作为更多的组织利用云对关键业务应用程序,他们发现的最大挑战之一,是把现有的内部控制与云保护工作。特别是高度管制企业和政府组织必须保持全面安全在这些混合动力系统和遵从性姿势。有个足球雷竞技app深入探讨了问题:
信贷:斯蒂芬·萨奥尔
西北:让我们从一个基本的问题开始。当公司正在构建混合云,谁负责安全时什么?有哪些痛点为公司努力解决这个问题?
亚扪人:我认为你最终得到的是一个共同安全模型。云服务提供商提供许多安全功能没有任何成本,与服务,它在你的最佳利益,利用这些能力。但是你定义你的合规要求,如果你不能得到必要的覆盖你添加自己的覆盖安全架构。
【前景:云安全是最2013年颠覆性技术
分析:日益增长的对云安全的信心]
挑战,当然,你必须找出如何仪器功能和如何管理它。当然是有意义的一个企业级的基础上这样做,这就意味着开发一个架构,将跨越X + N云提供商将满足您的政策和事件响应需求,给你获得你所需要的审计数据,并简化您的实现的政策可能是一个嵌入式安全服务在云计算供应商。
ROTHMAN:很多人觉得有东西在云端一样有本地除了你看不到雷竞技电脑网站。他们认为,“我有远程的数据中心,这很好。雷竞技电脑网站我能管理我的东西和得到我所需要的数据。”But at some point these folks are in for a rude awakening in terms of what the true impact of not having control over layer four and down is going to mean in terms of lack of visibility.
所以我认为人们只图——“嘿,更便宜,但更多的是一样的。”And they don't take the steps to build a program office and really work through the little details of jurisdiction and incident response and the compliance impact, of not having control over what could be pretty sensitive and critical data.
萨瑟兰:当决定谁负责控制,决策需要考虑服务交付和部署模型。的云安全联盟在这一领域提供了一些伟大的指导,和国家标准云计算安全工作小组正在扩大在这些模型。最终这些责任需要合约地分配在采购过程中,和服务水平协议本身是不够的,如果云提供商是剩下的选项修改协议没有警告,偶尔发生。
但回到原问题中的安全痛点混合云,我添加,有时候当你看新的参考体系结构和开发一个新的云模型,一些企业团队可能默认把遗留的解决方案强加到一个云环境,是否混合动力或者只是纯粹的公众。
虽然每个人都想使用他们熟悉的解决方案,有时这些控件不云的规模。此外,您需要考虑控制在适当的抽象层次,考虑和帧的背景下的风险控制是解决或缓解。这意味着理解什么是新的和不同的云,和实施控制,适合云计算,允许充分意识到云计算的好处。
西北:所以我的第一个愿望是我所有遗产控制扩展到这个新环境中,但是,它的声音,我永远支持这些控件的云。
萨瑟兰:厂商在这个环境中,您需要开始与重用现有的基础设施,还有很多可能重用。关键是,只是意识到某些工具的细微差别和局限性。
亚扪人:让我们忽略了安全控制利用云提供商低于客户的可见性,即。混凝土板,从管理程序。剩下三个类别的安全工具:1)工具中提供云等防火墙和VPN;2)现有企业安全工具一样在云环境中运行;和3)附加必要的安全工具来管理云所呈现的独特的环境。这里有两个例子的新要求云安全工具:首先,由于弹性云计算的本质,这些工具必须适应一个伸缩架构,并能够自动发现新系统和应用策略。其次是全能的出现带来的挑战云API层。API层中的用户实现汽车配置的实践……基本机械建筑机械。这需要一个新的安全模式来管理独特的挑战,审计和控制自动化的机器的访问权限。这肯定会需要新的特定于云的安全技术。
西北:当你谈论不同SaaS特别是吗?你只是需要他们给你什么?
ROTHMAN:我们看到很多SaaS玩家开放领域的身份。所以不必管理所有这些不同的权威和用户列表,你可以围绕它通过联合会(有些供应商支持标准的魔力SAML提供具体的断言和集成)所以你不必使用SaaS模型球员的身份。
但是当你开始思考具体的控制和管理访问,大部分的东西发生在SaaS提供者的支持下。所以没有很多的灵活性。Salesforce是一个公司,它允许客户使用辅助技术加密的一些数据存储在自己的环境中在该领域的水平。他们收购了一家公司纳瓦霍人也许两三年前提供这种能力。
但在连续的谁负责什么,当谈到基础设施即服务甚至平台即服务,客户是负责几乎所有发生在安全方面,而SaaS服务提供者或云提供商实际上承担所有责任控制集和审计和所有的事情。
萨瑟兰:即使在基础设施提供商的情况下,云计算供应商的控制提供任何遵从性解决方案的基础,并分担责任模式包括选择适当的控制在云服务或管理层结合适当的用户级控制,无论是特权身份管理或者只是基于主机和终端控制。这可能涉及集成供应商的组件来处理你的任何合规目标从安全或隐私或操作风险、监管和法律的要求。
西北:云服务提供商,无论是SaaS或者和IaaS供应商,希望买方承担尽可能多的控制安全环境?
萨瑟兰:这是最终消费者的责任。但是如果你辞去SaaS基础设施作为服务平台,消费者被赋予更多的责任。额外的灵活性,你也承担更多责任的安全控制的实现。然而,开发一个完全兼容的或低风险的解决方案,您需要实现user-entity控制,像一些云供应商参考,除了自己的控制服务层之上。
KINGSBERRY:我们最近采访了大约30领导人跨行业和联邦政府对云计算安全的和建立我们的云计算中心解决所有的安全问题。我们的邮件迁移和协作微软365作为第一政府云计算市场客户,在平行的其他关键基础设施组件迁移到亚马逊。所有NetFlow流经我们的复苏问责与透明板(RATB)本地云中心,即使微软365年Web邮件,这意味着如果您使用微软365发送电子邮件回来通过堆栈从合规的角度来看我们的云计算中心。我们有能力在我们的堆栈Xceedium这样帮助我们管理365年微软和亚马逊之间的访问控制。
所以,本质上,我们有相同的水平之间的可见性软件即服务和基础设施作为服务。这是一个共同的责任,但我有审计和遵从性。没有社会安全号码,例如,将会离开我们的组织,因为它被拦住了的构建。,一切都经过我们的计算机基础设施和McAfee预防数据丢失。我们有分类RATB云中心分为六个关键服务:1)2)3)4)访问控制保护治理监测5)系统管理6)故障转移。每个类别中扮演重要角色的组件到RATB云服务的交付。网的构建,RSA和McAfee数据损失预防经理只有几个组件组成我们的云计算中心栈。现在我们可以把工作负载任何地方,没关系。
西北:联邦客户一般问你承担更多的责任呢?
KINGSBERRY:如果你看看联邦数据中心整合计划,大约70%的所有联邦数据雷竞技电脑网站中心已经外包。因此联邦首席信息官已经拥有数据中心作为服务交付。雷竞技电脑网站从联邦政府的角度来看,这都是关于数据。数据的分类是什么定义了所需的安全控制水平(例如,FISMA低,中等和高)。我认为联邦政府过去的问,“我能得到相同的信息保障水平充分利用云服务”?联邦可以理解。确保联邦数据是一个联邦机构和提供者之间的共同责任。角色和职责将不同机构之间FISMA管理风险和各机构对风险的看法是不同的。
西北:萨瑟兰前面所提到的,很多的烤到合同条款。有最佳实践这地址吗?
ROTHMAN:很多与你有多少杠杆与提供者。前两个或三个公共云提供商,不会有很多谈判。除非你有一个整体混乱的机构来与你一起,在Kingsberry的情况下,你只是一个号码,这些家伙。当你处理更小、更饥饿的云供应商,这也适用于SaaS,然后你将有能力谈判合同这些变量。
这是理解协议指定的问题,谁来负责了解。但我没有看到很多人过于成功的得到更好的条件或特殊交易谈判或做任何的东西,因为记住,云计算和云提供商是杠杆。所以如果你有一个不同的协议的每一个客户真的没有办法利用。
这是一个了解你能做什么,他们会做什么,看着它从威胁建模的角度来看,我们知道我们不能够修改合同,任何伟大的交易,我们的风险在哪里,和我们需要做些什么来解决或缓解这些风险时做出的决定?
KINGSBERRY:当我们去亚马逊谈判数月。我们谈了我们的法律顾问直接向亚马逊和他们必须修改他们的术语或我们不会迁移。微软。我们重组整个协议。,当我们在同意所有的更改的地方,微软发布了政府云计算市场。他们从美国联邦政府需要什么,然后是条款和条件被滚到我们今天知道政府云计算市场。政府不会进来如果他们不把语言数据的可能性最终在第三世界国家。
西北:所以还有很多学习,双方必须适应。
ROTHMAN:这真是早期当你想到我们没有通过一个周期的诉讼和先例,这可能需要数年时间。在这之前,这些东西是相当的学术。
西北:云安全工具本身的成熟?他们是在他们需要吗?