyjątkowe obawy związane z bezpieczeństwem. Chociaż sama idea przechowywania danych w chmurze przez długi czas była uważana za niemożliwą sprzeczność, szeroko rozpowszechnione praktyki przemysłowe ujawniają liczne techniki zapewniające skuteczne zabezpieczenie w chmurze. Ponieważ komercyjni dostawcy usług w chmurze, tacy jak Amazon AWS, wykazali się, zachowując zgodność z przepisami FedRAMP, skuteczne zabezpieczenia w chmurze są zarówno osiągalne, jak i praktyczne w rzeczywistym świecie.
$config[code] not foundSporządzenie mapy planu działań mających wpływ na bezpieczeństwo
Żaden projekt bezpieczeństwa IT nie może funkcjonować bez solidnego planu. Praktyki obejmujące chmurę muszą się różnić w zależności od domen i implementacji, które starają się chronić.
Na przykład załóżmy, że lokalna agencja rządowa wprowadzi własne zasady dotyczące urządzeń lub BYOD. Być może będzie musiał wprowadzić różne mechanizmy nadzoru, niż gdyby po prostu zabronił swoim pracownikom dostępu do sieci organizacyjnej za pomocą swoich osobistych smartfonów, laptopów i tabletów. Podobnie firma, która chce udostępnić swoje dane autoryzowanym użytkownikom poprzez przechowywanie ich w chmurze, prawdopodobnie będzie musiała podjąć różne kroki w celu monitorowania dostępu, niż gdyby utrzymała własne bazy danych i fizyczne serwery.
Nie oznacza to, że niektórzy sugerują, że bezpieczne przechowywanie chmury jest mniej prawdopodobne niż utrzymanie bezpieczeństwa w prywatnej sieci LAN. Doświadczenie wykazało, że skuteczność różnych środków bezpieczeństwa w chmurze zależy od tego, jak dobrze są one zgodne z pewnymi sprawdzonymi metodami. W przypadku produktów i usług chmury, które wykorzystują dane i zasoby rządowe, te najlepsze praktyki są zdefiniowane jako część Federalnego Programu zarządzania ryzykiem i autoryzacjami lub FedRAMP.
Czym jest federalny program zarządzania ryzykiem i autoryzacją?
Federalny Program Zarządzania Ryzykiem i Autoryzacją jest oficjalnym procesem, który agencje federalne stosują do oceny skuteczności usług i produktów chmury obliczeniowej. W jego sercu leżą standardy określone przez Narodowy Instytut Standardów i Technologii (NIST), w różnych publikacjach specjalnych lub SP i Federal Information Processing Standard lub FIPS, dokumenty. Standardy te koncentrują się na skutecznej ochronie w chmurze.
Program zawiera wskazówki dotyczące wielu typowych zadań związanych z bezpieczeństwem w chmurze. Obejmują one odpowiednie postępowanie z incydentami, wykorzystanie technik sądowych w celu zbadania naruszeń, planowania nieprzewidzianych zdarzeń w celu utrzymania dostępności zasobów i zarządzania ryzykiem. Program obejmuje również protokoły akredytacji dla organizacji akredytujących stron trzecich lub 3 PAO, które oceniają wdrożenie chmury w poszczególnych przypadkach. Utrzymanie zgodności z certyfikatem 3PAO jest pewnym znakiem, że integrator lub dostawca IT jest przygotowany do ochrony informacji w chmurze.
Skuteczne praktyki bezpieczeństwa
Więc w jaki sposób firmy chronią dane za pomocą komercyjnych dostawców usług w chmurze? Chociaż istnieje niezliczona ilość ważnych technik, kilka wartych wspomnienia tutaj:
Weryfikacja dostawcy
Silne stosunki robocze opierają się na zaufaniu, ale ta dobra wiara musi gdzieś pochodzić. Bez względu na to, jak dobrze działa dostawca usług w chmurze, ważne jest, aby użytkownicy uwierzytelniali swoje praktyki w zakresie zgodności i zarządzania.
Rządowe standardy bezpieczeństwa IT zazwyczaj zawierają strategie audytu i oceniania. Sprawdzanie dotychczasowej wydajności dostawcy usług w chmurze jest dobrym sposobem na sprawdzenie, czy są one godne przyszłego biznesu. Osoby posiadające adresy e-mail.gov i.mil mogą również uzyskać dostęp do pakietów zabezpieczeń FedraMP powiązanych z różnymi dostawcami, aby potwierdzić roszczenia dotyczące zgodności.
Załóżmy rolę proaktywną
Chociaż usługi takie jak Amazon AWS i Microsoft Azure wyznają przestrzeganie ustalonych standardów, kompleksowe bezpieczeństwo w chmurze wymaga więcej niż jednej strony. W zależności od kupowanego pakietu usług w chmurze może zajść konieczność wprowadzenia w życie implementacji przez operatora pewnych kluczowych funkcji lub poinformowania ich, że muszą przestrzegać określonych procedur bezpieczeństwa.
Na przykład, jeśli jesteś producentem urządzenia medycznego, przepisy takie jak Ustawa o Przenoszalności Ubezpieczenia Zdrowotnego i Odpowiedzialności Ubezpieczeń lub HIPAA mogą upoważnić Cię do podjęcia dodatkowych kroków w celu ochrony danych dotyczących zdrowia konsumentów. Wymagania te często istnieją niezależnie od tego, co musi zrobić Twój dostawca, aby utrzymać certyfikat federalnego ryzyka i programu zarządzania autoryzacją.
W minimalnym zakresie będziesz ponosił wyłączną odpowiedzialność za utrzymanie praktyk bezpieczeństwa, które obejmują Twoją organizacyjną interakcję z chmurami. Na przykład musisz wprowadzić zasady bezpiecznego haseł dla swoich pracowników i klientów. Upuszczenie piłki pod koniec może naruszyć nawet najbardziej efektywną implementację zabezpieczeń w chmurze, więc teraz bierz odpowiedzialność.
To, co robisz z usługami w chmurze, ostatecznie wpływa na skuteczność ich funkcji bezpieczeństwa. Twoi pracownicy mogą angażować się w praktyki IT, takie jak udostępnianie dokumentów przez Skype lub Gmail, ze względu na wygodę, ale te pozornie nieszkodliwe działania mogą utrudnić starannie opracowane plany ochrony chmury. Oprócz przeszkolenia personelu w zakresie prawidłowego korzystania z autoryzowanych usług, musisz nauczyć ich, jak unikać pułapek związanych z nieoficjalnymi przepływami danych.
Zapoznaj się z warunkami świadczenia usługi Cloud Service w celu kontroli ryzyka
Hosting danych w chmurze niekoniecznie zapewnia ci te same uprawnienia, które nieodłącznie masz w przypadku samodzielnego przechowywania. Niektórzy dostawcy zachowują prawo do traffickowania Twoich treści, aby mogli wyświetlać reklamy lub analizować korzystanie z ich produktów. Inni mogą potrzebować dostępu do twoich informacji w trakcie świadczenia pomocy technicznej.
W niektórych przypadkach ekspozycja danych nie stanowi dużego problemu. Jeśli jednak masz do czynienia z danymi osobowymi lub danymi dotyczącymi płatności, możesz łatwo sprawdzić, w jaki sposób dostęp stron trzecich może spowodować katastrofę.
Całkowite uniemożliwienie dostępu do zdalnego systemu lub bazy danych może być niemożliwe. Niemniej jednak współpraca z dostawcami, którzy publikują rekordy kontroli i dzienniki dostępu do systemu, zapewnia ciągłą pewność, że dane są bezpiecznie przechowywane. Taka wiedza w dużym stopniu pomaga podmiotom łagodzić negatywny wpływ wszelkich naruszeń, które mają miejsce.
Nigdy nie zakładaj, że bezpieczeństwo to sprawa jednorazowa
Większość inteligentnych ludzi regularnie zmienia swoje osobiste hasła. Czy nie powinieneś być tak sumienny, jeśli chodzi o bezpieczeństwo informatyczne w chmurze?
Niezależnie od tego, jak często strategia zapewniania zgodności usługodawcy dyktuje przeprowadzenie samooceny, musisz zdefiniować lub przyjąć własny zestaw standardów rutynowych ocen. Jeśli jesteś również związany wymogami zgodności, to należałoby wprowadzić rygorystyczny system, który zapewnia, że możesz wywiązać się ze swoich zobowiązań, nawet jeśli dostawca usług w chmurze nie zrobi tego konsekwentnie.
Tworzenie implementacji Cloud Security, które działają
Skuteczne bezpieczeństwo chmury nie jest jakimś mistycznym miastem, które leży zawsze poza horyzontem. Jako dobrze ugruntowany proces, jest on w zasięgu większości użytkowników i dostawców usług informatycznych, bez względu na to, które standardy spełniają.
Dostosowując praktyki opisane w tym artykule do swoich celów, możliwe jest osiągnięcie i utrzymanie standardów bezpieczeństwa, które zapewniają bezpieczeństwo danych bez drastycznego zwiększania kosztów operacyjnych.
Obraz: SpinSys
1 komentarz ▼
