毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

混合云安全的8個關(guān)鍵考慮因素

采用混合云可以加強組織的安全態(tài)勢，而不是削弱。但這并不意味著改進的安全性就是一種默認設(shè)置。雖然隨著云計算技術(shù)的成熟，企業(yè)對其安全的擔(dān)憂正在下降，但安全仍然是組織需要面對和管理的持續(xù)挑戰(zhàn)。而混合云環(huán)境帶有其自身特定的安全考慮因素。 國際信息安全學(xué)習(xí)聯(lián)盟（CISA）的注冊信息系統(tǒng)安全專家（CISSP）Christopher Steffen說，“混合云環(huán)境是動態(tài)和復(fù)雜的，由于多個終端用戶從多個地點訪問多個環(huán)境而變得更加復(fù)雜?！盨teffen是Cyxtera公司的技術(shù)總監(jiān)，Cyxtera公司最近收購了Steffen之前任職的安全產(chǎn)品提供商Cryptzone公司。 Steffen和其他安全專家討論了企業(yè)的首席信息官及其團隊在保護混合云環(huán)境時必須牢記的關(guān)鍵問題。企業(yè)需要優(yōu)先考慮以下八項關(guān)鍵要素： 1.企業(yè)確保具有完整的可視性 CBI公司戰(zhàn)略計劃副總裁、網(wǎng)絡(luò)安全資深專家J. Wolfgang Goerlich指出，在IT行業(yè)中，很多首席信息官和其他IT領(lǐng)導(dǎo)者經(jīng)常在他們的環(huán)境中存在盲點，或者他們在他們的內(nèi)部部署的基礎(chǔ)設(shè)施的認識方面過于狹隘。 既然企業(yè)及其最終用戶可以使用數(shù)百個基于云計算的應(yīng)用程序，并且多個部門可以在基礎(chǔ)設(shè)施即服務(wù)平臺上創(chuàng)建自己的虛擬服務(wù)器，那么跨私有云、公共云和傳統(tǒng)基礎(chǔ)設(shè)施的完整可見性就是必須的。Goerlich說，缺乏可見性會給企業(yè)帶來更大的安全風(fēng)險。 2. 每一個資產(chǎn)都需要擁有者 如果企業(yè)缺乏全方位的可見度，那么有可能缺乏所有權(quán)。企業(yè)的每一個混合云設(shè)施都需要一個擁有者。 Goerlich說：“IT安全的一個關(guān)鍵原則是需要一個擁有者，確認每個資產(chǎn)，并讓擁有者負責(zé)對資產(chǎn)的最小權(quán)限和責(zé)任分工。缺乏可見度會導(dǎo)致缺乏所有權(quán)。這意味著，在通常情況下，混合云環(huán)境具有松散定義的訪問控制，并且往往沒有職責(zé)分離。過度的許可將會帶來風(fēng)險，而沒有擁有者的風(fēng)險是未解決的風(fēng)險?！? 3.混合云?嘗試混合安全 IT越來越成為企業(yè)整體業(yè)務(wù)戰(zhàn)略的驅(qū)動力，而不僅僅是服務(wù)企業(yè)，混合云模式已經(jīng)成為推動這一轉(zhuǎn)變的推動者。以類似的方式，現(xiàn)代IT需要重新思考一些舊的安全模式，例如混合安全。 Biscom公司首席執(zhí)行官Bill Ho說，“關(guān)于安全性的戰(zhàn)略不斷發(fā)展，許多企業(yè)正在采用混合方法來為他們的安全基礎(chǔ)設(shè)施建立更多的層次和深度?！逼髽I(yè)的某些安全技術(shù)可能駐留在本地部署的數(shù)據(jù)中心，而另一些則在企業(yè)網(wǎng)絡(luò)之外運行更有意義。 Bill Ho解釋說，“企業(yè)有很多的理由需要內(nèi)部部署安全工具和應(yīng)用程序，例如桌面防病毒、DLP、防火墻以及IDS/IPS系統(tǒng)。”其中一些作為云計算服務(wù)提供，有些則具有云中的組件，而應(yīng)用程序或應(yīng)用程序則在本地部署的數(shù)據(jù)中心中運行。一些服務(wù)最好在云端處理，比如幫助減輕DDoS攻擊的服務(wù)。 4.安全性和合規(guī)性：連接但不一樣 Steffen表示，“企業(yè)可能在沒有合規(guī)的情況下?lián)碛邪踩?，但是如果沒有出現(xiàn)安全問題，那么人們可能永遠不會遵守監(jiān)管法規(guī)。人們不要將安全性和合規(guī)性這二者混為一談，特別是當(dāng)企業(yè)正在遷移到混合云模型時，應(yīng)該將合規(guī)性視為企業(yè)云安全策略的一個重要但獨立的部分。 在混合云或多云環(huán)境中的合規(guī)性不一定是云應(yīng)用的障礙。事實上，許多內(nèi)部控制可以交叉應(yīng)用到企業(yè)的云環(huán)境中。但是，企業(yè)了解云計算提供商使用的現(xiàn)有控制措施，以及它們?nèi)绾闻c企業(yè)現(xiàn)有控制系統(tǒng)相關(guān)聯(lián)是非常重要的。“ Steffen補充道，“這可能是企業(yè)需要進行一些小規(guī)模的程序變更，才能遵守云計算提供商使用的控制措施。但這也可能意味著企業(yè)以前的安全戰(zhàn)略發(fā)生根本性轉(zhuǎn)變。在選擇云計算提供商或安全供應(yīng)商之前執(zhí)行合規(guī)控制評估是必須的?！? 5.企業(yè)的工具和其他供應(yīng)商集成在一起嗎 Steffen表示：“特定的云計算提供商和他們正在使用的安全工具如何與企業(yè)使用的工具集成?有很多工具可以很好地集成在一起，但是如果企業(yè)使用的安全工具集與外界不兼容，那么可能會很麻煩，可能需要尋找可與其他平臺配合的平臺和工具。因此，云計算提供商和安全供應(yīng)商應(yīng)提供與現(xiàn)有本地平臺和工具的簡單集成?！? 6.企業(yè)需要了解自己的供應(yīng)商 Steffen關(guān)于合規(guī)性和集成的建議給出一個提醒，企業(yè)保護其混合云環(huán)境在很大程度上取決于企業(yè)對所使用的平臺的了解和理解。 Biscom公司首席執(zhí)行官Bill Ho說，強大的云計算供應(yīng)商實際上可以提供內(nèi)部IT安全團隊可能缺乏的專業(yè)知識。例如，他們可能會更好地實時監(jiān)控潛在威脅，例如零日攻擊。但這顯然并不是給定的。 Bill Ho說，“與任何云計算服務(wù)一樣，企業(yè)需要審核其提供商的資質(zhì)。需要調(diào)查他們的認證，了解提供商的政策，了解開放企業(yè)網(wǎng)絡(luò)的風(fēng)險，并審查流程報告，例如SOC 2 Type II報告?！? 7.混合模型的擴展通信 Goerlich說：“混合云帶來了對通信方面的可擴展性問題。這又一次是缺乏可見性和所有權(quán)的副產(chǎn)品，并且在使用多云和多供應(yīng)商策略的組織中尤其如此。” 清晰的溝通是強有力的安全態(tài)勢的重要組成部分，特別是在涉及新的漏洞或攻擊事件時。這是企業(yè)IT領(lǐng)導(dǎo)者需要充分解決的一個領(lǐng)域，不僅在內(nèi)部部署，而且還包括供應(yīng)商和其他第三方。 8. 進行持續(xù)的風(fēng)險評估 企業(yè)從一開始就建立一個安全首要的混合云環(huán)境是很好的第一步，但它仍然只是第一步。 Goerlich指出，保護動態(tài)混合云環(huán)境需要持續(xù)的風(fēng)險評估。 “組織識別漏洞和安全問題的另一種方法是通過風(fēng)險評估，”Goerlich說。 他列舉了三個例子： 供應(yīng)商風(fēng)險管理就像正在進行的盡職調(diào)查一樣，“可以突出顯示哪些供應(yīng)商提供哪些服務(wù)，然后查詢這些供應(yīng)商的安全計劃?！? 軟件組合分析可以“突出顯示代碼中的哪些第三方數(shù)據(jù)庫可能會危害企業(yè)構(gòu)建的應(yīng)用程序?！? 技術(shù)漏洞評估和滲透測試可“進一步了解當(dāng)前的安全狀況。由于混合云技術(shù)組織依賴的范圍和規(guī)模，如今必須以分段的方式完成?！? 保持安全性增長 隨著企業(yè)的混合云策略不斷增長，企業(yè)的安全規(guī)劃也應(yīng)隨之變化。 “企業(yè)需要知道自己擁有什么，知道誰擁有它，誰可以訪問它，有明確的溝通渠道，將其分解成細分市場，并進行風(fēng)險評估?！?Goerlich說：“一次做好一件事，企業(yè)可以通過專注于最重要的技術(shù)，即支持關(guān)鍵業(yè)務(wù)戰(zhàn)略和功能的技術(shù)，并取得成功。隨著混合云擴展企業(yè)消費的技術(shù)，企業(yè)的領(lǐng)導(dǎo)者也必須擴大安全領(lǐng)域的優(yōu)先級和協(xié)作?！?