涉及云安全的CIO最佳实践是什么?
现代企业继续在云中投入比以往更严重的投资。根据分析师Gartner的数据,2019年云服务支出预计将增长17.3%至206.2亿美元,从2018年的175.8亿美元起。
虽然云提供了一系列业务益处,例如敏捷性,灵活性和可扩展性,但它也会带来围绕实施的挑战,特别是在信息安全性时。企业可以不愿意将数据推向云,Gartner报告了一些CIO继续抑制公共需求服务的使用。
但是,随着更多企业选择采用云首次策略,CIO必须优先考虑其安全战略。那么,最好的练习云安全是什么样的?六位专家每周给予计算机,他们采用建立适合按需时代的信息安全战略的最佳方式。
金融数据公司Experian全球Cio Barry Libenson表示,强大的云安全战略必须是现代技术的业务的标准工作实践的一部分。他公司的个人身份信息(PII)居住在达拉斯的数据中心;非PII数据存储在Amazon Web服务(AWS)中。
Libenson表示,Experian在不同的地方运行不同的工作负载,并且始终允许动态缩放到云中。自动化环境意味着添加计算能力并响应开发人员要求而删除按需。Libenson表示,数据在休息和途中完全加密,并且治理是一个关键优先级。
“这一切都是关于认识到的事实只是因为某些事情进入云并不意味着你赦免自己的安全责任,”他说。“虽然我认为AWS和微软对事物的安全方做得非常好,但仍然存在责任,以确保客户的信息保持安全。
“我们在云中的任何东西都以同样的方式对待我们,如果它在我们自己的数据中心,它具有相同的安全要求,无论它在哪里。因此,所有PII数据必须在REST以及运输中加密。这可以使计算更具有挑战性,因为它创造的增量开销,但必须在思想中建立堆栈 - 而且它并不是我们的问题。“
Richard Orme,CTO的Photobox Group是另一个IT领导者,他说云安全必须留在任何现代业务的最前沿,特别是一个处理大量数据的一个。Photobox通常每天摄取3和500万照片,在高峰期期间,P升高到一小时。
Orme说Photobox有超过65亿张照片上传到其平台。“这是一种令人难以置信的数据,它需要严重的保养,因此我们的9PB迁移到去年的AWS至关重要,”Orme说,这一议案向AWS提供了促进的创新和安全凭证。
“亚马逊在数据安全方面几乎是无与伦比的 - 他们位于这一部门的比赛之上,”他说。“我们的安全性只是通过成为该生态系统的一部分并分享资源而变得更强大。今天,我认为科技领袖已经意识到我们更强大的建筑安全系统和练习,我们可以独自进入。“
因此,Photobox因此受益于将更多信任放入外部技术提供者。然而,巨大的云安全不是可以简单地外包的东西,也必须专注于内部流程,特别是员工。
“在地上,最重要的是教育,”他说。“对您的团队进行定期培训,并不断刷新最佳实践和研讨会,以保持所有员工最新的数据安全和卫生,都是必不可少的。这种学习过程是安全成为组织文化面料的一部分的关键,而不是复选框的练习。“
Gartner的研究副总裁Gregor Petri是另一个相信围绕需求的负面看法的另一个专家,特别是在信息安全方面。“普遍共识现在是云服务更安全,您可以在内部采取的任何方法,”他说。
越来越多的企业从攻丝中受益于专业云提供商的专业知识。然而,正如Photobox的Orme所说,与外部合作伙伴合作并不能保证您的应用程序和数据是安全的 - 而Petri是另一个专家强调内部流程的重要性。
“我们预计将由在完美安全的云上工作的人们造成的90%或更多的事件,而是做出不安全的事情,”他说。“你必须确保您的业务中的人员以正确的方式使用该技术。”
培养人建议,员工培训只是强大的云安全战略的一个重要因素。“这一过程的一部分是关于教育和意识,但它也是了解共同的责任模式,”他说。“您需要了解云提供商,预计将根据客户提供一些事物和您的业务,预计将涵盖其他地区。”
Petri表示,共享责任模型因业务是使用基础架构,平台或软件服务而异。他建议CIO仔细关注角色和责任。
“您必须了解预期的内容,如何实施技术,如何监控使用情况,以及如何确保您无法关闭关键安全功能或留下暴露于互联网的数据,”他说。“仍然需要很多成熟。”
Alan Talbot,Malta的Cio表示,该云在过去几年中已经走过了很长的路,但它领导者应该避免自满,特别是在谈到合同和服务级别协议时。“你会用提供者创建Ironclad保证,但是当您听到违规时,那些保证不值得,”他说。
Talbot表示,他的主要成就之一是2016年底成为Air Nio的Cio,一直是公司IT基础设施的全面大修。这些系统以前外包,资产由航空公司不拥有。技术管理现已推回内部,公司还投资了两个数据中心。
“我猜有关维护自己的应用程序的好东西是您可以看到自己的数据中心闪烁的绿灯,”Talbot说。“你可以感受到控制,你可以添加多个保护层 - 如果事情正在下降,至少他们的术语就会缩短。”
Talbot表示,他的混合方法表明,虽然云很重要,但购买锡仍然是一些CIO的重要策略。对于选择如何存储数据的领导者来说,安全将是一项考虑因素 - 但塔尔博特表示应该被视为更广泛的评估练习的一部分。
他说:“在云和内部部署解决方案之间,”安全不应该是关键因素“。“它是您需要评估的风险之一,但它不应该是决定因素。”
Amitabh APTE是MARS的全球数字集成总监,还认识到IT领导者在按需移动服务时面临着许多考虑因素。但他坚持认为,考虑到是否将应用程序移动到云端,安全必须是业务的“第一挑战”。
“您拥有数据和谁可以访问您的数据的数据在哪里?”他说。“由于害怕失去控制,我谈论仍然不想要云中任何数据的CIO。所以这取决于你如何看待使用云。“
云策略将根据inpidual和主机业务而有所不同。然而,一些最佳实践技术应该被带走 - 以及在云端的行业专家经常重复的基本原则是通过设计来确保安全性。在这里,CIO在应用程序设计阶段合并到安全性。
“考虑安全性,因为您正在建立您的产品和服务,而不是作为事后的经文”,“APTE说。“一般数据保护规则和其他法规有助于,但我认为您需要寻找提供者 - 如Mulesoft,我们与之合作 - 这使您的业务提供了正确的安全原则。”
独立分析师Clive Longbottom表示,在云安全中仍有课程。他说,专注于物理,应用程序或数据库安全性非常无用的是,当这么多的信息超出平台的界限和超越企业IT团队的控制之外,他说。
越来越多的企业正在选择利用容器,并创建基于云的微服务,可以随着业务需求的变化而移动。为了满足这一要求,LongBottom建议了一种不同的方法 - 将云安全从平台移动到信息的焦点。
“如果您正在运行基于容器的微服务,则可以在几秒钟内杀死并重新配置受损容器,”他说。“数据只是数据,直到分析并成为信息。实际价值在此信息中 - 如果这是妥协的话,那么业务的知识产权已经消失。“
LongBottom表示,希望为云创建信息安全策略的业务应考虑数据泄漏和数字版权管理等技术。“这些工具可以帮助组织控制对信息资产的访问,无论它们在供应商或客户的混合云平台上的企业防火墙之外,他说。