制定多云网络安全策略
安全专家表示,随着云环境的发展,出现了许多安全最佳做法,组织在制定自己的多云网络安全策略时需要迈出重要一步。
首先,确定存储数据的所有云平台,并确保公司拥有强大的数据治理计划,“公司需要全面了解数据和信息相关的IT服务和资产,”Dimitriadishs说。
除了ISACA CEO之外,Dimitriadis还是游戏解决方案提供商和运营商INTRALOT集团的信息安全、信息合规性和知识产权保护官。这些安全建议并不适用于多云环境。
但是,当数据迁移到云平台并分布在不同的云平台上时,采取这些基本措施变得更加重要。
据统计,强大的安全基础为何重要:KPMG和甲骨文的《2018云计算威胁报告》(2018 Cloud Computing Threat Report)对450名网络安全和IT专业人员进行了调查。报告显示,90%的企业将一半基于云的数据归类为敏感数据。
报告还发现,82%的受访者担心公司员工不遵守云计算安全准则,38%的受访者担心云计算检测和应对安全事件。
国际安全咨询委员会(ISACA)负责人、赛门铁克首席技术官兼公司战略沟通官拉姆斯·加列戈(Ramsés Gallego)他说,公司应该对信息进行分类,营造一种安全的氛围。他意识到,这一措施并不需要同样的信任和验证,以便所有数据都能获得或阻止访问。
安全专家还建议公司根据保护多云环境所需的基础实施其他传统安全措施。除了数据分类策略之外,Gallego还建议使用加密、身份和访问管理(IAM)解决方案,如双因素身份验证。
KPMG新兴技术风险服务业务的合作伙伴萨利希·加迪亚(Salieh Gadia)表示,政策和体系结构将需要标准化,以确保一致的应用程序和自动化,并尽量减少与这些安全标准的偏差。
加迪亚说:“公司投入的努力取决于数据的风险和敏感性,因此当公司使用云平台存储/处理非机密数据时,不需要采用更高级别的安全方法。”
他还指出,标准化和自动化可以提高效率,这不仅可以降低总体成本,还可以让安全管理员将更多资源投入到更有价值的工作中。
专家指出,这些基本要素应该成为更广泛、更一致的多云网络安全策略战略的一部分,公司在引入安全工作管理框架方面取得了很好的成果,其共同框架包括国家标准和技术研究所的NIST。ISACA(COBIT)的信息相关技术控制目标;ISO 27000系列,云安全联盟的云控制矩阵(CCM)。
