Cloud-baserade IT-system uppfyller viktiga funktioner i nästan alla moderna branscher. Företag, ideella organisationer, regeringar och till och med utbildningsinstitutioner använder molnet för att utöka marknadens räckvidd, analysera prestanda, hantera personalresurser och erbjuda förbättrade tjänster. Naturligtvis är effektiv styrning av cloudsäkerhet avgörande för alla enheter som vill skörda fördelarna med distribuerad IT.
Liksom varje IT-domän har cloud computing unika säkerhetsproblem. Även om själva tanken att hålla data säkra i molnet har länge ansetts vara en omöjlig motsättning, visar utbredd branschpraxis många tekniker som ger effektiv molnskydd. Som kommersiella molnleverantörer som Amazon AWS har demonstrerat genom att upprätthålla FedRAMP-överensstämmelse, är effektiv cloud-säkerhet både uppnåelig och praktisk i den verkliga världen.
$config[code] not foundKartläggning av en effektiv säkerhetsplan
Inget IT-säkerhetsprojekt kan fungera utan en solid plan. Övningar som involverar molnet måste variera i enlighet med de områden och implementeringar de försöker skydda.
Anta till exempel att en kommunal byrå institut en ta med din egen enhet, eller BYOD, politik. Det kan behöva ingå olika kontroller övervakning än vad det skulle göra om det helt enkelt hindrade sina anställda från att komma åt organisationsnätverket med hjälp av sina personliga smartphones, bärbara datorer och surfplattor. På samma sätt behöver ett företag som vill göra sina uppgifter mer tillgängliga för auktoriserade användare genom att lagra det i molnet troligen behöva vidta olika steg för att övervaka åtkomst än vad det skulle innebära om de behöll sina egna databaser och fysiska servrar.
Detta är inte att säga, som vissa har föreslagit, att det är mindre troligt att lyckas hålla molnet säkert är säkert än att behålla säkerheten på ett privat LAN. Erfarenheten har visat att effekten av olika molnskyddsåtgärder beror på hur bra de följer vissa beprövade metoder. För molnprodukter och tjänster som använder statliga data och tillgångar definieras dessa bästa metoder som en del av Federal Risk and Authorization Management Program eller FedRAMP.
Vad är Federal Risk and Authorization Management Program?
Federal Risk and Authorization Management Programmet är en officiell process som federala organ använder sig av att bedöma effektiviteten hos cloud computing-tjänster och produkter. I sitt hjärta ligger standarder som definierats av National Institute for Standards and Technology, eller NIST, i olika Specialpublication, eller SP, och Federal Information Processing Standard, eller FIPS, dokument. Dessa standarder fokuserar på effektivt molnbaserat skydd.
Programmet ger riktlinjer för många vanliga molnsäkerhetsuppgifter. Dessa inkluderar korrekt hanteringsincidenter, med hjälp av rättsmedicinska tekniker för att undersöka överträdelser, planeringsförutsättningar för att upprätthålla tillgången till resurser och hantera risker. Programmet innehåller också ackrediteringsprotokoll för Tredje partens ackrediteringsorganisationer, eller 3PAOs, som bedömer molnimplementeringar från fall till fall. Att upprätthålla 3PAO-certifierad överensstämmelse är ett säkert tecken på att en IT-integratör eller leverantör är beredd att hålla informationen säker i molnet.
Effektiva säkerhetspraxis
Så precis hur håller företagen data säkert med kommersiella molnleverantörer? Medan det finns otaliga viktiga tekniker, är några värda att nämna här:
Provverifiering
Starka arbetsförhållanden bygger på förtroende, men den goda troen måste härröra någonstans. Oavsett hur väl etablerad en molnleverantör är, är det viktigt att användarna verifierar sina regler för överensstämmelse och styrning.
Regeringens IT-säkerhetsstandarder innehåller vanligen revisions- och poängstrategier. Att kontrollera om din molnleverantörs tidigare prestanda är ett bra sätt att upptäcka om de är värdiga för din framtida verksamhet. Personer som har.gov och.mil-e-postadresser kan också få tillgång till FedRAMP-säkerhetspaket som är associerade med olika leverantörer för att bekräfta deras krav på efterlevnad.
Antag en proaktiv roll
Även om tjänster som Amazon AWS och Microsoft Azure bekräftar att de följs av etablerade standarder, kräver omfattande molnsäkerhet mer än en part. Beroende på det molntjänstpaket du köper kan du behöva rikta din leverantörs genomförande av vissa nyckelfunktioner eller ge dem råd om att de behöver följa specifika säkerhetsprocedurer.
Till exempel, om du är tillverkare av medicinsk utrustning, kan lagar som sjukförsäkringsportabilitet och ansvarighetslagen eller HIPAA innebära att du vidtar extra åtgärder för att skydda konsumentens hälsodata. Dessa krav finns ofta oberoende av vad din leverantör måste göra för att behålla sin federala risk- och auktoriseringshanteringsprogramcertifiering.
På ett minimalt minimum är du ensam ansvarig för att upprätthålla säkerhetsrutiner som täcker din organisatoriska interaktion med molnsystem. Till exempel måste du inrätta en säker lösenordspolicy för din personal och dina kunder. Att släppa bollen i slutet kan kompromissa även den mest effektiva implementeringen av cloud security, så ta ansvar nu.
Vad du gör med dina molntjänster påverkar i slutändan effekten av deras säkerhetsfunktioner. Dina anställda kan delta i skugg IT-metoder, som att dela dokument via Skype eller Gmail, av bekvämlighetsskäl, men dessa till synes oskadliga handlingar kan hindra dina noggrant fastställda molnskyddsplaner. Förutom utbildningspersonal hur man använder behöriga tjänster på rätt sätt måste du lära dem hur man undviker fallgropar med inofficiella dataflöden.
Förstå villkoren för din molntjänst för att kontrollera risken
Att skydda dina data på molnet ger inte nödvändigtvis samma ersättningar som du själv har med själv lagring. Vissa leverantörer behåller rätten att trawla innehållet så att de kan visa annonser eller analysera användningen av sina produkter. Andra kan behöva få tillgång till din information i samband med teknisk support.
I vissa fall är dataexponering inte ett stort problem. När du handlar om personligt identifierbar konsumentinformation eller betalningsdata är det dock lätt att se hur tredjepartsåtkomst kan leda till katastrof.
Det kan vara omöjligt att helt förhindra all åtkomst till ett fjärrsystem eller en databas. Trots att du arbetar med leverantörer som släpper ut revisionsposter och systemåtkomstloggar håller du dig informerad om huruvida dina data hålls säkert. Sådan kunskap går långt för att hjälpa enheter att mildra de negativa effekterna av eventuella överträdelser som uppstår.
Antag aldrig säkerhet är en engångsaffär
De mest intelligenta personerna ändrar sina personliga lösenord regelbundet. Ska du inte vara lika flitig med molnbaserad IT-säkerhet?
Oavsett hur ofta din leverantörs överensstämmelsestrategi dikterar att de utför självrevisioner, måste du definiera eller anta din egen uppsättning standarder för rutinbedömningar. Om du också är bunden av krav på överensstämmelse, skulle det krävas att du ansluter en sträng regim som garanterar att du kan uppfylla dina skyldigheter, även om din molnleverantör inte gör det konsekvent.
Skapa Cloud Security-implementeringar som fungerar
Effektiv molnskydd är inte någon mystisk stad som ligger för evigt bortom horisonten. Som en väletablerad process ligger det väl inom räckhåll för de flesta IT-användare och leverantörer, oavsett vilka standarder de överensstämmer med.
Genom att anpassa de metoder som beskrivs i den här artikeln till dina ändamål är det möjligt att uppnå och behålla säkerhetsstandarder som håller dina data säkra utan att drastiskt öka operativa kostnader.
Bild: SpinSys
1 kommentar ▼
