现在是2016年,几年前了Gartner的报道“到2016年,糟糕的股本回报率将促使全球超过60%的银行在云上处理大部分交易。”
所有部门的企业要么在云中,要么正在向云过渡,要么正在考虑将云的想法变为现实。
对于那些准备跳槽的人来说,为了顺利过渡,他们需要考虑和计划各种各样的问题。除了决定正确的云提供商以及使用私有云还是公共云之外,ciso还需要考虑实现访问控制、加密、法律和合规问题的解决方案。
罗素·斯特恩,Solarflare,他说,许多金融机构正在构建私有云,因为他们购买了太多的电脑,去亚马逊或微软并不能为他们节省一分钱。
然而,比成本更令人担忧的是,将客户数据放到公共云中。“安全问题还没有得到解决。很多公司都在谈论混合云,他们可以把不太敏感的数据放到公共云基础设施中。
无论他们选择公共云还是私有云,迁移到云的决定都必须以安全为中心。“我们正受到来自国家的猛烈攻击,公共云不足以提供这些机构所需的安全保护。至于公有云,他们并不确定它到底在哪里。
许多人都认为公共云环境有太多的未知数,特别是对于那些不得不担心合规问题的企业。对于金融机构来说,“最大的问题是让第三方(不一定是外部机构)在一个独立于运行应用程序的环境的地方捕获你的交易,这样你就可以从法律上回顾过去,”Stern说。
在云计算成为现实之前,另一个需要考虑的问题是云计算是否是更好的选择到当前的IT系统基础设施。如果答案是肯定的,那么接下来的问题应该是组织如何将其当前系统与云集成。
Stern说,对于大多数遗留系统来说,云是一个更糟糕的选择。“对于现代应用程序来说,迁移到云更容易。但有些公司有5到1万个20多年前编写的遗留应用程序。”
在私有云或公共云中,它们都需要应用程序以特定的方式运行。不幸的是,并不是所有人都有可能继承遗产。斯特恩说,一个需要在很长一段时间内做出改变的解决方案是,他们是否把能做的东西放到自己的私有云或公有云中,直到他们能够检查哪些值得重写。
在移动到云之前,Alex Hamerstone, GRC实践领导TrustedSec,他说:“确定云的定义。这其实只是别人的电脑。一台不是你的电脑。你应该知道你为什么要迁移到云。优点是什么?是成本高还是更容易维护?”
虽然成本经常被认为是迁移到云计算的一个原因,但对于大型企业来说,保护所有用户的成本实际上可能会增加。
Gunter Ollmann, CSO威达网络,他说:“他们购买的是一种服务,而不是三到五年折旧周期的硬件和设备。他们现在通常根据受保护的服务器或用户的数量来支付费用。他们的安全支出可能会在资本支出和运营支出方面发生巨大变化。”
[更多关于cso的信息:云迁移的9个数据安全提示]
例如,如果他们今天想为他们的组织设置防火墙,他们可以购买15,000美元的防火墙并部署它。“他们不关心环境中有多少用户。当您转向云计算时,防火墙支出将基于使用云计算的用户数量。受到保护的用户数量将大大改变成本,”Ollmann说。
合同是极其重要的,它们应该理解服务水平协议,并了解供应商是否未能满足SLA的任何财务考虑因素。“有人曾经告诉我,谁负责并不重要,重要的是谁有收藏价值,”哈默斯通说。
数据位于哪里?
企业还应该确切地询问他们的数据将实际放置在何处。“这可能会影响你的监管要求。如果供应商不知道,这绝对是一个危险信号。他们应该确保它在某个设施或地区。”
由于法律法规的复杂性,越来越多的提供商能够提供这些保证,因为数据中心正在全球不同地区建立,以提供云服务。雷竞技电脑网站“欧盟国家不希望他们的数据离开欧盟,所以在欧盟建立数据中心更容易,”哈默斯通说。雷竞技电脑网站
哈默斯通说,一家成熟的供应商已经解决了几年前安全从业者担心的安全问题。他说:“他们将能够告诉你他们采取了什么样的安全控制措施。询问他们您是否被托管在自己的实例上,这样您就不会被托管在与其他三家公司相同的云上。这样,你不能访问别人的数据,他们也不能访问你的数据。”
在安全控制方面,他们应该像对待大厅里的服务器一样对待云,哈默斯通说,“如果你必须对大厅里的服务器进行加密,那就必须对云进行加密。”
不过,需要注意的一个小问题是许可协议。“软件公司通常会从把东西放在错误的地方的罚款中获得更多的钱。如果你要移动应用程序,确保你也要移动许可证。”
正在进行转型的组织还需要与他们在自己的基础设施中使用的相同级别的安全技术,无论是IDS还是数据泄漏,他们现在需要在那里部署这些技术的虚拟版本。
“他们应该确保他们仍然拥有相同的技术和交通能见度。有些公司会发现,他们需要寻找云安全的替代供应商。许多传统供应商确实有一些虚拟设备,但一般来说,许多较新的安全公司都专注于云计算,并有更成熟的基于云计算的产品。”
许多企业仍然对迁移到云计算持保留态度,因为他们担心在虚拟世界中失去控制。但实际上,云确实存在于某些物理空间中。奥尔曼认为,这种不再担心物理安全的概念是云计算中的盲点。
“他们仍在实体基础设施上,而实体基础设施需要得到保障。很难监控云提供商的物理安全,以检测物理基础设施中的漏洞。
企业应该在存储数据的虚拟和物理场所询问安全保障,以避免这些不太为人所知的盲点带来的风险。
这个故事,“当移动到云的时候该怎么想”最初是由方案 .