当涉及到成功管理企业内部的云使用时,一些安全组织试图在允许和禁止之间建立并执行严格的界限,而另一些组织则试图了解他们的员工试图实现什么,并帮助他们更安全地实现。
为了了解企业对云部署和云安全的看法,我们最近联系了Jim Reavis,他是云安全联盟的联合创始人和首席执行官。作为一个非营利组织,云安全联盟促进在云计算中使用安全保证的最佳实践,以及云计算教育。
云安全联盟
吉姆Reavis
Reavis是一名信息安全行业的兽医,曾为行业业务启动、并购和ipo提供咨询。自成立以来,云安全联盟已经推出了许多成功的云安全举措,包括云安全提供商认证计划CSA安全,信任和保证注册(STAR),云提供商的自我评估、第三方审核和持续监控,以及云安全用户认证云安全知识证书(CCSK)。云安全联盟还提供了云计算,移动和物联网领域中与业界合作研究计划,高等教育和政府。
您是云安全联盟的主席,您认为目前企业云应用的状况如何?
说到云计算,企业真的是全力以赴。他们正在云中完成更多的关键任务。围绕它们的云实现的安全性也在增长。企业在保护云环境方面做得越来越好,您可以看到一线云提供商肯定在其服务的安全性方面进行了投资。而且由于他们服务的规模,他们可以在安全方面进行投资,这是企业自己无法做到的。
We're also starting to see the impact of the economics and scale when it comes to security investments, and that’s true whether it’s sophisticated intrusion detection, identity management, event monitoring, or whatever: they’re building a level of security in their systems that surpasses what a typical enterprise can do. Their level of investment is why we’re seeing that the bad guys will target cloud users and not try to breach the cloud provider itself directly because they are much more secure.
企业也正在学习如何过渡到云计算,并了解他们是从云供应商获得的安全级别。企业将始终在确保他们的云部署的作用,无论是更多的私有云内部的技术控制的执行情况,或者如果它更尽职调查和采购力度,并寻求从供应商保证,他们坚持安全的做法。
这很有趣。你认为促使企业重新思考云安全的催化剂是什么?
这是人的本性,成为连接到我们的服务器和系统。很多企业有这样的心态,他们甚至会后的宠物命名他们的服务器。并与物理机器,他们非常有防御姿势珍贵保持该系统了好多年。如果有违反,他们会识别它,并尝试清理该系统因为服用下来的成本,停机成本,可能是严重的。这就产生熵和系统只是失去了很多的稳定性。
What I’m seeing some of the enterprise leaders in this area do now, as a result of virtualization, orchestration, and automation tools, is, instead of finding and cleansing malware, they just destroy the virtual machine and launch a new instance that points to the data source. There’s no downtime and no loss of production time doing the forensics. They just basically reimage that virtual machine. They’ll do the forensics later in a different way, and after cleaning up and restarting their infected workloads.
当谈到今天那些成功地在他们的环境中管理云计算的公司,你会看到他们在以成熟的方式管理风险和拥抱创新方面做了哪些事情?
基于组织如何使用云计算的强大知识进行温和的管理是非常重要的。通过这种方式,他们了解人们试图通过云实现什么,并可以介入并提供咨询。如果用户选择了一个不安全的选项,温和的监管并不是为了抑制云的使用,而是为了帮助组织找到可用的更安全的选项。对于企业来说,这是一种非常好的方式,可以采用一种成熟的方法来提供指导,而不是一直说“不”。
我还认为,组织投入更多到妥协,以及到能够更快地作出反应时有违反的指标。他们明白,攻击面越来越广阔的应用与的生长和所有的移动终端。这就造成了反应,安全问题和事件需要更多的灵活性。他们还投资更多在他们的行业信息共享,我们也看到参与ISACS或有更多的这些各种各样的关系来分享最佳实践的兴趣。
我认为安全分析在这里扮演着重要的角色。您刚才描述的许多东西都包含大量元数据和其他数据,因此现在对安全数据分析的需求可能比五年前要高得多。
这是一个很好的观点。在投资事件响应时,我谈到的很多内容包括安全分析。许多这种类型的响应要求组织投资于安全分析。企业可以在其基础设施和云系统中收集所有不同的数据点,并看到某些数据指标可能会提高他们对发生破坏的信心水平,然后这些数据将帮助他们找出该做什么。
这在很大程度上改变了我们对系统安全的看法。这是毫无疑问的。
这个故事,“说到云安全,哪个更好?”强硬还是温和?最初出版于CSO 。