如今，大部分組織都在將一些工作負(fù)載和資產(chǎn)轉(zhuǎn)移到云端。根據(jù)最近的一份調(diào)查報(bào)告，許多企業(yè)的首席信息安全官(CISO)對安全控制和人才短缺問題感到擔(dān)憂，40%的企業(yè)因這些問題而放緩業(yè)務(wù)遷移。

[[229238]]

報(bào)告發(fā)現(xiàn)，盡管83%的IT專業(yè)人士表示他們將敏感數(shù)據(jù)存儲在公共云中，但只有69%的IT專業(yè)人士表示相信公共云能夠保護(hù)他們的數(shù)據(jù)安全。而近年來針對云計(jì)算的網(wǎng)絡(luò)攻擊十分猖獗：據(jù)調(diào)查，使用基礎(chǔ)設(shè)施即服務(wù)(IaaS)或軟件即服務(wù)(SaaS)的四分之一企業(yè)的數(shù)據(jù)曾經(jīng)被盜。與此同時(shí)，五分之一的受訪者表示他們遭遇了對其公共云基礎(chǔ)設(shè)施的重大攻擊。

調(diào)研機(jī)構(gòu)Forrester公司副總裁兼首席分析師Andras Cser表示：“我們在如何保護(hù)云中的數(shù)據(jù)，如何將企業(yè)的身份轉(zhuǎn)移到云端，以及如何確保網(wǎng)絡(luò)安全等方面進(jìn)行了大量的調(diào)查。很多時(shí)候，我們看到一些企業(yè)甚至放棄了這個領(lǐng)域的安全項(xiàng)目。”

但是，Gartner公司信息風(fēng)險(xiǎn)研究主管Daria Kirilenko表示，首席信息安全官(CISO)經(jīng)常不信任云安全的原因比一些報(bào)告所暗示的更為細(xì)微。

“許多首席信息安全官(CISO)認(rèn)為供應(yīng)商的安全性實(shí)際上比他們自己部署的安全措施強(qiáng)大得多，但最終他們認(rèn)為如果某些供應(yīng)商出現(xiàn)違規(guī)行為，他們?nèi)詫Υ撕蠊?fù)責(zé)。”Kirilenko說，“這是他們認(rèn)為應(yīng)該謹(jǐn)慎看待采用云計(jì)算的主要原因。”

Kirilenko表示，首席信息安全官也傾向于認(rèn)為他們的安全團(tuán)隊(duì)沒有適當(dāng)?shù)募寄茉诮M織實(shí)施云策略。“他們認(rèn)為，對于組織迅速采用云計(jì)算沒有準(zhǔn)備好提供支持。”她補(bǔ)充道。

Kirilenko表示，許多安全團(tuán)隊(duì)缺乏云計(jì)算安全知識，因?yàn)榇蠖鄶?shù)傳統(tǒng)的安全實(shí)踐不能遷移到云環(huán)境中，而是必須重建。

“他們毫無準(zhǔn)備，最終他們認(rèn)為如果出現(xiàn)問題，可能會承擔(dān)責(zé)任。”Kirilenko說。

建立一個云計(jì)算安全團(tuán)隊(duì)

Kirilenko指出，即使供應(yīng)商有過錯，對云中違規(guī)的責(zé)任也往往會落在企業(yè)的首席信息安全官(CISO)身上。她補(bǔ)充說，首席信息安全官應(yīng)該向高級業(yè)務(wù)利益相關(guān)者宣傳云計(jì)算安全是由供應(yīng)商和內(nèi)部團(tuán)隊(duì)共同承擔(dān)的事實(shí)，因?yàn)閮?nèi)部利益相關(guān)者犯錯時(shí)會出現(xiàn)很多安全問題。

Kirilenko表示：“首席信息安全官花費(fèi)大量時(shí)間和精力建立一個強(qiáng)大的安全團(tuán)隊(duì)，讓開發(fā)人員接受安全的云計(jì)算流程，而不是花費(fèi)所有時(shí)間來管理和監(jiān)控提供商。如果他們花費(fèi)精力建立強(qiáng)大的安全團(tuán)隊(duì)，為現(xiàn)在實(shí)際上繞開安全的開發(fā)人員實(shí)施云安全措施，他們將獲得更好的結(jié)果，但他們往往不能正確實(shí)施云安全，而這增加了使用其云供應(yīng)商的風(fēng)險(xiǎn)。”

Cser表示，云操作、云架構(gòu)或云計(jì)算安全工作者通常負(fù)責(zé)云安全，但通常會發(fā)現(xiàn)更多傳統(tǒng)安全工作者正在與新平臺進(jìn)行斗爭。

Kirilenko說，談到建立一個云安全團(tuán)隊(duì)時(shí)，尋找一位“獨(dú)角獸”公司或者某個云計(jì)算提供商的專家來了解云計(jì)算架構(gòu)，并擁有軟件開發(fā)技能通常是不可行的。相反，首席信息安全官應(yīng)該將他們的安全團(tuán)隊(duì)視為一個技能組合。

“企業(yè)需要先了解自己真正需要的云技能。”Kirilenko說，“很多時(shí)候，尋找那些知道并了解每個提供者內(nèi)部和外部的個人并不是非常重要，這些個體可以隨著時(shí)間的推移而發(fā)展。”

Kirilenko說，相反，企業(yè)應(yīng)該建立一支有個人優(yōu)勢的團(tuán)隊(duì)，加入其團(tuán)體安全。例如，一名員工可能具備必要的軟件開發(fā)技能，另一名員工在企業(yè)架構(gòu)方面經(jīng)驗(yàn)豐富，而另一位則在解決方案架構(gòu)方面擅長。

Kirilenko表示，首席信息安全官也應(yīng)該記住，他們不需要使用自己的團(tuán)隊(duì)來構(gòu)建所有的云安全。還有一些公司建立了云計(jì)算卓越中心，并將人員從應(yīng)用程序和基礎(chǔ)設(shè)施等不同功能中輪換出來，并通過這些人員加強(qiáng)組織的安全性。

“許多成功的公司并不認(rèn)為他們的內(nèi)部安全資源是一種限制，因?yàn)樗麄冎乐贫ㄔ朴?jì)算策略是組織應(yīng)該共同做的事情。”Kirilenko說。

Kirilenko表示，首席信息安全官也應(yīng)該使開發(fā)人員容易遵守云安全準(zhǔn)則。成功組織的另一個實(shí)踐是開發(fā)一個通用安全平臺，其中包含API和參考架構(gòu)，開發(fā)人員可以使用這些平臺快速了解如何在其應(yīng)用程序中實(shí)施安全準(zhǔn)則。

“企業(yè)需要考慮如何減輕利益相關(guān)者的負(fù)擔(dān)來做好安全的事情,并需要以簡單的方式實(shí)現(xiàn)安全。”Kirilenko說。