Cloud-based IT systémy plní důležité funkce téměř v každém moderním průmyslu. Společnosti, neziskové organizace, vlády a dokonce i vzdělávací instituce využívají cloud pro rozšíření dosahu trhu, analýzu výkonnosti, řízení lidských zdrojů a nabízení lepších služeb. Samozřejmostí je, že účinná správa zabezpečení v cloudu je nezbytná pro všechny subjekty, které chtějí využívat výhody distribuovaných informačních technologií.
Stejně jako každá IT doména má cloud computing jedinečné bezpečnostní problémy. Ačkoli samotná myšlenka udržení dat v bezpečí v oblacích je již dlouho považována za nemožný rozpor, rozsáhlé průmyslové praktiky odhalují řadu technik, které poskytují účinnou bezpečnost cloudů. Jak poskytovatelé komerčních cloudů, jako je Amazon AWS, prokázali tím, že zachovávají dodržování standardu FedRAMP, efektivní zabezpečení cloud je v reálném světě dosažitelné a praktické.
$config[code] not foundZmapování dopadu bezpečnostního plánu
Žádný projekt zabezpečení IT nemůže fungovat bez pevného plánu. Praxe zahrnující cloud se musí lišit v závislosti na doménách a implementacích, které se snaží chránit.
Předpokládejme například, že místní vládní agentura zavede vlastní zásilku nebo pravidla BYOD. Možná bude muset přijmout různé kontrolní kontroly, než kdyby jednoduše zakázala svým zaměstnancům přístup k organizační síti pomocí svých osobních smartphonů, notebooků a tabletů. Stejně tak společnost, která chce zpřístupnit své údaje oprávněným uživatelům uložením do cloud, bude pravděpodobně muset provést různé kroky k monitorování přístupu, než kdyby zachovala své vlastní databáze a fyzické servery.
To neznamená, jak někteří navrhli, že úspěšné udržování cloudového zabezpečení je méně pravděpodobné než udržování zabezpečení v soukromé síti LAN. Zkušenosti ukázaly, že účinnost různých bezpečnostních opatření proti cloudovému záření závisí na tom, jak dobře dodržují určité ověřené metodiky. V případě cloudových produktů a služeb, které využívají vládní údaje a prostředky, jsou tyto osvědčené postupy definovány jako součást Federálního programu pro řízení rizik a oprávnění nebo FedRAMP.
Co je program federálního řízení rizik a oprávnění?
Federální program řízení rizik a oprávnění je oficiálním procesem, který federální agentury používají k posouzení účinnosti služeb a produktů cloud computingu. Ve svém srdci leží standardy definované Národním institutem pro standardy a technologie nebo NIST v různých dokumentech Special Publication nebo SP a Federal Information Processing Standard nebo FIPS. Tyto normy se zaměřují na účinnou ochranu založenou na cloudu.
Program poskytuje pokyny pro mnoho běžných úloh zabezpečení cloud. Patří sem řádné zacházení s nehodami, využívání forenzních technik k vyšetřování porušení předpisů, plánování nepředvídatelných událostí k udržení dostupnosti zdrojů a řízení rizik. Program také obsahuje akreditační protokoly pro akreditační organizace třetích stran nebo 3PAO, které posuzují implementaci cloud v jednotlivých případech. Udržování souladu s certifikátem 3PAO je jistým znamením, že IT integrátor nebo poskytovatel je připraven k udržování informací v bezpečí v cloudu.
Efektivní bezpečnostní postupy
Takže jak společnost udržuje údaje v bezpečí u komerčních poskytovatelů cloudu? Zatímco existuje řada důležitých technik, je třeba si uvést pár:
Ověření poskytovatele
Silné pracovní vztahy jsou založeny na důvěře, ale dobrá víra musí pocházet někde. Bez ohledu na to, jak dobře je zaveden poskytovatel cloudu, je důležité, aby uživatelé ověřili jejich dodržování a postupy správy.
Vládní standardy zabezpečení IT obvykle zahrnují strategie auditu a hodnocení. Kontrola minulých výkonů vašeho dodavatele cloudu je dobrým způsobem, jak zjistit, zda jsou hodni vašeho budoucího podnikání. Jednotlivci, kteří mají e-mailové adresy.gov a.mil, mohou také přistupovat k bezpečnostním balíčkům FedRAMP spojeným s různými poskytovateli, aby potvrdili jejich požadavky na dodržování předpisů.
Předpokládejme proaktivní roli
Ačkoli služby jako Amazon AWS a Microsoft Azure vyznávají jejich dodržování zavedených standardů, komplexní bezpečnost v cloudu trvá více než jedna strana. V závislosti na zakoupeném balíčku cloudových služeb budete pravděpodobně muset řídit implementaci určitých klíčových funkcí svého poskytovatele nebo poradit jim, že musí dodržovat konkrétní bezpečnostní postupy.
Pokud jste například výrobcem zdravotnických prostředků, zákony, jako je zákon o přenositelnosti a odpovědnosti v oblasti zdravotního pojištění nebo HIPAA, mohou vyžadovat přijetí dalších kroků k ochraně údajů o zdraví spotřebitelů. Tyto požadavky často existují nezávisle na tom, co musí váš poskytovatel zajistit, aby si udržel certifikaci Federálního programu pro řízení rizik a oprávnění.
V absolutní míře budete zodpovědní za zachování bezpečnostních postupů, které pokrývají vaši organizační interakci s cloudovými systémy. Například musíte pro své zaměstnance a klienty zavést zásady bezpečného hesla. Pokles míče na váš konec může ohrozit i nejefektivnější implementaci zabezpečení cloud, takže nyní převezmete zodpovědnost.
To, co děláte se službami cloud, má v konečném důsledku dopad na účinnost jejich bezpečnostních prvků. Vaši zaměstnanci se mohou z praktických důvodů zapojit do stínových IT postupů, jako je například sdílení dokumentů přes Skype nebo Gmail, ale tyto zdánlivě neškodné akty by mohly bránit vašim pečlivě nastaveným plánům ochrany před mraky. Vedle výcviku zaměstnanců, jak správně používat oprávněné služby, musíte je naučit, jak se vyhnout nástrahám, které zahrnují neoficiální toky dat.
Porozumět podmínkám služby Cloud pro řízení rizik
Hosting vašich dat v cloudu vám nutně neposkytuje stejné přídavky, které byste vlastně měli s vlastním úložištěm. Někteří poskytovatelé si ponechávají právo sledovat váš obsah, aby mohli zobrazovat reklamy nebo analyzovat vaše používání svých produktů. Jiní uživatelé mohou potřebovat přístup k vašim informacím v průběhu poskytování technické podpory.
V některých případech není expozice dat velkým problémem. Pokud máte záležitost s informacemi o osobě nebo s platebními údaji, které lze identifikovat osobně, je však snadné zjistit, jak by přístup třetích stran mohl způsobit katastrofu.
Může být nemožné totálně zabránit přístupu ke vzdálenému systému nebo databázi. Spolupráce s poskytovateli, kteří zpřístupňují záznamy o auditu a protokoly o přístupu k systému, však vás informují o tom, zda jsou vaše data bezpečně udržována. Taková znalost má dlouhou cestu k tomu, aby pomohla subjektům zmírnit negativní dopady případných porušení.
Nikdy nepovažujte bezpečnost za jednorázovou záležitost
Nejvíce inteligentní lidé pravidelně mění své osobní hesla. Neměli byste být stejně opatrní v oblasti zabezpečování IT v cloudu?
Bez ohledu na to, jak často vaše strategie dodržování předpisů diktuje, že provádí vlastní audity, musíte definovat nebo přijmout vlastní soubor norem pro rutinní hodnocení. Pokud jste také vázáni dodržováním požadavků na dodržování předpisů, doporučil byste, abyste přijali přísný režim, který zajistí splnění vašich povinností, a to i v případě, že váš poskytovatel cloudu neuskuteční.
Vytváření implementací zabezpečení cloud, které fungují
Efektivní bezpečnost mraku není nějaké mystické město, které leží navždy za horizontem. Jako dobře zavedený proces je dobře dostupný pro většinu uživatelů a poskytovatelů služeb IT bez ohledu na to, na které standardy odpovídají.
Přizpůsobením postupů uvedených v tomto článku vašim účelům je možné dosáhnout a udržovat bezpečnostní standardy, které udržují vaše data v bezpečí, aniž by drasticky zvyšovaly provozní režii.
Obrázek: SpinSys
1 Komentář ▼