PA咨询公司的网络安全负责人ElliotRose表示,在使用云计算IaaS时,企业需要确保自己的软件开发考虑到安全要求。Rose说,“例如,它是如何托管的,谁托管它?是什么控制水平?”
Thomson解释说:“另一个重要的考虑因素是提供者和客户之间的共同责任模型。在该模型下,云计算提供商负责基础设施,因此他们的数据中心的物理安全性就是他们面临的主要问题。例如,如果企业网络和基础设施被黑客入侵,他们还要对网络和基础设施安全负责。他们有时还要对虚拟机管理程序本身负责,但并不对客户的数据负责。”
另一个考虑因素取决于组织所在的行业。不同类型的企业将有不同的数据保护需求:例如,政府机构或金融公司必须遵守比零售商更严格的监管指导准则。但是,根据欧盟数据保护法规(GDPR),所有公司都有责任保护客户和用户数据。
Rose说,现在有一种由监管驱动的安全设计方法。他还指出用户有责任深入挖掘,查看供应链,并实施数据影响评估。
与此同时,McAfee公司数据隐私专家NigelHawthorn指出,“如果你是数据控制者,那么仍然需要对信息负责,无论使用哪种数据处理器,还是将其外包给任何人,其中包括云计算。”
保护云计算曾经是一项艰巨的任务,但如今可以应用多种控制和保护。作为其中的一部分,员工的支持是关键:企业可以培训员工使用已批准的版本,而不是阻止云计算应用或服务。在技术方面,专家提倡基本的安全控制,如加密和双因素身份验证。
此外,Gibbard认为拥有合适的工具集非常重要,包括网络扫描和修补。他表示,后者是在任何环境中防止网络攻击的简单方法。
Gibbard表示,同时,持续监控使企业能够跟踪其环境中的数据,他还提倡基于角色的访问控制和确保可以访问正确的系统数据。
一旦企业掌握了他们需要做出安全保护的操作,就该开始研究迁移到云端的东西。正如Thomson警告的那样:“没有人拥有无限的预算,因此将所有内容放入云端,并在云平台添加安全应用程序是不现实的。所有这些都需要评估。”
阅读推荐:洗牌在即,云计算厂家你最看好哪一家?
