雲端治理入門 治理企業中的雲端安全和隱私很難,但它也很重要:正如Cloud Transformation Specialist Brooke Noelke在博客中最近指出的那樣,安全性和復雜性仍然是實現企業雲目標的兩個最重要的障礙。在沒有嚴格治理的情況下加速雲購買並將它們捆綁在一起導致許多當今的企業安全管理人員失去了睡眠,因為最低限度安全的雲提供商莊園運行生產工作負載,組織只開始處理優秀的SaaS(軟體即服務)足跡。 對於安全專業人員和領導者而言,內部(或共址)數據中心相比之下似乎很簡單:想要保護數據中心的應用程序嗎?由於它在數據中心中具有網絡連接,因此存在已經適用的某些邊界和過程。業務部門負責人並沒有完全站在信用卡上,試圖加載數萬美元的4U服務器,存儲機架和幾個SAN頭,然後試圖花費它。換句話說,對於數據中心的工作負載,必須完成某些採購控制,建立IT審查,並在服務器“點亮”之前強制執行步驟,並且必須建立連接和發布的網路門。 然而,當涉及到雲時,我們被要求履行新角色,同時繼續擔任所有組織基礎設施的保護者,無論是新的還是現有的。成為規則制定者。有助於發展實踐。是執法者。並且同時完成所有這些工作,同時確保您已經計劃在未來18個月內完成的所有其他項目也完成了...... 如果沒有適當的控制和期望設置,開發團隊可以使用信用卡並在幾小時內發布預先構建的工作負載 - 從註冊到全球可訪問性!遺憾的是,這是當今許多組織的現實,在這個世界中,公司發布的敏感數據中有11%可能存在於定制/工程雲應用程序中。 簡化管理 - 保持透明當今企業面臨的最大挑戰之一就是了解雲的“制裁”路徑是什麼樣的:他們與誰聯繫?當軟體供應商願意直接使用信用卡時,他們為什麼要與安全團隊和其他IT合作夥伴互動?在今天的許多企業中,“安全意識”計劃意味著一年的一些電子郵件和一些關於“構建區塊”安全措施的培訓課程,特別關注檢測網路釣魚電子郵件。雖然這些措施取而代之,但安全團隊還應在業務部門層面建立定期合作夥伴會議,以“宣傳”可用服務,以“加速”雲計算功能。 但是,不是傳達業務將收到的內容或解釋安全團隊為完成流程所需的步驟,而應強調的是通過儘早聘請安全團隊獲得哪些部門:更快的資金和採購批准。主動安排稀缺資源以進行應用程序審查。加速配置。最終,更快的支出和更改時間,風險更小,希望最小的時間表影響。 安全團隊還需要幫助企業了解,雖然他們可能不會看到今天體現在直接行項目,還有就是 每個應用程序,它們生成現有/遺留應用的成本。如果認為今天的應用程序是“免費的”,但團隊需要在雲安全部署的新項目中創建一個項目,它鼓勵人們退出流程或避免增加價格的事情 - 或者至少,打一場內戰以推遲每個項目的添加。我們的工作是幫助組織了解當今的安全性 花費大約占基礎設施或應用程序支出的7%,並且期望無論下一代項目預算是什麼,都應該預期相關的投資 - 無論是技術還是人員 - 來保護平台。 建立目標並進行討論在將某些內容放入雲中時,您的企業是否了解“目標線”的含義?他們會知道去哪裡找到定義它的圖表或列表嗎?企業中的某個人為了消費您的團隊發布的內容需要多大程度的雲能力和安全理解? 如果對這些問題中的一個或多個問題的回答是聳聳肩 - 或要求主人對技術知識的層次理解 - 作為安全領域的領導者,我們怎麼能期望企業在他們不理解的過程中與我們合作? 隨附詳細標準的已公佈政策是一個開始。但是安全團隊有機會更進一步使用非常基本的概念“塊”圖,這些圖設置了“最小可行保護”,即企業“最小可行產品”必須進入安全性。
最簡單的方法是採用最小控制集,然後創建圖表的幾個版本 - 換句話說,一個用於最小尺寸,一個或多個用於更大規模 - 向組織解釋要求如何“根據已部署的大小和流量來“彎曲”。 雲端治理是可能的治理是雲安全的最初構建塊。成功保護雲應用程序需要有效的技術控制,例如MVISION Cloud的產品風險評估和通過統一策略保護企業數據。為了使組織成熟並進一步降低風險,治理必須盡可能多地與企業就雲消費進行協商,因為歷史上有關風險會議和變更審核的情況。通過一些簡單的調整和有意的內部營銷投資,您的團隊就可以開始這一過程。
資料來源:https://securingtomorrow.mcafee.com/business/cloud-security/getting-started-with-cloud-governance/ |
