摘要:行業(yè)機(jī)構(gòu)最近發(fā)布了關(guān)于云計(jì)算安全合規(guī)性中的關(guān)鍵挑戰(zhàn)的概述,認(rèn)為這些方案在各行業(yè)的公司中發(fā)揮重要的作用�。事實(shí)是,采用云計(jì)算服務(wù)有很大的好處�,而云優(yōu)先安全方法對(duì)于維護(hù)安全性和合規(guī)性至關(guān)重要。安全漏洞或負(fù)面的合規(guī)性裁定可能會(huì)對(duì)組織的聲譽(yù)造成災(zāi)難��。
獲得遵守權(quán)對(duì)組織是重要的�����,而這對(duì)客戶也很重要��,因?yàn)樗麄冃枰蕾嚱M織的合規(guī)性認(rèn)證�����、評(píng)估和審核來做出購買決定。對(duì)于規(guī)定開展交易要求并最終執(zhí)行審計(jì)的監(jiān)管者來說�,這一點(diǎn)很重要。而且對(duì)于組織來說����,需要避免遭受昂貴的監(jiān)管罰款、危險(xiǎn)的違規(guī)行為��,從而導(dǎo)致組織的聲譽(yù)受損�。
隨著最好的軟件工具轉(zhuǎn)向云端,許多企業(yè)都擔(dān)憂不能充分利用它們�����。在外部控制系統(tǒng)上維護(hù)安全性和遵從性標(biāo)準(zhǔn)可能會(huì)讓人望而生畏��?����;蛘吒愕氖?�,管理者可能會(huì)認(rèn)為�����,由于服務(wù)和數(shù)據(jù)不在他們的數(shù)據(jù)中心運(yùn)行����,這讓他們有些無所適從。行業(yè)機(jī)構(gòu)最近發(fā)布了關(guān)于云計(jì)算安全合規(guī)性中的關(guān)鍵挑戰(zhàn)的概述��,認(rèn)為這些方案在各行業(yè)的公司中發(fā)揮重要的作用��。
事實(shí)是��,采用云計(jì)算服務(wù)有很大的好處��,而云優(yōu)先安全方法對(duì)于維護(hù)安全性和合規(guī)性至關(guān)重要�����。
云計(jì)算應(yīng)用程序的安全隱患是什么����?
云應(yīng)用程序可以隨時(shí)隨地訪問,專為合作而設(shè)計(jì)�����,使用靈活且適應(yīng)團(tuán)隊(duì)的需求��。它們具有較低的基礎(chǔ)設(shè)施和維護(hù)成本,并且通常采用和操作的速度快�����,成本低廉�����。在許多情況下����,它們僅僅是同類產(chǎn)品中最好的解決方案,提供比本地?cái)?shù)據(jù)中心部署的競(jìng)爭(zhēng)對(duì)手提供更好的解決方案和更頻繁的更新����。
但這并不意味著他們沒有風(fēng)險(xiǎn)。這些基于云計(jì)算的應(yīng)用程序具有與本地?cái)?shù)據(jù)中心的應(yīng)用程序相同的風(fēng)險(xiǎn)�,它們自身也有一些獨(dú)特的風(fēng)險(xiǎn)。
·安全性難以跨平臺(tái)進(jìn)行評(píng)估和管理����。用于云應(yīng)用的安全控制分布在人員,流程���,技術(shù)甚至多個(gè)公司:組織��,組織的供應(yīng)商����,以及用于提供應(yīng)用程序的任何供應(yīng)商���。
·組織的聲譽(yù)總是受到威脅�。安全漏洞或負(fù)面的合規(guī)性裁定可能會(huì)對(duì)組織的聲譽(yù)造成災(zāi)難�。缺乏消費(fèi)者信心帶來的銷售損失和股價(jià)下跌的損失。負(fù)面的媒體關(guān)注使未來的產(chǎn)品和服務(wù)受到質(zhì)疑�����,而社交媒體則加劇了這種損害���。而消費(fèi)者不會(huì)關(guān)心違約來自組織的業(yè)務(wù)或是第三方云服務(wù)�。
·組織可能會(huì)遭遇起訴�。消極的合規(guī)調(diào)查結(jié)果可能導(dǎo)致一些行業(yè)的懲罰性,財(cái)務(wù)性甚至刑事制裁�。真正的法律遵從還包括能夠響應(yīng)政府的查詢,例如訴訟中的傳票或訴訟請(qǐng)求��,而無論數(shù)據(jù)發(fā)生在哪里���,或面臨法院的處罰��。
·威脅不斷發(fā)展����。日益增長(zhǎng)的威脅包括數(shù)據(jù)竊取,惡意軟件���,損壞和勒索軟件��,組織控制之外的網(wǎng)絡(luò)上的邊緣系統(tǒng)特別脆弱���。勒索軟件可能讓組織的整個(gè)業(yè)務(wù)中斷數(shù)小時(shí)或數(shù)天。如果沒有有效的數(shù)據(jù)保護(hù)解決方案�����,唯一的希望是支付贖金���,并希望組織的數(shù)據(jù)得到恢復(fù)����。
舊的數(shù)據(jù)保護(hù)模式已經(jīng)過時(shí)
數(shù)據(jù)不僅僅存在于數(shù)據(jù)中心中,也保存在筆記本電腦和其他移動(dòng)設(shè)備上�����,遍布本地部署數(shù)據(jù)中心和基于云計(jì)算的應(yīng)用程序�����??吹絾我坏?����、集中的數(shù)據(jù)視圖似乎是不可能的���。除此之外����,零碎的操作流程取決于部門���,應(yīng)用程序或設(shè)備而有所不同的流程����,會(huì)減慢組織的發(fā)展速度,使執(zhí)行安全性和響應(yīng)審計(jì)請(qǐng)求變得困難��。
另一方面���,將組織的數(shù)據(jù)安全性的責(zé)任推給云服務(wù)提供商是不安全的�����。如果組織的供應(yīng)商確實(shí)提供高級(jí)安全功能��,則由組織實(shí)施這些功能��,并維護(hù)法規(guī)要求的內(nèi)部部署安全策略�。
第四方風(fēng)險(xiǎn)評(píng)估
組織和SaaS供應(yīng)商之間不僅需要分擔(dān)責(zé)任���,還必須考慮第四方�?�?紤]組織的供應(yīng)商用于服務(wù)交付的服務(wù)提供商���,如Amazon Web Services或Microsoft Azure����。幸運(yùn)的是,合規(guī)性審核允許組織衡量第四方風(fēng)險(xiǎn)?����,F(xiàn)代的數(shù)據(jù)安全方法需要針對(duì)整個(gè)服務(wù)鏈的安全框架����,審核和認(rèn)證,而不僅僅是組織的內(nèi)部部署解決方案或直接供應(yīng)商的解決方案����。
顯然��,采用云服務(wù)時(shí)會(huì)有很多風(fēng)險(xiǎn)����。組織想利用這些應(yīng)用程序提供的巨大好處,則需要一種新的數(shù)據(jù)保護(hù)方法��。而傳統(tǒng)的模式不能勝任這項(xiàng)工作����。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/5015.html
