您的公司已经决定采用云计算——或者您的公司可能是最早决定依赖虚拟化环境的公司之一,甚至在它还没有出现之前. 无论哪种情况,都必须对云安全进行管理. 你怎么做呢?
在查看供应商营销材料以寻找完美的技术解决方案之前, 让我们退一步,从治理的角度来考虑这个问题. 在你这样的澳门赌场官方下载里, 有许多具有不同程度自治的业务功能和部门.
您是信任他们管理业务流程特定的风险,还是选择通过集中设置安全控制目标和标准来减轻他们的负担? 或者介于两者之间?
集中式模型
集中管理安全可以让您统一地规划您的安全策略,并在所有部门之间指导策略. 当目标是实现跨业务功能的一致性时,这尤其有用. 当你的客户, 整个公司的产品或服务都是相似的, 但即使不是, 集中治理和明确的问责制可以通过简化流程和高效地使用人员和技术(如果组织在一个中央池中)来减少重复工作。.
如果其中一个部门财政困难或利润较低, 集中式方法确保总体风险仍然得到适当的管理,并且不会忽视安全性. 在考虑可能影响整个公司的安全事件(例如错误配置的访问权限)时,这一点尤为重要.
应对突发事件, 在一般情况下, 是否可以简化,不仅从报告的角度,而且通过确保适当的监督遵循正当程序.
当然,也有一些缺点. 在制定统一政策的过程中, 你可能会陷入这样一种情况:它失去了吸引力,现在被认为是过于高级,与实际业务单位的需求脱节. 因此,从业务利益相关者那里获得支持可能很难实现.
让我们来探索另一种选择——去中心化模式.
分散的模型
这种方法最适用于公司各部门拥有不同客户的情况, 多样化的需求和商业模式. 这种情况自然需要更细粒度的安全需求, 最好是在业务单位级别设置.
在此场景中,每个部门都有权开发自己的一套策略和控制. 这些策略应该与该团队相关的特定业务需求保持一致. 这允许局部调整和增加自主权. 例如, 石油公司的上游和下游业务由于其所涉及的活动的性质而有很大不同的需求. 从地下钻探和开采原材料与经营加油站不同, 哪个更像零售业务,而不是由工业控制系统主导的业务.
另一个例子可能是通过一系列兼并和收购而成长起来的公司,其中被收购的公司保留了一定程度的个性,并在母公司的保护伞下作为澳门赌场官方下载运营. 这种程度的权力下放, 资源分配不再集中管理, 加上买入的增加, 允许更大的所有权的安全程序.
这种模式自然有其局限性. 在确定集中方法的好处时强调了这些问题:潜在的重复工作, 政策框架不一致, 在响应澳门赌场官方下载范围内的事件时面临的挑战, 等. 但是有没有一种方法可以把这两个世界的优点结合起来呢? 让我们来看看混合模型是什么样子的.
混合云模式
一个中间地带可以通过建立一个治理主体来实现,该主体为整个公司设定目标,并允许各部门选择实现这些目标的方法. 有哪些集中定义的安全结果的例子? 保持对相关法律法规的遵守是一个显而易见的问题, 但这一点更为微妙.
这里的目的是确保安全性支持业务目标和策略. 混合动力车的每个部门, 反过来, 决定他们的安全工作如何有助于整体风险降低和更好的安全状态.
这意味着要设置安全控制的基线, 与所有业务单位进行沟通, 然后逐步推出培训, 更新政策和设置风险, 保证和审计过程相匹配. 在开发这个基线时, 然而, 应考虑各部门的意见, 因为它是确保采用的必要条件.
当一个整体控制框架被开发时, 部门被要求提出一组特定的控制,以满足其业务需求,并考虑到不同的业务单元特征. 这之后应该进行差距评估, 了解与基线框架的潜在不一致性.
在云环境中, 分散和混合模型可能允许不同的业务单位根据个人需求和成本效益分析选择不同的云提供商. 他们可以更进一步,专注于不同的解决方案类型,比如IaaS之上的SaaS.
如上所述, 业务单位可以自由决定安全控制的实现方法, 只要它们与总体政策保持一致. 然而,合规性监控责任最好是共享的. 业务单位可以管理已实现的控制,但应该与中心功能联系起来进行报告,以便就一致的度量标准达成一致,并消除潜在的偏差. 这种方法类似于许多组织用来有效管理风险的三道防线. 该模型表明,首先,部门自己承担并管理风险, 安全、审计和保证功能形成第二和第三道防线, 分别.
什么下一个?
我们研究了三种不同的治理模型,并讨论了它们在云计算方面的优缺点. 根据组织的不同,选择可能相当明显. 这可能会从该公司的运营方式中自然产生. 您所需要做的就是适应组织文化,并相应地采用云治理方法.
这篇博文的重点是, 然而, 是为了鼓励您在业务环境中考虑安全性. 不要仅仅根据听起来不错或您过去所做的事情来选择治理模型. 而不是, 分析公司, 与人交谈, 看看什么有用, 并准备好调整行动方针.
如果选择的治理结构是错误的或, 更糟糕的是, 未定义的, 这可能会扼杀业务,而不是促进业务的发展. 相信我,这是你最不想做的事.
准备好倾听:选择上述模式之一的决定并不一定是最终的. 它可以作为持续改进和反馈周期的一部分进行调整. 然而,它必须始终与业务需求保持一致.
