企业安全漏洞【云风险评估】:有了框架和标准
随着企业继续向云迁移的速度更快,您可能自然会想到,安全和合规团队将用于云服务提供商和云服务进行深入的风险评估。可悲的是,事实并非如此。
成立网络安全最近发布的全球网络安全保证的成绩单发现世界云风险评估,被认为是一个公司最大的安全漏洞。报告显示,的受访者有能力进行云风险评估,但这一数字开始比上年下降。此外,很多人都没有对他们的风险评估能力的自信,以及集装箱和环境中,两者都起着关键性的作用,在今天的许多企业云部署。
有几个为什么许多公司对风险评估工作的原因。首先,一些涉及云部署的新技术,且发展比较快,导致多数情况下具体的安全控制和风险参数无法确定。此外,云提供商不断更新和改变他们的环境和服务产品,使风险评估,以确保移动目标。再加上在合规和监管环境的变化,导致云的实现为核心的风险评估更为艰巨。
云风险评估的另一个原因可能是由于云安全技能的缺乏,而更可能是足够的人力来完成工作的不足。
云风险评估框架
幸运的是,有大量的工作来创建和发布云风险评估框架和标准,可用于指导和实施自己的风险分析机构。
欧洲网络与信息安全局()发布了一个合理的风险评估的框架,可用于确定所涉及的风险我云。
发布了两个文件,一般的云信息保障框架,所有的部件都需要评估云基础设施的安全;第二文档框架指南,提供全面的风险评估程序。文件提供云计算风险的主要类别,包括人员安全、物理安全、操作、应用保证,等。
另一个指南,可以帮助企业评估云服务提供商的环境中,从安全的角度来看,是云安全联盟()一致性评估程序问卷。本指南涵盖了许多作为的同一区域,而且与云控制矩阵,并不是文档更新更加频繁。
在文件的结尾,可在云的规划可以在风险评估中发现的,它是从“共享“风险评估”云”指南,指南提出的云风险审查相关的一些建议,但不同的框架提供了可用的或。
无论哪个框架为出发点,回顾和使用多个参考和建议将有安全和风险团队需要增强和修改这些指南的优势,以满足他们的独特需求。
此外,这些准则没有什么与内部控制混合云架构;相反,他们主要关注的是内部和或云服务提供商的控制。
确保数据的安全控制,如加密和密钥管理,基于角色的访问控制和多因素认证,数据生命周期管理和法律要求及合同数据违反通知
。最重要的是要确保有一个治理计划,将帮助安全团队和其他企业的利益相关者参与云计算的风险之间有意义的对话。管理者应该对云部署的潜在影响、企业的潜在影响以及它们可以使用的风险有一个良好的理解。为了实现这一目标的最佳途径是建立一个有据可查的和可重复的云
风险评估过程。