Τα συστήματα πληροφορικής που βασίζονται σε σύννεφα εκπληρώνουν σημαντικές λειτουργίες σε όλες σχεδόν τις σύγχρονες βιομηχανίες. Οι εταιρείες, τα μη κερδοσκοπικά ιδρύματα, οι κυβερνήσεις και ακόμη και τα εκπαιδευτικά ιδρύματα χρησιμοποιούν το σύννεφο για να διευρύνουν την εμβέλεια της αγοράς, να αναλύσουν τις επιδόσεις, να διαχειριστούν τους ανθρώπινους πόρους και να προσφέρουν βελτιωμένες υπηρεσίες. Φυσικά, η αποτελεσματική διακυβέρνηση ασφαλείας στο σύννεφο είναι απαραίτητη για κάθε οντότητα που θέλει να αποκομίσει τα οφέλη της διανεμημένης πληροφορικής.
Όπως κάθε τομέα πληροφορικής, το cloud computing έχει μοναδικές ανησυχίες για την ασφάλεια. Αν και η ίδια η ιδέα της διατήρησης των δεδομένων ασφαλών στο σύννεφο θεωρείται από καιρό αδύνατη αντίφαση, οι ευρέως διαδεδομένες πρακτικές του κλάδου αποκαλύπτουν πολυάριθμες τεχνικές που παρέχουν αποτελεσματική ασφάλεια σύννεφων. Δεδομένου ότι οι εμπορικοί προμηθευτές νέφους όπως η Amazon AWS απέδειξαν τη διατήρηση της συμμόρφωσης με το FedRAMP, η αποτελεσματική ασφάλεια cloud είναι τόσο εφικτή όσο και πρακτική στον πραγματικό κόσμο.
$config[code] not foundΣχεδιάζοντας έναν χάρτη επιπτώσεων για την ασφάλεια
Κανένα έργο ασφάλειας IT δεν μπορεί να λειτουργήσει χωρίς ένα σταθερό σχέδιο. Οι πρακτικές που περιλαμβάνουν το σύννεφο πρέπει να διαφέρουν ανάλογα με τους τομείς και τις εφαρμογές που επιδιώκουν να προστατεύσουν.
Για παράδειγμα, ας υποθέσουμε ότι μια τοπική κυβερνητική υπηρεσία εισάγει μια δική σας συσκευή ή πολιτική του BYOD. Μπορεί να χρειαστεί να θεσπίσει διαφορετικούς ελέγχους επίβλεψης απ 'ό, τι θα έκανε αν απλώς εμπόδισε τους υπαλλήλους της να έχουν πρόσβαση στο οργανωτικό δίκτυο χρησιμοποιώντας τα προσωπικά τους smartphones, φορητούς υπολογιστές και tablet. Ομοίως, μια εταιρεία που θέλει να καταστήσει τα δεδομένα της πιο προσιτά στους εξουσιοδοτημένους χρήστες, αποθηκεύοντάς την στο νέφος, θα χρειαστεί πιθανώς να λάβει διαφορετικά βήματα για να παρακολουθήσει την πρόσβαση από ότι αν διατηρούσε τις δικές της βάσεις δεδομένων και φυσικούς διακομιστές.
Αυτό δεν σημαίνει ότι, όπως άλλωστε έχουν προταθεί, η επιτυχής φύλαξη του cloud είναι λιγότερο πιθανή από τη διατήρηση της ασφάλειας σε ένα ιδιωτικό τοπικό δίκτυο. Η πείρα έχει δείξει ότι η αποτελεσματικότητα των διαφορετικών μέτρων ασφάλειας σε σύννεφο εξαρτάται από το πόσο καλά συμμορφώνονται με ορισμένες αποδεδειγμένες μεθοδολογίες. Για προϊόντα και υπηρεσίες cloud που χρησιμοποιούν κυβερνητικά δεδομένα και περιουσιακά στοιχεία, αυτές οι βέλτιστες πρακτικές ορίζονται ως μέρος του Ομοσπονδιακού Προγράμματος Διαχείρισης Κινδύνων και Εξουσιοδότησης ή του FedRAMP.
Τι είναι το Ομοσπονδιακό Πρόγραμμα Διαχείρισης Κινδύνου και Εξουσιοδότησης;
Το Ομοσπονδιακό Πρόγραμμα Διαχείρισης Κινδύνων και Εξουσιοδότησης είναι μια επίσημη διαδικασία που χρησιμοποιούν οι ομοσπονδιακές υπηρεσίες για να κρίνουν την αποτελεσματικότητα των υπηρεσιών και των προϊόντων πληροφορικής του cloud. Στην καρδιά της βρίσκονται τα πρότυπα που ορίζονται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας ή NIST σε διάφορα έγγραφα ειδικής δημοσίευσης ή SP και Federal FDP. Αυτά τα πρότυπα εστιάζονται στην αποτελεσματική προστασία που βασίζεται σε σύννεφο.
Το πρόγραμμα παρέχει οδηγίες για πολλές κοινές εργασίες ασφάλειας cloud. Αυτά περιλαμβάνουν τη σωστή διαχείριση συμβάντων, τη χρήση δικαστικών τεχνικών για τη διερεύνηση παραβιάσεων, τον σχεδιασμό ενδεχόμενων κινδύνων για τη διατήρηση της διαθεσιμότητας των πόρων και τη διαχείριση των κινδύνων. Το πρόγραμμα περιλαμβάνει επίσης πρωτόκολλα διαπίστευσης για τους Οργανισμούς Διαπίστευσης Τρίτων Συμβαλλομένων ή 3ΑΠΠ που αξιολογούν τις εφαρμογές του cloud κατά περίπτωση. Η διατήρηση της συμμόρφωσης με πιστοποίηση 3PAO είναι ένα σίγουρο σημάδι ότι ένας ολοκληρωτής πληροφορικής ή πάροχος υπηρεσιών πληροφορικής είναι έτοιμος να διατηρήσει τις πληροφορίες ασφαλείς στο σύννεφο.
Αποτελεσματικές πρακτικές ασφαλείας
Έτσι, πώς οι εταιρείες διατηρούν τα δεδομένα ασφαλή με τους εμπορικούς παρόχους cloud; Ενώ υπάρχουν αμέτρητες σημαντικές τεχνικές, μερικές αξίζουν να αναφέρουμε εδώ:
Επαλήθευση παροχέα
Οι ισχυρές εργασιακές σχέσεις βασίζονται στην εμπιστοσύνη, αλλά η καλή πίστη πρέπει να προέρχεται κάπου. Ανεξάρτητα από το πόσο καλά εδραιωμένος είναι ο πάροχος σύννεφων, είναι σημαντικό οι χρήστες να πιστοποιήσουν τις πρακτικές συμμόρφωσης και διακυβέρνησης.
Τα κυβερνητικά πρότυπα ασφάλειας πληροφορικής περιλαμβάνουν συνήθως στρατηγικές ελέγχου και βαθμολόγησης. Ο έλεγχος της παρελθούσας απόδοσης του παροχέα σύννεφου σας είναι ένας καλός τρόπος για να ανακαλύψετε αν αξίζει την μελλοντική σας επιχείρηση. Τα άτομα που κατέχουν τις διευθύνσεις ηλεκτρονικού ταχυδρομείου.gov και.mil μπορούν επίσης να έχουν πρόσβαση στα πακέτα ασφάλειας FedRAMP που σχετίζονται με διαφορετικούς παρόχους για να επιβεβαιώσουν τις αξιώσεις συμμόρφωσής τους.
Υποθέστε έναν ενεργό ρόλο
Παρόλο που υπηρεσίες όπως η Amazon AWS και η Microsoft Azure πιστοποιούν την τήρηση των καθιερωμένων προτύπων, η εκτεταμένη ασφάλεια σε νέφος απαιτεί περισσότερα από ένα μέρη. Ανάλογα με το πακέτο υπηρεσιών σύννεφων που αγοράζετε, ίσως χρειαστεί να κατευθύνετε την εφαρμογή ορισμένων λειτουργιών κλειδιού από τον παροχέα σας ή να τους συμβουλεύσετε ότι πρέπει να ακολουθήσουν συγκεκριμένες διαδικασίες ασφαλείας.
Για παράδειγμα, αν είστε κατασκευαστής ιατρικών συσκευών, οι νόμοι όπως ο νόμος περί φορητότητας και λογοδοσίας για ασφάλειες υγείας ή η HIPAA, ενδέχεται να απαιτήσουν να λάβετε επιπλέον μέτρα για την προστασία των δεδομένων για την υγεία των καταναλωτών. Αυτές οι απαιτήσεις συχνά υπάρχουν ανεξάρτητα από το τι πρέπει να κάνει ο παροχέας σας για να διατηρήσει την πιστοποίηση του Ομοσπονδιακού Προγράμματος Διαχείρισης Κινδύνων και Εξουσιοδότησης.
Σε ελάχιστο επίπεδο, θα είστε αποκλειστικά υπεύθυνοι για τη διατήρηση των πρακτικών ασφαλείας που καλύπτουν την οργανωτική σας αλληλεπίδραση με τα συστήματα σύννεφο. Για παράδειγμα, πρέπει να θεσπίσετε ασφαλείς πολιτικές κωδικού πρόσβασης για το προσωπικό και τους πελάτες σας. Η απόρριψη της σφαίρας στο τέλος σας μπορεί να θέσει σε κίνδυνο ακόμα και την πιο αποτελεσματική εφαρμογή ασφάλειας σε σύννεφα, οπότε αναλάβετε τώρα την ευθύνη.
Αυτό που κάνετε με τις υπηρεσίες του cloud επιφέρει τελικά την αποτελεσματικότητα των χαρακτηριστικών ασφαλείας. Οι υπάλληλοί σας μπορούν να εμπλέκουν πρακτικές σκιάς IT, όπως η κοινή χρήση εγγράφων μέσω Skype ή Gmail, για λόγους ευκολίας, αλλά αυτές οι φαινομενικά αβλαβείς πράξεις θα μπορούσαν να εμποδίσουν τα προσεκτικά σχεδιασμένα σχέδια προστασίας από σύννεφο. Εκτός από το προσωπικό εκπαίδευσης πώς να χρησιμοποιείτε σωστά τις εξουσιοδοτημένες υπηρεσίες, θα πρέπει να τους διδάξετε πώς να αποφύγετε παγίδες που περιλαμβάνουν ανεπίσημες ροές δεδομένων.
Κατανοήστε τους όρους της υπηρεσίας Cloud για τον έλεγχο του κινδύνου
Η φιλοξενία των δεδομένων σας στο σύννεφο δεν σας απαλλάσσει απαραιτήτως τα ίδια δικαιώματα που έχετε εγγενώς με την αποθήκευση. Μερικοί πάροχοι διατηρούν το δικαίωμα να τράξουν το περιεχόμενό σας ώστε να μπορούν να προβάλλουν διαφημίσεις ή να αναλύουν τη χρήση των προϊόντων τους. Άλλοι μπορεί να χρειαστεί να έχουν πρόσβαση στις πληροφορίες σας κατά την παροχή τεχνικής υποστήριξης.
Σε ορισμένες περιπτώσεις, η έκθεση σε δεδομένα δεν αποτελεί τεράστιο πρόβλημα. Όταν ασχολείσαι με προσωπικές πληροφορίες για τους καταναλωτές ή με στοιχεία πληρωμής, ωστόσο, είναι εύκολο να δούμε πώς η πρόσβαση τρίτων θα μπορούσε να προκαλέσει καταστροφή.
Μπορεί να είναι αδύνατο να αποτραπεί εντελώς η πρόσβαση σε ένα απομακρυσμένο σύστημα ή μια βάση δεδομένων. Παρ 'όλα αυτά, η συνεργασία με τους παρόχους που εκδίδουν τα αρχεία ελέγχου και τα αρχεία καταγραφής πρόσβασης στο σύστημα σας ενημερώνει για το κατά πόσον τα δεδομένα σας διατηρούνται με ασφάλεια. Τέτοιες γνώσεις πηγαίνουν πολύ μακριά για να βοηθήσουν τις οντότητες να μετριάσουν τις αρνητικές επιπτώσεις από τυχόν παραβιάσεις που συμβαίνουν.
Ποτέ μην υποθέτουμε ότι η ασφάλεια είναι μια υπόθεση μίας ώρας
Οι πιο έξυπνοι άνθρωποι αλλάζουν τους προσωπικούς τους κωδικούς σε τακτική βάση. Δεν πρέπει να είστε εξίσου επιμελής όσον αφορά την ασφάλεια πληροφορικής που βασίζεται σε σύννεφο;
Ανεξάρτητα από το πόσο συχνά η στρατηγική συμμόρφωσης του παροχέα σας υπαγορεύει ότι διεξάγει αυτοελέγχους, πρέπει να καθορίσετε ή να υιοθετήσετε το δικό σας σύνολο προτύπων για συνήθεις αξιολογήσεις. Αν είστε επίσης δεσμευμένοι από τις απαιτήσεις συμμόρφωσης, θα σας παρακαλέσει να εφαρμόσετε ένα αυστηρό σχήμα που θα διασφαλίζει ότι μπορείτε να εκπληρώσετε τις υποχρεώσεις σας, ακόμη και αν ο πάροχός σας σύννεφο δεν το κάνει με συνέπεια.
Δημιουργία εφαρμογών ασφάλειας του Cloud που λειτουργούν
Η αποτελεσματική ασφάλεια σύννεφων δεν είναι κάποια μυστικιστική πόλη που βρίσκεται πάντα πέρα από τον ορίζοντα. Ως καθιερωμένη διαδικασία, είναι πολύ κοντά στους περισσότερους χρήστες υπηρεσιών και παρόχων υπηρεσιών πληροφορικής ανεξάρτητα από τα πρότυπα στα οποία συμμορφώνονται.
Με την προσαρμογή των πρακτικών που περιγράφονται σε αυτό το άρθρο για τους σκοπούς σας, είναι δυνατόν να επιτευχθούν και να διατηρηθούν πρότυπα ασφάλειας που διατηρούν τα δεδομένα σας ασφαλή χωρίς να αυξάνουν δραστικά τα λειτουργικά έξοδα.
Εικόνα: SpinSys
1 Σχόλιο ▼
