Demystified ความปลอดภัยบนคลาวด์

สารบัญ:

Anonim

ระบบไอทีบนคลาวด์ช่วยเติมเต็มฟังก์ชั่นที่สำคัญในเกือบทุกอุตสาหกรรมที่ทันสมัย บริษัท, องค์กรที่ไม่หวังผลกำไร, รัฐบาล, และแม้แต่สถาบันการศึกษาใช้ระบบคลาวด์เพื่อขยายการเข้าถึงตลาดวิเคราะห์ประสิทธิภาพจัดการทรัพยากรมนุษย์และเสนอบริการที่ได้รับการปรับปรุง การกำกับดูแลความปลอดภัยบนคลาวด์ที่มีประสิทธิภาพนั้นเป็นสิ่งจำเป็นสำหรับองค์กรใด ๆ ที่ต้องการเก็บเกี่ยวผลประโยชน์ของไอทีแบบกระจาย

การประมวลผลแบบคลาวด์มีความกังวลด้านความปลอดภัยที่ไม่เหมือนใครทุกโดเมน แม้ว่าแนวความคิดในการรักษาความปลอดภัยของข้อมูลในระบบคลาวด์นั้นเป็นความขัดแย้งที่เป็นไปไม่ได้มานานแล้ว แต่การปฏิบัติในอุตสาหกรรมที่แพร่หลายได้เปิดเผยเทคนิคมากมายที่ให้ความปลอดภัยของระบบคลาวด์ที่มีประสิทธิภาพ ในฐานะผู้ให้บริการคลาวด์ในเชิงพาณิชย์อย่าง Amazon AWS ได้แสดงให้เห็นโดยการรักษาความสอดคล้องของ FedRAMP ความปลอดภัยของระบบคลาวด์ที่มีประสิทธิภาพนั้นทำได้ทั้งในทางปฏิบัติและในโลกแห่งความเป็นจริง

$config[code] not found

การทำแผนที่ความปลอดภัยที่มีผลกระทบ

ไม่มีโครงการความปลอดภัยด้านไอทีที่สามารถทำงานได้หากไม่มีแผนการที่มั่นคง วิธีปฏิบัติที่เกี่ยวข้องกับคลาวด์จะต้องแตกต่างกันไปตามโดเมนและการใช้งานที่พวกเขาต้องการปกป้อง

ตัวอย่างเช่นสมมติว่าองค์กรปกครองส่วนท้องถิ่นมีนโยบายนำอุปกรณ์หรือ BYOD ของคุณมาเอง อาจต้องมีการควบคุมการกำกับดูแลที่แตกต่างไปกว่าถ้าหากมันห้ามพนักงานไม่ให้เข้าถึงเครือข่ายขององค์กรโดยใช้สมาร์ทโฟนแล็ปท็อปและแท็บเล็ตส่วนตัว ในทำนองเดียวกัน บริษัท ที่ต้องการให้ผู้ใช้ที่ได้รับอนุญาตเข้าถึงข้อมูลของตนได้มากขึ้นโดยการจัดเก็บไว้ในระบบคลาวด์อาจจำเป็นต้องใช้ขั้นตอนต่าง ๆ ในการตรวจสอบการเข้าถึงมากกว่าถ้าหาก บริษัท รักษาฐานข้อมูลและเซิร์ฟเวอร์จริง

สิ่งนี้ไม่ได้บอกตามที่บางคนแนะนำว่าการรักษาความปลอดภัยให้กับคลาวด์ได้สำเร็จนั้นมีโอกาสน้อยกว่าการรักษาความปลอดภัยบน LAN ส่วนตัว ประสบการณ์ได้แสดงให้เห็นว่าประสิทธิภาพของมาตรการรักษาความปลอดภัยบนคลาวด์ที่แตกต่างกันขึ้นอยู่กับว่าพวกเขาปฏิบัติตามวิธีการที่พิสูจน์แล้วได้ดีเพียงใด สำหรับผลิตภัณฑ์และบริการคลาวด์ที่ใช้ข้อมูลและสินทรัพย์ของรัฐบาลแนวทางปฏิบัติที่ดีที่สุดเหล่านี้ถูกกำหนดให้เป็นส่วนหนึ่งของโครงการการจัดการความเสี่ยงและการอนุญาตจากรัฐบาลกลางหรือ FedRAMP

โปรแกรมการจัดการความเสี่ยงของรัฐบาลกลางและการอนุญาตคืออะไร?

โปรแกรมการจัดการความเสี่ยงและการอนุญาตของรัฐบาลกลางเป็นกระบวนการอย่างเป็นทางการที่หน่วยงานรัฐบาลกลางใช้เพื่อตัดสินประสิทธิภาพของบริการและผลิตภัณฑ์คลาวด์คอมพิวติ้ง ด้วยมาตรฐานระดับหัวใจที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติหรือ NIST ในสิ่งพิมพ์พิเศษต่างๆหรือ SP และมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลางหรือเอกสาร มาตรฐานเหล่านี้มุ่งเน้นไปที่การป้องกันบนคลาวด์ที่มีประสิทธิภาพ

โปรแกรมนี้ให้แนวทางสำหรับงานด้านความปลอดภัยบนคลาวด์ทั่วไป เหล่านี้รวมถึงการจัดการเหตุการณ์อย่างเหมาะสมโดยใช้เทคนิคทางนิติเวชเพื่อตรวจสอบการละเมิดการวางแผนฉุกเฉินเพื่อรักษาความพร้อมใช้งานของทรัพยากรและการจัดการความเสี่ยง โปรแกรมนี้ยังรวมถึงโปรโตคอลการรับรองสำหรับองค์กรที่ได้รับการรับรองบุคคลที่สามหรือ 3PAOs ที่ประเมินการใช้งานระบบคลาวด์เป็นกรณี ๆ ไป การคงไว้ซึ่งการปฏิบัติตามมาตรฐาน 3PAO เป็นสัญญาณที่บ่งบอกว่าผู้รวบรวมหรือผู้ให้บริการด้านไอทีเตรียมพร้อมที่จะเก็บข้อมูลที่ปลอดภัยในคลาวด์

แนวทางปฏิบัติด้านความปลอดภัยที่มีประสิทธิภาพ

ดังนั้น บริษัท ต่างๆจะรักษาข้อมูลให้ปลอดภัยด้วยผู้ให้บริการคลาวด์เชิงพาณิชย์ได้อย่างไร ในขณะที่มีเทคนิคที่สำคัญนับไม่ถ้วน แต่มีเพียงไม่กี่คนเท่านั้นที่สมควรกล่าวถึงที่นี่:

การตรวจสอบผู้ให้บริการ

ความสัมพันธ์ที่แข็งแกร่งในการทำงานนั้นสร้างขึ้นจากความไว้วางใจ แต่ความเชื่อที่ดีนั้นต้องเกิดขึ้นที่ไหนซักแห่ง ไม่ว่าผู้ให้บริการคลาวด์จะมีชื่อเสียงมากเพียงใดก็ตามสิ่งสำคัญคือผู้ใช้ต้องรับรองความถูกต้องของการปฏิบัติตามและการกำกับดูแล

มาตรฐานความปลอดภัยด้านไอทีของรัฐบาลมักรวมการตรวจสอบและการให้คะแนนกลยุทธ์ การตรวจสอบประสิทธิภาพที่ผ่านมาของผู้ให้บริการคลาวด์ของคุณเป็นวิธีที่ดีในการค้นหาว่าพวกเขามีค่าต่อธุรกิจในอนาคตของคุณหรือไม่ บุคคลที่มีที่อยู่อีเมล. gov และ. mil สามารถเข้าถึงแพ็คเกจรักษาความปลอดภัยของ FedRAMP ที่เกี่ยวข้องกับผู้ให้บริการหลายรายเพื่อยืนยันการปฏิบัติตามข้อกำหนด

สมมติบทบาทเชิงรุก

แม้ว่าบริการต่างๆเช่น Amazon AWS และ Microsoft Azure ยอมรับการปฏิบัติตามมาตรฐานที่กำหนดไว้ แต่ความปลอดภัยของระบบคลาวด์ที่ครอบคลุมนั้นมีมากกว่าฝ่ายเดียว ขึ้นอยู่กับแพ็คเกจบริการคลาวด์ที่คุณซื้อคุณอาจต้องกำหนดให้ผู้ให้บริการของคุณใช้คุณสมบัติหลักบางอย่างหรือแนะนำให้พวกเขาต้องปฏิบัติตามขั้นตอนการรักษาความปลอดภัยที่เฉพาะเจาะจง

ตัวอย่างเช่นหากคุณเป็นผู้ผลิตอุปกรณ์ทางการแพทย์กฎหมายเช่นพระราชบัญญัติประกันสุขภาพพกพาและพระราชบัญญัติความรับผิดชอบหรือ HIPAA อาจมอบอำนาจให้คุณดำเนินการขั้นตอนพิเศษเพื่อปกป้องข้อมูลสุขภาพของผู้บริโภค ข้อกำหนดเหล่านี้มักจะมีอยู่อย่างอิสระจากสิ่งที่ผู้ให้บริการของคุณต้องทำเพื่อให้การรับรองโปรแกรมการจัดการความเสี่ยงและการอนุญาตของรัฐบาลกลาง

อย่างน้อยที่สุดคุณจะต้องรับผิดชอบต่อการรักษาความปลอดภัยที่ครอบคลุมการโต้ตอบขององค์กรกับระบบคลาวด์ ตัวอย่างเช่นคุณต้องกำหนดนโยบายรหัสผ่านที่ปลอดภัยสำหรับพนักงานและลูกค้าของคุณ การทิ้งลูกบอลในตอนท้ายของคุณสามารถทำให้การใช้งานระบบความปลอดภัยบนคลาวด์มีประสิทธิภาพสูงสุด

ในที่สุดคุณจะทำอะไรกับบริการคลาวด์ของคุณที่ส่งผลต่อประสิทธิภาพของคุณลักษณะด้านความปลอดภัย พนักงานของคุณอาจมีส่วนร่วมในการปฏิบัติงานด้านไอทีเงาเช่นการแบ่งปันเอกสารผ่าน Skype หรือ Gmail เพื่อความสะดวก แต่การกระทำที่ดูไร้เดียงสาเหล่านี้อาจขัดขวางแผนการปกป้องคลาวด์ที่วางไว้อย่างระมัดระวังของคุณ นอกเหนือจากการฝึกอบรมพนักงานวิธีการใช้บริการที่ได้รับอนุญาตอย่างถูกต้องแล้วคุณจะต้องสอนพวกเขาถึงวิธีหลีกเลี่ยงข้อผิดพลาดที่เกี่ยวข้องกับการไหลของข้อมูลที่ไม่เป็นทางการ

ทำความเข้าใจข้อกำหนดของบริการคลาวด์ของคุณเพื่อควบคุมความเสี่ยง

การโฮสต์ข้อมูลของคุณบนคลาวด์ไม่จำเป็นต้องให้สิทธิ์เหมือนกับที่คุณมีกับที่เก็บข้อมูลในตัว ผู้ให้บริการบางรายมีสิทธิ์ในการสืบค้นเนื้อหาของคุณเพื่อให้สามารถแสดงโฆษณาหรือวิเคราะห์การใช้ผลิตภัณฑ์ของตน ผู้อื่นอาจจำเป็นต้องเข้าถึงข้อมูลของคุณในระหว่างการให้การสนับสนุนทางเทคนิค

ในบางกรณีการเปิดรับข้อมูลไม่ใช่ปัญหาใหญ่ เมื่อคุณจัดการกับข้อมูลผู้บริโภคที่สามารถระบุตัวตนได้หรือข้อมูลการชำระเงินมันเป็นเรื่องง่ายที่จะเห็นว่าการเข้าถึงของบุคคลที่สามจะทำให้เกิดภัยพิบัติได้อย่างไร

อาจเป็นไปไม่ได้เลยที่จะป้องกันการเข้าถึงระบบรีโมตหรือฐานข้อมูลทั้งหมด อย่างไรก็ตามการทำงานกับผู้ให้บริการที่ปล่อยบันทึกการตรวจสอบและบันทึกการเข้าถึงระบบช่วยให้คุณทราบว่าข้อมูลของคุณได้รับการดูแลอย่างปลอดภัยหรือไม่ ความรู้ดังกล่าวช่วยให้องค์กรสามารถบรรเทาผลกระทบด้านลบจากการละเมิดที่เกิดขึ้นได้

ไม่ถือว่าความปลอดภัยเป็นเรื่องที่เกิดขึ้นครั้งเดียว

คนฉลาดส่วนใหญ่เปลี่ยนรหัสผ่านส่วนตัวเป็นประจำ คุณไม่ควรที่จะขยันเกี่ยวกับความปลอดภัยด้านไอทีบนคลาวด์

ไม่ว่ากลยุทธ์การปฏิบัติตามกฎระเบียบของผู้ให้บริการจะกำหนดให้พวกเขาทำการตรวจสอบด้วยตนเองบ่อยเพียงใดคุณต้องกำหนดหรือนำมาตรฐานชุดของคุณเองมาใช้เพื่อประเมินผลตามปกติ หากคุณปฏิบัติตามข้อกำหนดการปฏิบัติตามข้อกำหนดคุณจะต้องปฏิบัติตามกฎเกณฑ์ที่เข้มงวดเพื่อให้แน่ใจว่าคุณสามารถปฏิบัติตามภาระผูกพันของคุณได้แม้ว่าผู้ให้บริการคลาวด์ของคุณจะไม่ทำอย่างสม่ำเสมอ

การสร้างระบบความปลอดภัยบนคลาวด์ที่ใช้งานได้

การรักษาความปลอดภัยบนระบบคลาวด์ที่มีประสิทธิภาพไม่ใช่เมืองลึกลับที่อยู่ไกลเกินขอบฟ้าไปตลอดกาล ในฐานะที่เป็นกระบวนการที่ได้รับการยอมรับเป็นอย่างดีผู้ใช้บริการและผู้ให้บริการด้านไอทีส่วนใหญ่ไม่ว่าจะอยู่ในมาตรฐานใดก็ตาม

โดยการปรับการปฏิบัติที่ระบุไว้ในบทความนี้เพื่อวัตถุประสงค์ของคุณเป็นไปได้ที่จะบรรลุและรักษามาตรฐานความปลอดภัยที่ทำให้ข้อมูลของคุณปลอดภัยโดยไม่ต้องเพิ่มค่าใช้จ่ายในการดำเนินงาน

รูป: SpinSys

1 ความคิดเห็น▼