很多企業(yè)的數(shù)據(jù)存放在云端，而沒有存放在內(nèi)部部署數(shù)據(jù)中心，但這并不意味著可以不用負責其數(shù)據(jù)的安全性。

云計算技術(shù)當然具有一定的優(yōu)勢，但與任何大規(guī)模部署一樣，采用云計算也可能面臨無法預(yù)料的挑戰(zhàn)。“云計算只是別人的數(shù)據(jù)中心”，這個概念讓很多人感到困惑，因為這可能假設(shè)企業(yè)放棄安全責任，因為“別人會照顧它”。

云計算系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序并非實際位于企業(yè)的控制范圍內(nèi)，而是安全責任和風險的一種緩解。云計算基礎(chǔ)設(shè)施提供商可以在設(shè)置運營環(huán)境的方式、放置的內(nèi)容，如何保護數(shù)據(jù)，以及如何監(jiān)控環(huán)境方面實現(xiàn)大量控制。企業(yè)在整個環(huán)境中管理風險，并與現(xiàn)有安全框架保持一致是最重要的。

隱私和風險

根據(jù)歐盟發(fā)布的通用數(shù)據(jù)保護法規(guī)和美國一些地區(qū)(亞利桑那州、科羅拉多州、加利福尼亞州和其他州)的類似政策，組織在保護云中的數(shù)據(jù)時面臨更高的要求。其解決方案并不像在數(shù)據(jù)中心安裝數(shù)據(jù)丟失防護軟件那么簡單，因為企業(yè)現(xiàn)在擁有很多不屬于自己但仍需要可見性和控制權(quán)的服務(wù)、系統(tǒng)和基礎(chǔ)設(shè)施。

共享或交換信息的云計算服務(wù)和基礎(chǔ)設(shè)施也難以管理：那么誰擁有服務(wù)級別協(xié)議?是否需要一個控制臺可以監(jiān)控一切?DevOps迫使企業(yè)實施微分段，并調(diào)整防火墻規(guī)則變更管理流程。此外，采用無服務(wù)器計算允許開發(fā)人員運行代碼，而無需擔心基礎(chǔ)設(shè)施和平臺，為組織提供了降低成本和提高工作效率的方法。但是，如果沒有處理虛擬私有云和工作負載部署，事情可能會失控，就會開始看到重要數(shù)據(jù)可能泄漏。

緩解

組織可以采取幾個步驟來幫助降低在云中的數(shù)據(jù)風險。

1.設(shè)計保持一致。首先，將組織的云計算環(huán)境與網(wǎng)絡(luò)安全框架保持一致。通常，組織將業(yè)務(wù)迅速地遷移到云平臺，以至于應(yīng)用于其內(nèi)部部署數(shù)據(jù)中心的安全控制措施可能不會有效地遷移到云平臺。此外，組織可以采用軟件即服務(wù)(SaaS)應(yīng)用程序(如Salesforce或Office 365)上的安全措施。但即使使用這些合法的業(yè)務(wù)應(yīng)用程序，如果組織沒有正確的數(shù)據(jù)，數(shù)據(jù)可能會丟失能見度和控制力。因此，使云計算提供商技術(shù)與網(wǎng)絡(luò)安全框架和業(yè)務(wù)運營程序保持一致，可以實現(xiàn)高度安全、更高效的云平臺，從而提供更好的結(jié)果和成功的部署。

2.應(yīng)該像對待局域網(wǎng)和數(shù)據(jù)中心那樣對待云計算系統(tǒng)和網(wǎng)絡(luò)。例如，亞馬遜公司的共享責任模型概述了其安全責任從何處結(jié)束，以及其安全責任從何處開始。盡管計算層存在威脅(正如人們在Meltdown、Foreshadow和Spectre中看到的那樣)，最近的云計算數(shù)據(jù)泄露事件已經(jīng)顯示出組織安全責任領(lǐng)域的崩潰，directadmin授權(quán)，即操作系統(tǒng)安全、數(shù)據(jù)加密和訪問控制。如果組織有管理服務(wù)器配置、漏洞管理、修補、身份和訪問管理、加密、分段、防火墻規(guī)則、應(yīng)用程序開發(fā)和監(jiān)控的標準，需要注意這些標準是否適用于云計算服務(wù)，并且定期進行審核。

3.有效的安全控制。很多組織通常會警告那些為了獲得靈活性和效率卻接入不安全無線接入點的員工，提醒他們注意安全。提供惡意檢測和入侵防御系統(tǒng)功能的無線控制器有助于控制這種行為。通過云計算技術(shù)，員工可以根據(jù)需要設(shè)置云計算存儲賬戶、無服務(wù)器計算環(huán)境和虛擬專用網(wǎng)絡(luò)，以避免繁瑣的變更控制程序，降低成本，并獲得類似的靈活性和效率。通過重新架構(gòu)傳統(tǒng)網(wǎng)絡(luò)調(diào)整數(shù)十年前的流程和程序，實施云計算代理或云計算訪問安全代理(CASB)技術(shù)，directadmin授權(quán)，并將其與強大的端點安全控制和有效的意識活動相結(jié)合，組織可以提供這種級別的靈活性和效率，但仍然可以提供數(shù)據(jù)保護。

4.密切關(guān)注。網(wǎng)絡(luò)安全運營中心(CSOC)不再僅僅關(guān)注本地網(wǎng)絡(luò)和數(shù)據(jù)中心。安全運營中心(CSOC)使用的運營監(jiān)控程序、威脅搜尋、情報和事件響應(yīng)也適用于組織數(shù)據(jù)所在的云計算環(huán)境。監(jiān)控組織數(shù)據(jù)可能駐留的SaaS應(yīng)用程序具有挑戰(zhàn)性，但可以使用有效的端點安全性以及云計算訪問解決方案(CASB和代理)的監(jiān)控來完成。對于無服務(wù)器環(huán)境，根據(jù)組織的網(wǎng)絡(luò)安全運營中心(CSOC)要求，這可能意味著第三方監(jiān)控平臺或解決方案的應(yīng)用超出云計算提供商提供的范圍。在所有情況下，事件記錄和觸發(fā)器都需要反饋到網(wǎng)絡(luò)安全運營中心(CSOC)以便與本地事件數(shù)據(jù)、分析和威脅情報相關(guān)聯(lián)。

由于可用的云計算服務(wù)，組織難以管理風險。從“盡一切努力完成工作”到“做對企業(yè)有利的事情”的文化轉(zhuǎn)變需要大量的協(xié)調(diào)努力和時間，但其根源在于安全成為業(yè)務(wù)推動者。