云安全的主要挑战与应对
Gartner预测,到2026年,公有云支出将超过所有企业IT支出的45%。可持续性是另一个与云服务相关的热门话题,因为云服务可减少二氧化碳的排放。云服务不仅具有可持续性和环境友好性,还有助于企业维护数字基础设施建设,使得企业不需要像物理基础设施那样投入大量精力,从而提高了效率、改善了可扩展性和协作性。
虽然有些人可能会认为云是不安全的,并且可能带来严重安全漏洞,但如果从一开始就实施安全实践和程序,我们就可以构建一个更安全的云环境。
那么,与云环境相关的常见问题是什么,以及如何克服这些问题?
01
Part
不知道云环境里有什么
想象一下,如果你注意到你的云计算费用暴涨了,你可能会试图找出你的云环境中的哪个资源导致了这种情况。一旦你找到了原因,你如何得知它的目的是什么?谁拥有它?如果你关闭了它,它会破坏哪些系统吗?你的环境会受到影响吗?这些对云工作缺乏可见性的担忧困扰着企业。
如何解决这个问题?
资产管理是很好的解决途径。资产清单对于保持库存、维护资产、确定资产所有者和系统的用途都有着很大帮助。云环境每天都在变化,因此为了弥补可见性方面的差距,资产管理非常重要。维护云资产往往是一个挑战,因为由于预算或人员短缺,我们没有能力进行维护。然而,不维护资产清单会增加云环境中未知资源的风险。资产管理有助于在事故期间保护你最关键的资产。此外,它使企业能够根据资产的关键性和风险做出更好的决策。云服务提供商(CSPs)通过提供标签和其他本机服务的功能,来管理你的资产。
02
Part
不知道保护什么以及如何保护
随着云的广泛使用,安全漏洞的数量也在增加。全球发生过恰恰是因为未保护存储敏感信息的S3云存储桶,而导致的大规模的安全漏洞。对于较小的企业来说,在保护其云环境的过程中找到起点是一项艰巨的任务。
如何解决这个问题?
安全控制可防止恶意攻击,有助于降低破坏的总体风险。云服务提供商(CSPs)提供了各种带有默认设置的安全控制。这些默认设置是一个好的开始,但必须对其进行调整,以确保默认设置不会留下安全空隙。此外,还有一些行业标准,如CIS基准、NIST标准等,企业可以利用这些标准保护其云环境。与这些相辅相成的是第三方供应商,他们提供各种工具和技术,如云安全态势管理(CSPM)、云访问安全代理(CASB)、云工作负载保护平台(CWPP)等,可以利用这些工具和技术持续监控和保护你的云环境。
03
Part
不具备在云中操作的技能和知识
具体操作的人,作为安全最关键的要素,往往缺乏足够的云知识和技能。云技术发展速度很快,因此会难以跟上。特别是自疫情以来,各公司都希望迅速向云计算发展,这就扩大了技能差距,增加了更多的挑战和未知。
如何解决这个问题?
企业要以培训和为员工提供职业发展为目标,提高员工的云技术水平。云服务提供商正在为其云技术提供培训和认证。还有各种非供应商特定的培训和认证课程,如SANS云安全课程、ISACA CET–云基础、CSA云安全知识证书(CCSK)等。从业者必须优先考虑学习云知识和不断发展的相关技术。云环境需要可靠的设计、创造、运营和保护才能得到广泛的发展,专业人员必须根据其在云环境中的角色进行培训。一个万能的人很可能会逐渐疲惫,所以最好是能团队作战。
为了构建安全的云环境,我们需要制定一个计划和时间表,以帮助我们确定里程碑。这将帮助我们不断调整一段时间内的安全态势。另一个好处是,你可以向领导团队展示你的云环境目前的安全程度与制定计划时的情况。
文章来源:ISACA
合作电话:18311333376
合作微信:aqniu001