使用云计算服务的企业通常在云计算环境中存储重要数据,这充分证明云计算服务支持业务增长的原因。但在使用云计算服务时,很多企业仍然不确定是否将数据委托给云计算服务提供商(CSP)。云计算服务提供商(CSP)通常会提供一定程度的安全性,这一点已被证实,但与云计算相关的安全事件仍会发生。
云计算服务提供商(CSP)不能完全为其客户的关键信息资产的安全负责。云计算安全同样取决于客户实施正确级别的信息安全控制的能力。但是,云计算环境复杂多样,这妨碍了部署和维护核心安全控制的一致方法。企业必须意识到并履行其分担保护云计算服务的职责,以成功应对越来越多地针对云计算环境的网络威胁,这一点至关重要。
多云环境的兴起
随着企业需要获得新的云计算服务,他们通常会从多个云计算服务提供商(CSP)中选择,因此需要处理使用两个或多个云计算服务提供商(CSP)构建的多云环境。
很多企业喜欢采用多云环境,因为它允许他们跨不同的云计算服务提供商(例如AWS、Microsoft Azure、Google Cloud、Salesforce)选择首选的云计算服务。但是,每个单独的云计算服务提供商(CSP)都采用其自己的规则、特定的技术和方法来进行安全性管理。因此,云计算客户需要获得广泛的技能和知识,才能安全地使用来自多个云计算服务提供商(CSP)的不同云计算服务。
企业需要各种不同的客户才能通过安全的网络连接(例如通过网关)从其网络范围内安全地访问云计算服务。但是,企业还需要业务合作伙伴和异地旅行或远程工作的客户从内部部署设施访问其云计算服务,所有这些都通过企业规定的安全网络连接来进行连接。
克服挑战
虽然云计算服务提供商(CSP)为其云计算服务提供一定程度的安全性,但企业需要意识到其安全义务并部署必要的安全控制措施。这就要求企业了解并解决由云计算环境的复杂和异构方面带来的许多安全挑战。
行业专家已经确定了在云计算环境中安全运行的几个障碍。企业面临的主要挑战包括:
确定并维护适当的安全控制。
平衡云计算服务提供商(CSP)和云计算用户之间的安全共享责任。
满足法规要求以保护云计算环境中的敏感数据。
云计算应用迅速增长加剧了这些挑战,并且在某些情况下,使企业不足以准备解决与使用云计算服务相关的安全问题。
平衡安全的共同责任
确保云计算服务的使用是云计算服务提供商(CSP)和云计算客户之间的共同责任。云计算服务提供商(CSP)承担的安全义务是保护多租户云计算环境,其中包括后端服务和物理基础设施,以及防止不同客户之间的数据混合。
尽管云计算服务提供商(CSP)维护着许多底层的云计算基础设施,但是云计算客户负责保护其数据和用户管理。用户的责任是否扩展到为应用程序、操作系统和网络执行安全配置,将取决于所选择的云计算服务模型。
这种对安全的共同责任可能造成混乱,将导致过度依赖云计算服务提供商(CSP)来减轻威胁,并防止安全事件的发生。至关重要的是,云计算客户不完全依赖云计算服务提供商(CSP)来部署适当的安全措施,而是清楚地了解如何与每个云计算服务提供商(CSP)共同承担安全责任,以便识别和部署必要的安全控制措施来保护云计算环境。
符合法规要求
使用本地IT数据中心的企业将确切知道其关键和敏感数据所在的位置,并可以完全控制其数据的移动。这在实施安全控制时有很大帮助,而在云计算环境中,数据可以更自由地移入或移出组织范围。这会掩盖关键和敏感数据的位置以及如何保护它们,从而可能妨碍企业根据合规性要求在其所有云计算服务中有效实施必要安全控制的能力。
尽管云计算客户有责任确保其在云计算环境中数据的安全性,但是客户对数据的控制本质上受到限制,因为数据是由外部的云计算服务提供商(CSP)存储在异地位置,通常位于不同的国家或地区。此外,云计算服务提供商(CSP)通常会利用地理位置不同的多个数据中心,来确保企业的数据出于弹性原因而存储在多台服务器上。这在管理跨边界数据、了解给定时刻的数据位置、确定适用的法律管辖权,以及确保遵守相关法律法规方面增加了额外的复杂性,这是云计算客户的义务。
挖掘更大潜力
现代企业必须快速运作,提供新产品和服务,以保持竞争优势。因此,许多企业选择进一步向云计算迈进,因为云计算服务提供的弹性和可扩展性提供了竞争所需的灵活性。为了使企业有信心在确保重要技术基础设施安全的同时可以迁移到云平台,因此需要一种可靠的策略。
云计算环境已成为吸引网络攻击者的目标,这凸显了企业增强其现有安全实践的迫切需求。但是,由于云计算环境的多样性和扩展性,始终如一地实施云计算安全性的基础可能是一项复杂的任务。
这只是企业安全使用云服务需要克服的众多挑战之一。企业不能仅依靠云计算服务提供商(CSP)来保护其关键信息资产,而必须承担自己的责任。这项职责要求将良好的治理,部署核心控制,以及采用有效的安全产品和服务相结合。这涵盖网络安全、访问管理、数据保护、安全配置和安全监视的控件对信息安全从业人员而言并不是新事物,但它们对安全使用云计算服务至关重要。
展望未来,企业可以从各种趋势和技术中进行选择,这些趋势和技术将使他们能够安全地使用云计算服务——从采用新产品到嵌入改进的流程,例如在容器开发过程中更加重视安全性。
确保安全地使用服务将为业务领导者提供充分采用云计算服务所需的信心,从而最大程度地发挥云计算的潜力,并推动企业的业务发展。