根据… 最近的研究 由Gartner公司发布.在美国,最终用户在公共云服务上的支出可能会增长.2021年增长1%,达到332美元.从2020年的2700亿美元增长到30亿美元. 公司转向基于云的工具有很多原因,包括成本和可扩展性. 有, 当然, 越来越需要灵活的工具来实现员工之间的有效协作, 尤其是在我们迈向一个新的混合工作环境的时候.
迁移到基于云的协作工具,如聊天, 视频会议, 文件共享等需要在多个团队之间进行大量的跨职能工作,以概述业务需求并将其转化为技术和安全需求. 在云迁移项目中,获得所有涉众的完全共识往往成为更具挑战性的部分.
在过去的几年里, 我支持了数十个基于云的协作平台的实现,这些平台横跨世界各地的多家公司, 我观察到这些项目中有很大一部分都有共同的问题. 我将总结其中最关键的几点:
- 首先也是最重要的, 很少有公司会花时间创建详细的用例来描述如何使用工具的工作流程, 由谁, 为了什么目的.
- 第二个, 澳门赌场官方下载之间明显缺乏有效的跨职能协作, IT and security teams to drive cloud migration projects to successful completion; each group has its agenda and priorities. 通常,它们不能很好地融合在一起.
- 第三, 澳门赌场官方下载通常会忘记,不存在“一刀切”的安全方法. 我们如何使用一款软件决定了必要的保密措施, 完整性和可用性, 而“如何”很少被记录下来.
例如, 在拥有多个业务单元的公司中,使用基于云的通用会议平台, 可能有不止一个有效的用例,具有不止一组法规或契约安全性需求. 实现一个没有为每个用例量身定制安全措施的“开箱即用”平台可能会导致不合规和潜在的安全事件. 适用于营销部门的方法不一定适用于研发部门.
在2020年会议解决方案的魔力象限(见图1)中,Gartner Inc. 介绍了15家SaaS供应商及其愿景. 微软, Cisco and Zoom remained the leaders back in October; however, 越来越多的选择越来越受欢迎,市场份额也越来越大. 这些解决方案的创新成为业务的优先事项, 随着新功能的不断推出, 每天都有新的安全问题出现在游戏中.
图1.会议解决方案的魔力象限
来源:Gartner(2020年10月)
对于安全专业人士来说, 确保新平台具有必要的保护措施来保护数据是一项永无止境的挑战. 实现不同利益相关者之间的开放协作对于解决这一问题至关重要.
让我分享一些我多年来学到的最佳实践.
- 了解业务需求. 有必要多次询问一个平台将如何使用,由谁使用,以及用于什么目的. 在开展这一活动时,注意文化和术语的差异将有助于弥合不同利益相关者之间的沟通差距. 对安全从业者来说,“聊天对话”意味着对运营经理来说,可能意味着“文件共享和传输”.
- 清晰和详细的用例. 单一平台可以满足多种需求. Using a SaaS chat tool for communication between departments is different than using it to enable remote control; a PaaS file storage system may have numerous applications based on who is using it. 创建清晰和详细的用例将支持业务和安全从业人员找到在解决方案设计中添加适当的安全措施的最佳方法.
- 定义和记录数据流. 你知道你的数据传输和存储的所有地方吗? 全面的云迁移计划必须包括详细的数据流,描述数据的去向和到达方式. 这在设计控件时很有价值, 比如加密, 身份验证, 网络访问, 等. 在很多情况下, 在使用基于云的平台时,维护详细的数据流还将支持法规遵从性.
- 通过设计实现安全和隐私. A cloud migration plan must consider the security and privacy ramifications for using the proposed platform; we must consider these from the beginning of the project. 迁移计划确定后, 在付诸实施之前, 所有利益相关者必须确保采取必要措施保护机密性, 完整性, 数据的可用性是最终设计的一部分. 从长远来看,实现不兼容/不安全的平台可能会导致更高的成本.
- 继续监控. 使用基于云的工具的方式在不断变化. 在不同涉众之间建立强有力的伙伴关系和沟通将有助于识别可能触发用例更新的变更, 数据流和安全措施. The business needs are in constant evolution; it is our duty as security professionals to keep supporting our business partners and providing valuable guidance to navigate these changes.
各种国际准则概述了实现云服务的最佳安全实践. 然而, 它们的应用将在很大程度上取决于服务如何运行以及数据如何流经它们. 尽管如此,以下是一些有价值的资源:
- ISO27017:2015, 作为ISO27002的延伸, 提供在基于云的环境中降低潜在风险的详细方法.
- 云安全联盟(CSA)最近发布 云控制矩阵(CCM)第4版 并为参与STAR计划的公司提供了完成过渡的时间表. 这 博客 从CSA提供了更多的细节.
- ISACA最近与云计算认证协会合作,发布了云审计知识证书(CCAK); read more about it in this ISACA博客文章.
无论您在实现基于云的平台中扮演什么角色, 请注意,通过第三方软件处理数据具有多重安全性和隐私后果. 实现成功的部署将取决于跨职能工作的有效性以及不同涉众之间的一致性.
