Uz mākoņiem balstītas IT sistēmas pilda nozīmīgas funkcijas gandrīz visās mūsdienu nozarēs. Uzņēmumi, bezpeļņas organizācijas, valdības un pat izglītības iestādes izmanto mākoni, lai paplašinātu tirgus pieejamību, analizētu sniegumu, pārvaldītu cilvēkresursus un piedāvātu labākus pakalpojumus. Protams, efektīva mākoņdatošanas pārvaldība ir būtiska jebkurai vienībai, kas vēlas izmantot dalītās IT priekšrocības.
Tāpat kā katram IT domēnam, mākoņdatošanas problēmām ir unikāls. Lai gan pati ideja par datu drošu saglabāšanu mākonī jau sen tiek uzskatīta par neiespējamu pretrunu, plaši izplatītas nozares prakses atklāj daudzas metodes, kas nodrošina efektīvu mākoņu drošību. Tā kā komerciālās mākoņdatošanas pakalpojumu sniedzēji, piemēram, Amazon AWS, ir pierādījuši, ka FedRAMP atbilstība ir efektīva, efektīva mākoņu drošība reālajā pasaulē ir gan sasniedzama, gan praktiska.
$config[code] not foundIetekmīga drošības ceļa kartes grafiks
Neviens IT drošības projekts nevar darboties bez stabila plāna. Praksei, kas saistīta ar mākoni, ir jāmainās atkarībā no domēniem un īstenošanas, ko tās cenšas aizsargāt.
Piemēram, pieņemsim, ka vietējās pašvaldības institūcijas izveido savu ierīci vai BYOD politiku. Tam var nākties ieviest dažādas uzraudzības kontroles, nekā tas būtu, ja tas vienkārši liegtu saviem darbiniekiem piekļūt organizatoriskajam tīklam, izmantojot personīgos viedtālruņus, klēpjdatorus un tabletes. Tāpat uzņēmumam, kas vēlas padarīt savus datus pieejamākus autorizētiem lietotājiem, uzglabājot to mākonī, iespējams, būs jāveic dažādi pasākumi, lai uzraudzītu piekļuvi, nekā tas būtu, ja tā saglabātu savas datu bāzes un fiziskos serverus.
Tas nenozīmē, kā daži apgalvo, ka mākoņdatošanas droša saglabāšana ir mazāk ticama nekā drošība privātajā LAN. Pieredze rāda, ka dažādu mākoņdrošības pasākumu efektivitāte ir atkarīga no tā, cik labi tās ievēro noteiktas pierādītas metodes. Mākoņproduktiem un pakalpojumiem, kas izmanto valdības datus un aktīvus, šīs labākās prakses ir definētas kā daļa no Federālā riska un autorizācijas pārvaldības programmas vai FedRAMP.
Kas ir federālā riska un autorizācijas pārvaldības programma?
Federālā riska un autorizācijas vadības programma ir oficiāls process, ko federālās aģentūras izmanto, lai novērtētu mākoņdatošanas pakalpojumu un produktu efektivitāti. Savā sirdī atrodas standarti, ko noteikusi Nacionālais standartu un tehnoloģiju institūts, vai NIST, dažādos speciālajos izdevumos vai SP, kā arī Federālā informācijas apstrādes standartā vai FIPS dokumentos. Šie standarti ir vērsti uz efektīvu uz mākoņiem balstītu aizsardzību.
Programma sniedz vadlīnijas daudziem kopīgiem mākoņa drošības uzdevumiem. Tie ietver pareizu incidentu apstrādi, izmantojot kriminālistikas metodes, lai izmeklētu pārkāpumus, plānotu neparedzētus resursus, lai saglabātu resursu pieejamību un pārvaldītu riskus. Programma ietver arī akreditācijas protokolus trešo pušu akreditācijas organizācijām vai 3PAO, kas izvērtē mākoņu ieviešanu katrā gadījumā atsevišķi. 3PAO sertificētas atbilstības saglabāšana ir droša zīme, ka IT integrators vai pakalpojumu sniedzējs ir gatavs saglabāt informāciju mākoņos.
Efektīva drošības prakse
Tātad, kā uzņēmumi glabā datus drošībā ar komerciāliem mākoņa pakalpojumu sniedzējiem? Lai gan ir neskaitāmas svarīgas metodes, daži no tiem ir cienīgi pieminēt:
Provider Verification
Spēcīgas darba attiecības ir balstītas uz uzticību, bet labticībai jābūt kaut kur. Neatkarīgi no tā, cik labi izveidots mākoņa pakalpojumu sniedzējs, ir svarīgi, lai lietotāji autentificētu atbilstību un pārvaldības praksi.
Valdības IT drošības standarti parasti ietver revīzijas un vērtēšanas stratēģijas. Jūsu mākoņa pakalpojumu sniedzēja iepriekšējās darbības pārbaude ir labs veids, kā atklāt, vai viņi ir pelnījuši jūsu nākotnes biznesu. Personas, kurām ir.gov un.mil e-pasta adreses, var piekļūt arī FedRAMP drošības paketēm, kas saistītas ar dažādiem pakalpojumu sniedzējiem, lai apstiprinātu to atbilstību prasībām.
Pieņemiet proaktīvu lomu
Lai gan tādi pakalpojumi kā „Amazon AWS” un „Microsoft Azure” atzīst to atbilstību noteiktajiem standartiem, visaptveroša mākoņu drošība aizņem vairāk nekā vienu pusi. Atkarībā no iegādātā mākoņa pakalpojuma paketes, iespējams, jums būs jāvirza sava pakalpojuma sniedzēja noteikti konkrēti galvenie elementi vai jāiesaka viņiem, ka viņiem ir jāievēro konkrētas drošības procedūras.
Piemēram, ja esat medicīnas ierīču ražotājs, likumi, piemēram, veselības apdrošināšanas pārnesamības un atbildības likums vai HIPAA, var likt jums veikt papildu pasākumus, lai aizsargātu patērētāju veselības datus. Šīs prasības bieži vien pastāv neatkarīgi no tā, ko jūsu pakalpojumu sniedzējam ir jādara, lai saglabātu savu Federālā riska un autorizācijas pārvaldības programmas sertifikāciju.
Ar minimālu minimumu jūs esat atbildīgs tikai par drošības prakses uzturēšanu, kas aptver jūsu organizatorisko mijiedarbību ar mākoņu sistēmām. Piemēram, jums ir jāievieš droša paroles politika darbiniekiem un klientiem. Laužot bumbu uz gala, var tikt apdraudēta pat visefektīvākā mākoņa drošības ieviešana, tāpēc uzņemieties atbildību.
Tas, ko jūs darāt ar mākoņa pakalpojumiem, galu galā ietekmē to drošības elementu efektivitāti. Jūsu darbinieki ērtības labad var iesaistīties ēnu IT praksē, piemēram, koplietot dokumentus, izmantojot Skype vai Gmail, taču šie šķietami nekaitīgie akti var kavēt jūsu rūpīgi izstrādātus mākoņu aizsardzības plānus. Papildus darbinieku apmācībai, kā pareizi izmantot autorizētus pakalpojumus, jums ir jāmāca viņiem, kā izvairīties no nepilnībām, kas saistītas ar neoficiālām datu plūsmām.
Izprast jūsu mākoņa pakalpojuma noteikumus, lai kontrolētu risku
Datu mitināšana mākoņdatnē ne vienmēr piešķir tādas pašas kvotas, kādas jums būtu raksturīgas ar pašu uzglabāšanu. Daži pakalpojumu sniedzēji patur tiesības veikt traļu trafiku, lai viņi varētu rādīt reklāmas vai analizēt savu produktu izmantošanu. Citiem var būt nepieciešams piekļūt jūsu informācijai, sniedzot tehnisko atbalstu.
Dažos gadījumos datu ekspozīcija nav milzīga problēma. Ja strādājat ar personiski identificējamu informāciju par patērētājiem vai maksājuma datiem, ir viegli redzēt, kā trešās puses piekļuve varētu izraisīt katastrofu.
Var būt neiespējami pilnīgi novērst visu piekļuvi attālajai sistēmai vai datubāzei. Tomēr, strādājot ar pakalpojumu sniedzējiem, kas izsniedz revīzijas ierakstus un sistēmas piekļuves žurnālus, jūs zināt, vai jūsu dati tiek uzturēti droši. Šādas zināšanas sniedzas tālu, lai palīdzētu uzņēmumiem mazināt jebkādu iespējamo pārkāpumu negatīvo ietekmi.
Nekad neuzskatiet, ka drošība ir vienreizējs lieta
Lielākā daļa viedo cilvēku regulāri maina savas personiskās paroles. Vai jums nevajadzētu būt tikpat rūpīgam par IT balstītu mākoņdatošanas drošību?
Neatkarīgi no tā, cik bieži jūsu pakalpojumu sniedzēja atbilstības stratēģija nosaka, ka tās veic pašpārbaudes, jums ir jādefinē vai jāpieņem savi standartu kopumi parastajiem novērtējumiem. Ja jums ir saistošas arī atbilstības prasības, jums būtu jāievieš stingrs režīms, kas nodrošina, ka jūs varat izpildīt savas saistības pat tad, ja jūsu mākoņa pakalpojumu sniedzējs to neizdara konsekventi.
Mākoņdatošanas drošības ieviešana
Efektīva mākoņu drošība nav nekāda mistiska pilsēta, kas uz visiem laikiem atrodas aiz horizonta. Kā labi izveidots process, tas ir lielākajā daļā IT pakalpojumu lietotāju un pakalpojumu sniedzēju, neatkarīgi no to standartiem.
Pielāgojot šajā rakstā izklāstītās prakses jūsu vajadzībām, ir iespējams sasniegt un uzturēt drošības standartus, kas saglabā jūsu datus drošībā, būtiski nepalielinot ekspluatācijas izmaksas.
Attēls: SpinSys
1 komentārs ▼
