云计算的大环境下如何迎接风险管理的挑战

云计算改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式。

当信息安全规划经理辨认那些会影响企业安全策略的关键主题时,云计算无可争议地从中脱颖而出。

困难的经济环境确实有助于让云计算变得更有说服性。因为按需的资源是动态可扩展的和灵活的,这对于大型和小型的企业来说极具吸引力,且无疑会继续改变我们应用信息系统的方式。

对于每个努力保护组织的网络用户和数据的人来说,迁移到云计算会引起巨大的变化和挑战。合规要求最有可能会妨碍企业迁移它所有的数据和操作到云上,所以,事实上这个转变是额外的安全挑战,位于保护现有的网络基础设施之上。迁移到云上,要求数据和应用放置在已完善建有边界防御和物理访问控制的区域之外。随着不受到HR控制的用户数量的增加,如供应商、客户和合作伙伴,都会通过基于Web的协作工具来访问你的数据。IT管理员已经疲于确保访问公司网络的移动用户的安全,而云计算又是一个完全不同的规模。

对于我来说,关键的安全挑战之一,是如何对位于企业防火墙之外的员工、客户和合作伙伴进行有效地管理和执行访问控制。云计算把我们都变成远程的工作者,且按定义来说,云应用和数据都位于企业之外。这意味这你不能再依赖多层认证、防火墙和其它边界防护来为你完成工作。

从战略角度来看,管理这些挑战需要很多行动。必须评审和加强HR的安全策略以便他们来执行健全的用户管理生命周期。详细的身份和访问管理策略也必须到位,一个能充分利用联合的身份管理,一个能让用户跨自治的安全域安全地访问数据或系统的安排。我建议在你的企业应用内启用单点登录(SSO),并利用这个架构来简化云提供商服务的集成和实施。

云计算同样要求更加可靠的因特网连接,所以即使是微小的操作也会需要建立某种形式的冗余性,来确保数据和应用一直都可用。无论如何炒作,云服务仍然是十分不成熟的,有一些或其它形式的运行中断状况发生。有些可能很容易破产,它是一个处于脆弱的经济环境中的新兴行业。多个服务提供商会提供你更好的网络多样性和业务连续性,所以任何基于云的项目应该采用厂商中立的应用和数据架构。这包括以独立于云方式的备份,和一个独立的机器镜像。你需要尽可能地让这个转变是简单的,或者有应变计划可以将操作回撤到内部运行的云环境。尽管云计算可能会减少一定的连续性问题,但它永远不会消除行之有效的业务连续性计划的需要。

在不久的将来,基于云的服务和云计算技术会经历激增且长时期的攻击,因为对于黑客和网络恐怖分子来说,它们是具有吸引力的目标。因此,建立一个数据加密策略并实施技术来支持它,是最佳的主动防护措施。被加密的数据本质上是受到保护的,这也是为什么这么多法律和合规强制实行这个实践。加密也允许你区分角色和数据,当加密密钥控制访问你的数据时。

不断地,你会看到很多新的基于云的服务上线,许多为企业带来了可观的经济回报。一些无疑会改变长期建立的风险与回报关系。而且当评估转变为基于云服务的投资回报率(ROI)时,你会需要评审组织的业务策略和对于风险的态度。云计算正在改变信息系统,所以要确认考虑到,如何在任何新的业务流程中融入安全,从而使基础设施、数据和用户继续受到防护。

三个主要的风险管理挑战

尽管云计算可能支配IT策略向前发展,安全经理还是需要关注其它领域。当然,和云计算紧密相连的是虚拟化技术。这个行业仍然奋力为虚拟化环境定义安全最佳实践,因为应用和数据从单独的服务器迁移到在线的网络上。跟踪事态发展在安全控制方面的发展是重要的,以及对这些系统的威胁。

智能手机是网络环境外安全经理仍在致力于完全控制的另一方面,我们开始看到对移动设备有效的攻击,并且它们会变得更加流行。不会消耗完电池或CPU的安全软件会成为必不可少的部分。

最后随着VoIP使用的增长,有组织的罪犯们会发起许多攻击。系统管理员需要更加关注VoIP隧道的安全,使用加密而不是修补服务的质量。

是的,安全是一份永远不会结束的工作。