云应用的普遍使用给负责管理企业云平台的IT和安全人员带来了很多阻碍和挑战。据Ponemon Institute所做的调查显示超过半数受访者所在企业正在向云端转移机密或敏感数据,然而57%的运维人员承认自己对于敏感信息的存储并没有一个全面的认识。
云计算正在全球范围内向各行各业扩展,显而易见基于云的SaaS应用会越来越多地取代现有的关键业务系统和服务。很多企业都看到了应用云计算的好处,但挑战与顾虑是难免的。本文中列举了帮助企业应对有关云计算的隐私、法规及安全问题的18个小贴士,希望可以使企业更顺利地使用云计算。
问题
用户的风险意识:商业用户只看到云应用提高生产力的一面,而IT部门又不十分了解企业数据在应用中的使用方式。有些商业用户还会撇开IT与安全政策自己去订阅云服务。
云服务条款:企业所遵守的数据相关政策标准与云服务提供商所遵守的并不相同,但用户在订阅云应用时看到使用条款就直接点同意了。
虚拟化:虚拟化技术是SaaS和云平台的核心,但它自身也有一定的安全风险。作为云计算用户,应主动了解云服务提供商所使用的虚拟化技术并在必要时采取适当的措施以降低风险。
身份验证与访问控制:Perspecsys公司的研究显示31%的受访企业不允许员工通过移动设备访问云应用中的企业数据,但堵不如疏,积极主动地采取安全措施才能保证无论存储于何处都保证数据处于保护中。
数据控制权:云计算技术应用中碰到的数据隐私问题正在阻碍云计算的应用,使用公有SaaS云服务就相当于将数据交给云服务提供商,因此企业正面临敏感信息的控制权问题。
数据存储位置:某些客户信息需要存储于特定的地理位置,这是企业经常碰到的一个问题。如此一来企业就很难使用在世界其他地区运营的云服务,监管和数据隐私顾虑使得数据存储位置成了企业应用云计算过程中的一个重大挑战。
数据隐私:商业敏感数据通常需要更严格的保护。无论储存在企业内部或是云端,数据发生泄露倒霉的都是企业自身。所以无论数据储存在哪里都有必要采取严格的安全措施。
法律法规:企业对于敏感信息的使用和保护必须要遵守相关的法律法规。
数据保护条款:越来越多的企业要求对云服务提供商所维护的数据进行一定的处理,例如采取更严格的安全措施。
应对
开放:企业IT部门需要寻找在遵守行业标准等方面持开放态度的云技术,同时也需要相互之间能够进行对接集成的安全解决方案以使云端环境在使用中可以得到完全的信任。
追踪企业数据:今天的数字经济时代,信息可以自由地流动,这使得追踪敏感信息变得越来越难。所以企业应当了解企业内部及云端所使用的数据安全工具,特别是云数据加密和记号化工具。
测试:Caliber Security Partners的John Overbaugh表示:对网络和架构进行测试是重要的安全策略。虽然部署到云上与传统的部署方式相比有一些变化,但还是有办法做测试的,重点是提前规划、修改测试的策略以及管理领导层的期望,但最重要的还是在进行测试之前和测试中做好与云服务提供商和安全机构的沟通工作。
备份:无论数据是否储存在云端,备份都是一个好主意。
使用多个云服务:使用多个不同云服务的策略可以降低数据丢失或系统宕机的风险,企业可以开发在不同云环境中实施统一的数据保护政策的安全平台,如果可以简化密匙和政策管理就更好了。
安全教育:除了流程和技术,人的因素对信息安全也有着关键的影响,提前对企业雇员进行安全教育才能避免他们犯下大错。
建立全面的数据管理政策:为了符合企业内部和法律上的数据隐私要求,必须建立起行之有效的数据管理政策,数据应根据敏感性进行分类并根据其分类施以相应的安全手段。
实施数据安全服务:企业可以考虑在公司内部以软件即服务的形式实现加密和记号化这样的功能,如此便可以减少在云端储存和处理数据的安全风险。
正确的加密方式:密匙和数据应分开储存。IT部门应负责密匙的保管并确保加密算法的强度,同时还应确保数据加载到内存之后仍然得到有效保护。
通常数据在处理过程中不会云端的加密算法所保护,所以企业最好自己掌控敏感数据的加密过程。