Spezifische Sicherheitsrisiken in der Hybrid Cloud-Umgebung
Die Unternehmen arbeiten in hybriden Cloud-Umgebungen müssen viele Arten von Sicherheitsrisiken und Governance-Überlegungen berücksichtigen. Sicherheit zu verstehen, ist ein bewegliches Ziel. Bildung ist der Schlüssel, um sicherzustellen, dass jeder in der Organisation versteht seine Sicherheit Rollen und Verantwortlichkeiten.
Das Computersystem Sicherheitsrisiken
Nach Angaben des National Institute of Standards and Technology (NIST), sind eine Regierung Normungsorganisation, EDV-Systeme unterliegen vielen Bedrohungen, die von Datenverlust zu einem Verlust der gesamten Rechenanlage wegen eines Brandes oder einer Naturkatastrophe. Diese Verluste können von vertrauenswürdigen Mitarbeitern oder von Hackern kommen.
NIST teilt diese Risiken in die folgenden Kategorien:
Fehler und Unterlassungen, einschließlich der Datenfehler oder Fehler in der Programmierung
Betrug und Diebstahl
Mitarbeiter Sabotage
Der Verlust der physischen Infrastruktur Unterstützung
Böswillige Hacker
Schadcode
Bedrohungen für die individuelle, persönliche Privatsphäre
Hybrid-Cloud-Sicherheitsrisiken
Viele der gleichen Sicherheitsrisiken, die Unternehmen stehen, wenn sie mit ihren eigenen Computersystemen zu tun haben, in der Cloud zu finden, aber es gibt einige wichtige Wendungen. Das Cloud Security Alliance (CSA), eine Organisation, die sich die Gewährleistung der Sicherheit Best Practices in der Cloud, hat in seiner jüngsten Veröffentlichung, # 147-Security Guidance für kritische Schwerpunkte in Cloud Computing, # 148-, dass wesentliche Bereiche der betrieblichen Sicherheitsrisiko in der Cloud gehören die folgenden:
Traditionelle Sicherheit: Eine Hybrid-Cloud-Umgebung ändert traditionelle Sicherheit, weil Sie nicht mehr völlig unter Kontrolle sind. Einige der IT-Ressourcen Sie verwenden nicht Ihren Räumlichkeiten. Nun müssen Sie sicherstellen, dass starke traditionelle Sicherheitsmaßnahmen werden von Ihrem Cloud-Anbieter verfolgt.
Physische Sicherheit deckt die Sicherheit von IT-Geräten, Netzwerkressourcen und Telekommunikationsinfrastruktur. CSA empfiehlt sowohl # 147-aktive und passive # 148- Verteidigung für die physische Sicherheit.
Personalsicherheit beschäftigt sich mit der Menschen Seite der Gleichung - Hintergrund-Kontrollen gewährleistet, Vertraulichkeit und Trennung von Aufgaben (das heißt, diejenigen, die Anwendungen entwickeln sie nicht funktionieren).
Geschäftskontinuität Pläne müssen Bestandteil eines Service-Level-Vereinbarung sein, um sicherzustellen, dass der Anbieter für den Dauerbetrieb mit Ihnen seine Service Level Agreements erfüllt.
Katastrophale Erholung Pläne müssen Ihr Vermögen sicherzustellen, dass (zum Beispiel Daten und Anwendungen) geschützt sind.
Incident-Handling: Eine Hybrid-Cloud-Umgebung ändert Vorfall in mindestens zwei Möglichkeiten der Handhabung. Erstens, während Sie die Kontrolle über Ihr eigenes Rechenzentrum haben kann, wenn ein Ereignis eintritt, müssen Sie sich mit Ihrem Service-Provider, da die Service-Provider steuert zumindest ein Teil der Infrastruktur zu arbeiten.
Zweitens macht die Multi-Tenant-Natur der Wolke oft Untersuchung ein Vorfall komplizierter. Zum Beispiel, weil Informationen vermischte werden kann, kann die Analyse von Log schwierig sein, da Ihr Service-Provider Privatsphäre zu erhalten versucht. Sie müssen herausfinden, wie Sie Ihren Service-Provider einen Vorfall definiert und stellen Sie sicher, können Sie verhandeln, wie Sie mit dem Provider arbeiten werde, um sicherzustellen, dass jeder zufrieden ist.
Anwendungssicherheit: Wenn eine Anwendung in der Cloud ist, ist es zu jeder Art von Bedrohung für die Sicherheit ausgesetzt. Die CSA teilt der Anwendungssicherheit in verschiedenen Bereichen, einschließlich der Software-Entwicklungszyklus in der Cloud-Authentifizierung, Autorisierung zu sichern und Compliance- Identitätsmanagement, Anwendung Berechtigungsmanagement, Anwendungsüberwachung, Anwendung Penetrationstests und Risikomanagement.
Verschlüsselung und Schlüsselverwaltung: Die Datenverschlüsselung bezieht sich auf eine Reihe von Algorithmen, die Text in eine Form umwandeln können genannt Chiffriertext, das ist ein verschlüsselter Form von Klartext, die Unbefugten nicht gelesen werden können. Der Empfänger einer verschlüsselten Nachricht verwendet einen Schlüssel, der den Algorithmus löst die Daten zu entschlüsseln, und es in seinen ursprünglichen Zustand zu dem berechtigten Benutzer bereitzustellen. Daher können Sie Daten verschlüsseln und zu gewährleisten, dass nur der vorgesehene Empfänger sie entschlüsseln kann.
In der Public Cloud können einige Organisationen versucht, alle Informationen zu verschlüsseln, weil sie über ihre Bewegung in die Cloud betroffen sind und wie sicher es ist, wenn es in der Wolke ist. In jüngster Zeit haben Fachleute auf dem Gebiet andere Sicherheitsmaßnahmen begonnen neben Verschlüsselung zu berücksichtigen, die in der Wolke verwendet werden kann.
Identitäts- und Zugriffsverwaltung: Identitätsmanagement ist ein sehr breites Thema, das auf viele Bereiche des Rechenzentrums gilt. Das Ziel der Identitätsmanagement ist der Zugang zu Computerressourcen zu steuern, Anwendungen, Daten und Dienste.
Identitätsmanagement erheblich ändert in der Cloud. In einem traditionellen Rechenzentrum, können Sie einen Verzeichnisdienst für die Authentifizierung verwenden und dann die Anwendung in einer Firewall sichere Zone bereitstellen. Die Wolke erfordert oft mehrere Formen der Identität, die den Zugang zu Ressourcen, um sicherzustellen, ist sicher.
Mit dem zunehmenden Einsatz von Cloud Computing, Wireless-Technologie und mobile Geräte, die Sie nicht mehr haben gut definierte Grenzen in Bezug auf welche internen und was auf Ihre Systeme extern ist. Sie müssen prüfen, ob Löcher oder Schwachstellen existieren über Server, Netzwerk-Infrastruktur-Komponenten und Endpunkte, und dann fortlaufend zu überwachen. Mit anderen Worten, müssen Sie in der Lage sein, eigene Infrastruktur sowie ein Cloud-Anbieter die Infrastruktur zu vertrauen.