Cloud-based IT systémy plnia dôležité funkcie takmer v každom modernom priemysle. Spoločnosti, neziskové organizácie, vlády a dokonca aj vzdelávacie inštitúcie využívajú mrak, aby rozšírili dosah trhu, analyzovali výkonnosť, spravovali ľudské zdroje a ponúkali lepšie služby. Samozrejme, efektívne riadenie bezpečnosti cloud je nevyhnutné pre každú entitu, ktorá chce využívať výhody distribuovaného IT.
Tak ako každá IT doména, cloud computing má jedinečné bezpečnostné obavy. Hoci samotná myšlienka udržania údajov v bezpečí v oblakoch je už dlho považovaná za nemožný rozpor, rozšírené priemyselné postupy odhaľujú početné techniky, ktoré prinášajú účinnú bezpečnosť cloud. Ako poskytovatelia komerčných oblakov, ako je Amazon AWS, preukázali dodržaním dodržiavania FedRAMP, efektívna bezpečnosť cloud je v praxi dosiahnuteľná a praktická.
$config[code] not foundZmapovanie dôsledného plánu bezpečnosti
Žiadny projekt bezpečnosti IT nemôže fungovať bez solídneho plánu. Praktiky, ktoré zahŕňajú oblak, sa musia líšiť v závislosti od domén a implementácií, ktoré chcú chrániť.
Predpokladajme napríklad, že miestna vládna agentúra zavádza svoje vlastné zariadenie alebo zásady BYOD. Možno bude musieť zaviesť rôzne kontrolné kontroly, ako keby to jednoducho zabránilo zamestnancom v prístupe k organizačnej sieti pomocou svojich osobných smartfónov, notebookov a tabletov. Rovnako tak spoločnosť, ktorá chce sprístupniť svoje údaje oprávneným používateľom tým, že ich uchová v cloude, bude pravdepodobne musieť vykonať rôzne kroky na monitorovanie prístupu, ako keby zachovala svoje vlastné databázy a fyzické servery.
Nie je to povedané, ako niektorí navrhli, že úspešné udržanie cloudového zabezpečenia je menej pravdepodobné ako udržanie bezpečnosti v súkromnej sieti LAN. Skúsenosti ukázali, že účinnosť rôznych opatrení na zabezpečenie cloud závisí od toho, ako dobre dodržiavajú určité osvedčené metodiky. V prípade cloudových produktov a služieb, ktoré využívajú vládne údaje a aktíva, sú tieto osvedčené postupy definované ako súčasť Federálneho programu riadenia rizík a autorizácie alebo FedRAMP.
Čo je Federálny program riadenia rizík a oprávnení?
Federálny program riadenia rizík a oprávnení je oficiálny proces, ktorý federálne agentúry využívajú na posúdenie účinnosti služieb cloud computingu a produktov. V jeho srdci leží normy definované Národným inštitútom pre štandardy a technológie alebo NIST v rôznych dokumentoch špeciálnej publikácie alebo SP a Federal Information Processing Standards alebo FIPS. Tieto štandardy sa zameriavajú na účinnú ochranu založenú na oblakoch.
Program poskytuje pokyny pre mnohé bežné úlohy zabezpečenia cloud. Patria sem správne riešenie incidentov, využívanie forenzných techník na vyšetrovanie porušení, plánovanie nepredvídaných udalostí na udržanie dostupnosti zdrojov a riadenie rizík. Program obsahuje aj akreditačné protokoly pre akreditačné organizácie tretích strán alebo 3PAO, ktoré posudzujú implementáciu cloud v jednotlivých prípadoch. Udržanie súladu s certifikátom 3PAO je istým signálom, že IT integrátor alebo poskytovateľ je pripravený udržať informácie v bezpečí v cloude.
Efektívne bezpečnostné postupy
Takže ako firmy udržujú dáta v bezpečí u komerčných poskytovateľov cloud? Zatiaľ čo je nespočetné množstvo dôležitých techník, niektoré si zaslúžia spomenúť:
Overenie poskytovateľa
Silné pracovné vzťahy sú založené na dôvere, ale dobrá viera musí pochádzať niekde. Bez ohľadu na to, ako dobre je zavedený poskytovateľ cloud, je dôležité, aby používatelia overovali dodržiavanie pravidiel a postupy riadenia.
Vládne štandardy IT bezpečnosti obvykle zahŕňajú stratégie auditu a hodnotenia. Kontrola predchádzajúcej výkonnosti vášho poskytovateľa cloud je dobrý spôsob, ako zistiť, či sú hodní vašej budúcej firmy. Jednotlivci, ktorí majú e-mailové adresy.gov a.mil, môžu tiež pristupovať k balíkom zabezpečenia FedRAMP spojeným s rôznymi poskytovateľmi, aby potvrdili svoje tvrdenia o dodržiavaní predpisov.
Predpokladajte proaktívnu úlohu
Hoci služby ako Amazon AWS a Microsoft Azure vyznávajú dodržiavanie zavedených štandardov, komplexná bezpečnosť cloudu trvá viac ako jedna strana. V závislosti od zakúpeného balíka služby cloud service budete musieť nasmerovať implementáciu niektorých kľúčových funkcií svojho poskytovateľa alebo poradiť im, že musia dodržiavať konkrétne bezpečnostné postupy.
Napríklad, ak ste výrobca zdravotníckych pomôcok, zákony, ako napríklad zákon o prenosnosti a zodpovednosti zdravotného poistenia alebo HIPAA, môžu nariadiť, aby ste podnikli ďalšie kroky na ochranu údajov o zdraví spotrebiteľov. Tieto požiadavky často existujú nezávisle od toho, čo váš poskytovateľ musí urobiť, aby si udržal certifikáciu Federálneho riadenia rizík a oprávnení.
V absolútnej miere budete zodpovední za udržiavanie bezpečnostných postupov, ktoré zahŕňajú vašu organizačnú interakciu s cloudovými systémami. Napríklad, musíte zaviesť bezpečnostné zásady pre svojich zamestnancov a klientov. Odstránenie lopty na vašom konci môže ohroziť aj najefektívnejšiu implementáciu zabezpečenia cloud, takže teraz prevziať zodpovednosť.
To, čo robíte so službami cloud, má nakoniec vplyv na účinnosť ich bezpečnostných funkcií. Vaši zamestnanci sa môžu z praktických dôvodov zaobísťť do tieňových IT postupov, ako napríklad zdieľanie dokumentov cez Skype alebo Gmail, ale tieto zdanlivo neškodné činy by mohli brániť vašim starostlivo stanoveným plánom ochrany pred mrakom. Okrem vzdelávania pracovníkov, ako správne používať autorizované služby, musíte ich naučiť, ako sa vyhnúť nástrahám, ktoré zahŕňajú neoficiálne toky údajov.
Rozumieť podmienkam služby Cloud pre kontrolu rizík
Hosting vašich údajov v cloude nemusí nevyhnutne priniesť tie isté kvóty, ktoré by ste vlastne mali s vlastným ukladaním. Niektorí poskytovatelia si ponechávajú právo vracať svoj obsah, aby mohli zobrazovať reklamy alebo analyzovať používanie svojich produktov. Iní môžu potrebovať prístup k vašim informáciám v priebehu poskytovania technickej podpory.
V niektorých prípadoch nie je vystavenie údajov obrovskému problému. Pokiaľ ide o informácie o osobných údajoch alebo údaje o platbách, ktoré sa dajú identifikovať osobne, je ľahké zistiť, ako by prístup tretej strany mohol spôsobiť katastrofu.
Možno nebude možné úplne zabrániť prístupu k vzdialenému systému alebo databáze. Napriek tomu spolupráca s poskytovateľmi, ktorí uvoľňujú záznamy auditu a protokoly o prístupe k systému, vás informuje o tom, či sa vaše dáta udržiavajú bezpečne. Takéto vedomosti vedú dlhú cestu k tomu, aby pomáhali subjektom zmierňovať negatívne vplyvy prípadných narušení.
Nikdy predpokladať, že bezpečnosť je jednorazová záležitosť
Najviac inteligentní ľudia pravidelne menia svoje osobné heslá. Nemali by ste byť rovnako hlbokí v oblasti bezpečnosti informačných technológií v cloude?
Bez ohľadu na to, ako často vaša stratégia dodržiavania predpisov zo strany poskytovateľa vyžaduje, aby vykonávali vlastné audity, musíte definovať alebo prijať vlastný súbor štandardov pre rutinné hodnotenia. Ak ste tiež viazaní požiadavkami na dodržiavanie predpisov, odporúča by ste, aby ste zaviedli prísny režim, ktorý zabezpečí splnenie vašich povinností aj vtedy, ak váš poskytovateľ oblak nebude postupovať dôsledne.
Vytváranie implementácií zabezpečenia cloudu, ktoré fungujú
Efektívna bezpečnosť oblačnosti nie je niektoré mystické mesto, ktoré leží navždy za horizontom. Ako dobre zavedený proces, je to na dosah väčšiny používateľov a poskytovateľov IT služieb, bez ohľadu na to, ktoré štandardy vyhovujú.
Prispôsobením postupov uvedených v tomto článku vašim účelom je možné dosiahnuť a dodržiavať bezpečnostné štandardy, ktoré zachovávajú vaše dáta v bezpečí bez výrazného zvýšenia prevádzkových nákladov.
Obrázok: SpinSys
1 Komentár ▼
