编者按: 以下是AuditBoard赞助的一篇博文.
虽然云计算提供了一长串好处,但它并非没有挑战. 前面讨论过 云计算要素在本文中,我们将重点讨论如何解决关键的审计挑战.
根据Flexera的2022 云状态报告在美国,对安全的需求是与云相关的最大挑战. 事实上, 在过去的11份云状态报告中,有10份是如此, 安全是受访者认为的头号挑战. 为什么云安全会带来这样的挑战?
云环境中的安全与威胁
云之前的生活限制了对某些设备和网络的访问, 合并了防御层,以保护内部应用程序和数据, 并依靠已知的可管理的安全边界来防止未经授权的访问. 云中的生活控制较少. 在理论上, 拥有任何设备的任何用户都可以访问云, 因此,控制对数据的访问可能不那么容易. 明确界定的安全边界可能不再存在, 当由第三方供应商管理时,详细说明用户如何与基于云的数据交互的工具和可见性有限.
因此,云中的威胁不同于传统IT环境中的威胁. 而不是感染设备, 攻击者感染用户,窃取他们的登录凭据,并获得访问云计算平台的权限. 对于传统的IT,安全专业人员监控本地网络后门以防止未经授权的访问. 在云端, 有必要监控云应用程序的后门,这些后门对IT团队来说不太受控制,也不太可见.
审计云:五大挑战
So, 了解云计算与传统IT的不同之处,并了解威胁形势, 组织面临的主要审计挑战是什么?
- 你能识别云的使用吗? 您的IT团队是否能够确定当前正在使用哪些云解决方案? 是否有授权使用其他云计算平台的流程? 确定云计算的使用情况对于了解与您的环境相关的云计算风险非常重要,可以确保适当的控制措施到位并有效地运行以减轻这些风险.
- 如何控制和监视用户访问? 用户在云中访问、存储和传输什么类型的信息? 您使用什么检查和平衡来管理用户可以访问的信息类型? 您是否根据每个用户的工作功能来管理他们的角色和权限? 在云和传统IT环境中,使用最小特权的概念提供访问同样重要,以确保职责隔离仍然存在.
- 您是否控制访问设备的安全性? 您是否允许员工使用自己的设备访问云计算平台? 对于个人和公司的设备,有什么安全措施来限制攻击的风险?
- 你有审计的权利吗? 您与云提供商签订的合同是否包含审计权条款? 云计算提供商的规模越大, 他们就越不可能允许加入这样的条款, 因此,了解您的权利并请求访问云提供商的系统和组织控制(SOC)报告,以确认适当的控制措施已经到位并有效运行,以确保您的数据安全,这一点非常重要.
- 您的审核团队是否具备审核云的能力? 要审核和监督云,您的审核团队必须具备适当的技能和专业知识. 云安全联盟和ISACA共同制定了一份 云审计知识证书(CCAK)证书,其中包括基于风险的云迁移方法和审计策略.
确保您的组织选择安全的云平台, 你们的内部审计部门应该参与采购, 设计和采用云解决方案. 考虑使用云安全联盟控制矩阵和共识评估倡议问卷(CAIQ)作为资源来识别与云计算环境相关的适当风险和控制. 使用 互联风险软件 管理所需的控制以减轻与云相关的风险是一项谨慎的投资,可以让您安心.
云计算是大多数组织的关键资源, 虽然它会带来一定程度的风险, 你的内部审计团队可以做很多事情来限制你的风险敞口. 通过解决本文中描述的审计挑战, 您的组织将能够在不承担过多风险的情况下澳门赌场官方下载云.
