Intel安全部门对于云接受程度的最新调研给企业带来了一些好消息和坏消息。好消息是,根据一份超过1200名IT决策制定人员参与的调查报告,云相关的数据破坏频率是很低的。但是坏消息是这些决策制定人员认为迁移的挑战是他们面临的最为常见的问题。从安全的角度看,将工作负载和数据移上云端时,要么是从内部数据中心移动到云上,要么是从一个云供应商处移动到另一个供应商处,肯定会面临很多挑战。
云迁移最主要的挑战之一是,根据政策和数据分类需求,确保仅仅那些合适类型的数据会移动到云上。很多企业发现敏感信息也会在云上出现,他们其实根本没有这么计划,这通常是因为和项目团队缺乏沟通,或者缺少对风险的理解所致,或者两者皆有。Intel安全部门的研究里所引用的SANS调研说,40%的受访者提到他们在云上存储或者处理敏感数据(编者按:为Intel安全报告提供消息的作者)。其他60%认为没有这种情况发生的受访者,则需要小心定义政策,规定哪些数据能迁移到云上,哪些不能。
很多企业面临的云迁移的另一个挑战是,他们认识到并不是所有的云供应商都提供相同的服务和功能,因此,供应商绑定几乎在所难免。项目团队在某个特定的云供应商那构建了基础架构之后,将特定格式的数据和系统移动到其他环境会相当困难,甚至不可能。同样地,基于这两个原因,从云环境上导出数据也会成为企业的负担。
首先,从云供应商那里获得海量数据可能需要合同里的特别条款约定,很可能要求向供应商提供存储硬件来支持这样的转移。第二,导出的数据格式可能和其他供应商甚至和内部系统或者应用程序不兼容。一开始就搞清楚这些至关重要,需要确保所有数据能够导出成企业能够使用的格式。
安全团队需要在云数据迁移前花时间评估目前所使用的安全控制方法,随后比对云供应商环境里可用的方案。一定会存在这样的情况,一些安全控制方法——和/或者供应商,在云供应商环境里可能不可用,如果没有发现并且适当处理这些情况的话,部署就可能缺失关键的安全控制。云环境里无法匹配已有的安全控制方法可能会导致数据外泄、破坏,至少会导致违规。
云迁移挑战的另一个大问题是缺少尽职的调查,来正确评估服务提供商及其安全能力。现在大部分有名气的供应商都至少提供了SSAE 16 SOC 2,并且一些供应商还能够提供关注于ISO 27001或者合规要求,比如PCI DSS或者HIPAA的更多深度报告。供应商管理,法务和安全以及合规团队需要要求云供应商回答安全调查表,并且决定该供应商的风险等级。
很多公司选择基于Cloud Security Alliance Consensus Assessments Initiative Questionnaire(云安全联盟一致性评估工作组调查问卷)来构建自己的调查表,一些供应商已经准备好了这些问题的回答。审核这些回答可能会发现很多主要的安全挑战,比如,加密密钥管理和访问,身份管理兼容性,可用的网络控制,以及云供应商是否能够满足多租户的法律和鉴证请求。
如果说为了帮助减轻云迁移的痛苦有什么灵丹妙药的话,那就是计划。对于所有的云项目,务必要求安全团队参与政策的构建,确定尽职调查项目应该是什么样子的,并且确保不要移动到任何控制和数据兼容性缺少或者不足的云服务上。
(责任编辑:admin)