ИТ системи засновани на облаку испуњавају важне функције у скоро свакој модерној индустрији. Компаније, непрофитне организације, владе, па чак и образовне институције користе облак како би прошириле тржишни досег, анализирале перформансе, управљале људским ресурсима и понудиле побољшане услуге. Наравно, ефикасно управљање облаком је од суштинског значаја за било који ентитет који жели искористити предности дистрибуиране ИТ.
Као и сваки ИТ домен, цлоуд цомпутинг има јединствене сигурносне проблеме. Иако се сама идеја о чувању података у облаку дуго сматрала немогућом контрадикцијом, широко распрострањене праксе у индустрији откривају бројне технике које пружају ефикасну сигурност облака. Као што су комерцијални провајдери облака као што су Амазон АВС демонстрирали одржавањем ФедРАМП усаглашености, ефективна сигурност у облаку је и остварива и практична у стварном свијету.
$config[code] not foundИсцртавање путоказа о безбедности
Пројекат ИТ безбедности не може функционисати без чврстог плана. Пракса која укључује облак мора варирати у складу са доменима и имплементацијама које желе заштитити.
На пример, претпоставимо да агенција локалне самоуправе успоставља своју властиту направу, или БИОД, политику. Можда ће морати да спроведе различите надзорне контроле него што би то било ако би својим запосленима забранило приступ мрежама организације користећи своје личне паметне телефоне, лаптопове и таблете. Исто тако, компанија која жели да своје податке учини приступачнијим ауторизованим корисницима складиштењем у облаку, вероватно ће морати да предузме различите кораке да прати приступ него што би то било ако би одржавало своје базе података и физичке сервере.
То не значи, као што су неки сугерисали, да је успешно одржавање безбедности облака мање вероватно од одржавања безбедности на приватном ЛАН-у. Искуство је показало да ефикасност различитих мера безбедности у облаку зависи од тога колико се добро придржавају одређених доказаних методологија. За производе и услуге у облаку који користе владине податке и средства, ове најбоље праксе су дефинисане као део Федералног програма управљања ризиком и ауторизацијом, или ФедРАМП.
Шта је Федерални програм управљања ризиком и ауторизацијом?
Федерални програм управљања ризиком и ауторизацијом је званични процес који федералне агенције користе како би процијениле ефикасност услуга и производа у облаку. У свом срцу леже стандарди дефинисани од стране Националног института за стандарде и технологију, или НИСТ, у разним Специјалним публикацијама, или СП, и Федерал Информатион Процессинг Стандардс, или ФИПС, документи. Ови стандарди се фокусирају на ефикасну заштиту засновану на облаку.
Програм пружа смернице за многе уобичајене задатке у области безбедности у облаку. То укључује правилно руковање инцидентима, коришћење форензичких техника за истраживање кршења, планирање непредвиђених околности за одржавање доступности ресурса и управљање ризицима. Програм такође укључује протоколе акредитације за организације за акредитацију треће стране, или 3ПОС, који процењују имплементацију у облаку од случаја до случаја. Одржавање 3ПАО-сертификованог усаглашавања је сигуран знак да је ИТ интегратор или добављач спреман да чува информације у облаку.
Ефективне безбедносне праксе
Дакле, само како компаније чувају податке на сигуран начин са комерцијалним цлоуд сервисерима? Иако постоје безбројне важне технике, неколико их је вредно споменути овдје:
Провера провајдера
Јаки радни односи изграђени су на повјерењу, али та добра вјера мора негдје потицати. Без обзира на то колико је добро успостављен провајдер у облаку, важно је да корисници провере аутентичност својих правила о усклађености и управљању.
Владини стандарди ИТ сигурности обично укључују стратегије ревизије и оцјењивања. Проверавање прошлих перформанси вашег провајдера у облаку је добар начин да откријете да ли су достојни вашег будућег пословања. Појединци који имају.гов и.мил адресе е-поште такође могу приступити ФедРАМП сигурносним пакетима који су повезани са различитим провајдерима како би потврдили своје захтјеве за усклађеност.
Претпоставимо проактивну улогу
Иако се услуге као што су Амазон АВС и Мицрософт Азуре исповиједају поштивању успостављених стандарда, свеобухватна сигурност облака захтијева више од једне стране. У зависности од пакета услуга у облаку који купите, можда ћете морати да усмерите имплементацију одређених кључних функција вашег провајдера или да их саветујете да морају да прате одређене безбедносне процедуре.
На пример, ако сте произвођач медицинских уређаја, закони као што је Закон о преносивости здравственог осигурања и одговорност, или ХИПАА, могу да обавежу да предузмете додатне кораке како бисте заштитили податке о здрављу потрошача. Ови захтеви често постоје независно од онога што ваш провајдер мора да уради да би задржао сертификацију свог Федералног програма управљања ризиком и ауторизацијом.
На минимуму, ви ћете бити искључиво одговорни за одржавање безбедносних пракси које покривају вашу организациону интеракцију са цлоуд системима. На пример, потребно је да успоставите безбедне политике лозинки за ваше особље и клијенте. Испуштање лоптице на ваш крај може угрозити чак и најефикаснију имплементацију безбедности у облаку, тако да сада преузмите одговорност.
Оно што радите са својим сервисима у облаку на крају утиче на ефикасност њихових безбедносних функција. Ваши запосленици се могу укључити у праксу информатичке сјене, као што је дијељење докумената путем Скипе-а или Гмаил-а, из разлога удобности, али ова наизглед безопасна дјела могу ометати ваше пажљиво постављене планове заштите облака. Поред обуке особља како правилно користити овлашћене услуге, потребно је да их научите како да избегну замке које укључују незваничне токове података.
Разумите услове услуге Цлоуд за контролу ризика
Хостинг ваших података у облаку вам не мора нужно пружити исте повластице које сте инхерентно имали за самопомоћ. Неки провајдери задржавају право да претражују ваш садржај тако да могу да приказују огласе или анализирају ваше коришћење својих производа. Други ће можда морати да приступе вашим информацијама током пружања техничке подршке.
У неким случајевима изложеност подацима није велики проблем. Међутим, када се бавите особним информацијама потрошача или подацима о плаћању, лако је видјети како би приступ треће стране могао довести до катастрофе.
Може бити немогуће у потпуности спречити сваки приступ удаљеном систему или бази података. Без обзира на то, рад са провајдерима који издају евиденцију ревизије и евиденцију приступа систему чува вас у знању да ли се ваши подаци сигурно чувају. Такво знање је дуг пут ка помагању ентитетима да ублаже негативне утицаје било каквих кршења која се дешавају.
Никада немојте претпоставити да је безбедност једнократна
Већина интелигентних људи редовно мења личне лозинке. Зар не бисте требали бити једнако марљиви за ИТ сигурност засновану на облаку?
Без обзира на то колико често стратегија усаглашавања вашег пружатеља услуга налаже да проводе властите ревизије, морате дефинирати или усвојити властити скуп стандарда за рутинске процјене. Ако вас обавезују и услови за испуњавање услова, требало би да донесете строги режим који обезбеђује да можете да испуните своје обавезе чак и ако ваш провајдер у облаку не успе да то уради доследно.
Креирање Цлоуд Сецурити имплементација које функционишу
Ефикасна безбедност у облаку није неки мистични град који лежи заувек иза хоризонта. Као добро успостављен процес, то је у великој мери доступно већини корисника и пружалаца ИТ услуга без обзира на то који стандарди одговарају њима.
Прилагођавањем пракси наведених у овом чланку у ваше сврхе, могуће је постићи и одржати сигурносне стандарде који чувају ваше податке без драстичног повећања оперативних трошкова.
Слика: СпинСис
1 Цоммент ▼