雖然這句話并不新鮮，但它現(xiàn)在經(jīng)常用于將基礎(chǔ)設(shè)施遷移到云上。提供者承諾無縫轉(zhuǎn)換，就像您將服務(wù)器從一個機(jī)架移動到隔壁的另一個機(jī)架一樣。雖然轉(zhuǎn)移到云計算可以讓公司處于更安全的位置，但需要采取適當(dāng)?shù)闹?jǐn)慎措施。假設(shè)一切都是一樣的可能是一個致命的錯誤，一個經(jīng)常發(fā)生的錯誤。

沒有頭腦

從物理安全的角度來看，將基礎(chǔ)設(shè)施遷移到云幾乎總是更安全。大型云提供商將基礎(chǔ)設(shè)施置于最先進(jìn)的數(shù)據(jù)中心，采用頂級的物理安全措施。組織通常沒有預(yù)算、時間或?qū)I(yè)知識來根據(jù)這些規(guī)范構(gòu)建自己的內(nèi)部數(shù)據(jù)中心。多年來，我看到過各種各樣的數(shù)據(jù)中心(服務(wù)器機(jī)架上的傘是用來防止屋頂漏水的控制裝置，有人知道嗎即使是我們所看到的最先進(jìn)的數(shù)據(jù)中心也無法與大型云提供商相匹配。

沒有改變什么

隨著云基礎(chǔ)設(shè)施的擴(kuò)展，需求和基本控制概念并沒有改變。用戶訪問、變更管理和防火墻都仍然存在。控制框架如COBIT、ISO 27001、NIST CSF和CIS控制仍然適用并具有很大的價值。

發(fā)生了什么變化

當(dāng)移動到云上時，過去的控件的執(zhí)行方式發(fā)生了變化。下面是一些常見的例子

1、安全管理更加深入。組織中一些最危險的訪問角色管理員權(quán)限是惡意行為者的主要目標(biāo)。在云中處理管理權(quán)限是不同的，需要適當(dāng)?shù)淖⒁狻Ｖ滥男┙巧举|(zhì)上是管理角色可能會讓人感到困惑，因此從一開始就正確地實(shí)現(xiàn)這些角色非常重要。與密鑰管理和密鑰使用相關(guān)的職責(zé)分離是必要的。擁有適當(dāng)?shù)墓ぞ邅砉芾碓L問可能是令人畏懼的。不要想當(dāng)然地認(rèn)為云提供商會指導(dǎo)您解決所有這些復(fù)雜的問題，要提前計劃。

2、周邊安全已經(jīng)改變。雖然分層安全性一直很重要，但在云計算中它變得更加重要。最近，由于“容器暴露在互聯(lián)網(wǎng)上”，并與一家大型云提供商的名稱相關(guān)聯(lián)，一些新聞報道出現(xiàn)了漏洞。乍一看，我聽到大多數(shù)人指責(zé)云提供商，但大多數(shù)情況下，這些漏洞都是云客戶的錯。需要考慮的一些重要事項是用于關(guān)鍵數(shù)據(jù)和/或受監(jiān)管數(shù)據(jù)的適當(dāng)dmz、防火墻配置以及對這些資源的管理權(quán)限的適當(dāng)限制。

3、保護(hù)連接變得更加重要。在將基礎(chǔ)設(shè)施遷移到云計算時，服務(wù)器和其他硬件不會坐在大廳里。訪問幾乎總是遠(yuǎn)程的，因此會帶來新的安全挑戰(zhàn)。理解所有的入口和出口點(diǎn)是至關(guān)重要的，就像對它們進(jìn)行適當(dāng)?shù)目刂埔粯印?/p>

4、加密。加密數(shù)據(jù)將是許多組織最關(guān)心的問題，因為數(shù)據(jù)現(xiàn)在“在其他地方”。“好消息是，許多大型云提供商的本地加密工具都很先進(jìn)，大多數(shù)時候，靜止的數(shù)據(jù)可以使用強(qiáng)大的算法自動加密。對于許多公司來說，這是一個巨大的進(jìn)步。由于加密在云計算中非常重要，密鑰管理成為一種高風(fēng)險控制。圍繞密鑰管理的策略、過程和控制需要經(jīng)過深思熟慮。

別害怕，也不全是壞事!

雖然如上所述可能存在一些挑戰(zhàn)，但對于組織來說，遷移到云計算通常是一個很好的遷移。改進(jìn)安全性、改進(jìn)性能和節(jié)省成本只是云遷移的幾個好處。存在多個框架來提供云采用的安全路徑，因此組織不會盲目地采用這種方法。“云安全框架可以指導(dǎo)您完成安全采用過程，還可以為您已經(jīng)執(zhí)行的云采用提供保證。我們正在幫助所有行業(yè)的客戶進(jìn)行這些云遷移/采用，并對應(yīng)該做的、不應(yīng)該做的和最佳實(shí)踐有一些很好的看法。

注：來源于ISACA  作者Shane ODonnell 我們對文中觀點(diǎn)保持中立，只以信息傳播為目的，文章版權(quán)歸原作者所有