PA諮詢公司的網絡安全負責人ElliotRose表示,在使用雲計算IaaS時,企業需要確保自己的軟件開發考慮到安全要求。Rose說,“例如,它是如何託管的,誰託管它?是什麼控制水平?”
Thomson解釋說:“另一個重要的考慮因素是提供者和客戶之間的共同責任模型。在該模型下,雲計算提供商負責基礎設施,因此他們的數據中心的物理安全性就是他們面臨的主要問題。例如,如果企業網絡和基礎設施被******,他們還要對網絡和基礎設施安全負責。他們有時還要對虛擬機管理程序本身負責,但並不對客戶的數據負責。”
雲計算培訓
雲計算培訓
另一個考慮因素取決於組織所在的行業。不同類型的企業將有不同的數據保護需求:例如,政府機構或金融公司必須遵守比零售商更嚴格的監管指導準則。但是,根據歐盟數據保護法規(GDPR),所有公司都有責任保護客戶和用戶數據。
Rose說,現在有一種由監管驅動的安全設計方法。他還指出用戶有責任深入挖掘,查看供應鏈,並實施數據影響評估。
與此同時,McAfee公司數據隱私專家NigelHawthorn指出,“如果你是數據控制者,那麼仍然需要對信息負責,無論使用哪種數據處理器,還是將其外包給任何人,其中包括雲計算。”
保護雲計算曾經是一項艱鉅的任務,但如今可以應用多種控制和保護。作爲其中的一部分,員工的支持是關鍵:企業可以培訓員工使用已批准的版本,而不是阻止雲計算應用或服務。在技術方面,專家提倡基本的安全控制,如加密和雙因素身份驗證。
雲計算培訓
雲計算培訓
此外,Gibbard認爲擁有合適的工具集非常重要,包括網絡掃描和修補。他表示,後者是在任何環境中防止網絡***的簡單方法。
Gibbard表示,同時,持續監控使企業能夠跟蹤其環境中的數據,他還提倡基於角色的訪問控制和確保可以訪問正確的系統數據。
一旦企業掌握了他們需要做出安全保護的操作,就該開始研究遷移到雲端的東西。正如Thomson警告的那樣:“沒有人擁有無限的預算,因此將所有內容放入雲端,並在雲平臺添加安全應用程序是不現實的。所有這些都需要評估。”