如果您的组织与大多数组织一样,那么您就知道云将继续存在. 即使您的组织是云计算的新手, 作为一名安全从业者, 您知道这不是“如果”的问题,而是“何时”的问题,关键业务流程将发现自己越来越依赖于外部托管服务和云技术.
事实上, 云是如此有用——在它的应用中如此强大, 对澳门赌场官方下载有价值, 而且(让我们面对现实吧)在当今的技术环境中难以解决的问题是,大多数组织发现他们不仅拥有一个关键业务的云提供商,而且拥有多个发挥作用的云环境. 从安全的角度来看,这可能会带来一些相当严峻的挑战. 我们如何确保跨环境执行安全模型? 我们如何最好地保护资源,使其无论部署在哪里都保持安全和弹性?
正是考虑到这些挑战,ISACA提供了一份新的白皮书, 管理多云环境中的安全影响, 强调围绕“多云”的风险、好处和实用的安全方法.“Multicloud, 以一个组织同时使用多个云环境为特征, 从安全的角度来看,是否会产生重大影响. 这可能意味着新的风险——以及潜在的新机会(既有商业机会,也有改善安全状况的机会).)白皮书的目的是向从业者提供有关多云如何产生的可操作信息, 为什么重要?, 它如何影响他们的安全模型, 以及组织能做些什么.
记住这一点, 让我们更详细地了解白皮书中讨论的一种技术, 发现的过程.
云发现
在安全领域有一句古老的格言:“你无法管理你不知道的事情。.你可能已经听够了这句老话,它已经变得有些陈腐了. 然而,当涉及到云的使用时,这显然是正确的.
多云可以通过多种方式实现:影子IT的采用, 合并/收购, 提供商提供的功能的差异, 成本, 或者其他很多事实. 通常,它可以通过有计划的方式发生, 有目的的策略(例如连续性策略), 作为成本控制措施, 或者出于其他原因), 但更常见的是“有机的”——意思, 这并不是计划中的方式,而是“成长”.”
无论哪种方式, 保护云使用的一个非常重要的部分是首先发现它的存在. 这就是发现技术的用武之地.
白皮书概述了发现策略,作为数据收集工具包的一部分,作为通知多云安全策略的一部分. 您可以采用许多策略来查找和记录组织中正在使用的云提供商. 然而, 有三种方法对我特别有效:对业务团队进行系统的游说(最好与另一项活动同时进行)。, 建立与采购/应付帐款的沟通,并在技术安全团队和技术审计之间建立伙伴关系.
第一项, 系统的游说, 指的是走出去,询问业务团队(和/或对等技术组织)他们使用什么云服务,用于什么目的. 通常情况下,这将是耗时和大量的工作. 然而, 可能会有机会帮助简化流程(例如, 如果你已经因为其他原因参与进来了). 考虑以下业务影响分析(BIA) 业务连续性 规划活动. 简而言之, 这涉及到业务团队和技术支持组织, 询问他们使用什么应用程序. 您可以结合数据收集步骤,询问这些团队对云技术的使用情况. 这可以帮助您确定在哪些地方使用了您原本不知道的云服务. It’s not just BIA though; any situation 那。 involves close interactions with a large subset of the organization can help you do this, 太. 应用程序威胁建模等活动, 安全架构规划, 遵从性驱动的活动,比如创建支持PCI遵从性的数据流程图, 而其他你在外面收集信息的活动可以给你一个有用的机会去询问, 和文档, 云的使用.
其次, 与供应直接和有目的的沟通, 采购, 或者应付帐款可以在这里提供帮助. 生活中的一个事实是,我们使用的任何服务都必须有人“付出代价”.“因此, 有人, 某个地方记录了组织收到的每一份与云计算相关的账单. 这意味着, 你是不是做了些调查,问了些正确的问题, 您可以通过与组织的这一部分的通信通道建立关于云使用情况的数据收集机制. 简单地说, 这只是意味着让某人给你一个关于已知和批准的云关系的提示(例如, 可能会告诉您每月的费用,以便您查找使用量的增加或异常费用,以及与您可能不知道的新提供商相关的新费用. 无论如何,它都不完美, 但它可以让你了解使用情况的变化(因为云计费通常是“随需应变”的),,这通常反映在你的组织所收取的费用上。), 以及新的用法.
最后, 考虑技术团队和内部审计(如果您的组织中存在技术审计)之间的合作关系.)许多ISACA成员都知道, 作为执行年度审计计划的一部分,内部审计团队与澳门赌场官方下载的许多不同部门进行互动. 这意味着他们可以“近距离接触”以技术为中心的安全团队可能永远没有机会深入了解的业务部分. 无论如何,在两个团队之间建立健康的工作关系是个好主意, 但是对于安全从业人员, 这种关系可以为业务团队学习新的云使用带来巨大的好处. 一个有用的策略是让这种关系是双向的:也许向审计团队提供技术专长,或者在证据收集方面提供帮助, 作为回报,利用从审计团队收集的信息来帮助查找和编目云的使用情况.
这里重要的一点是,你不仅要捕捉 那。 这是一种用法,但你要收集关于它的元数据:谁是联系人, 它的用途是什么, 它服务于哪些业务领域, 那里存储着什么数据啊, 等. 当你收集这些信息时, 将您找到的信息折叠到更广泛的多云策略中. 请记住,您不仅希望在给定的时间点查找和识别云关系, 同时也是正在进行的, 持续的过程.
