Pilvipohjaiset tietojärjestelmät täyttävät tärkeitä tehtäviä lähes jokaisessa nykyaikaisessa teollisuudessa. Yritykset, voittoa tavoittelemattomat yritykset, hallitukset ja jopa oppilaitokset käyttävät pilviä laajentamaan markkinoiden ulottuvuutta, analysoimaan suorituskykyä, hallitsemaan henkilöstöresursseja ja tarjoamaan parempia palveluja. Luonnollisesti tehokas pilvipalvelun hallinta on välttämätöntä kaikille yhteisöille, jotka haluavat hyötyä hajautetusta IT: stä.
Kuten kaikki IT-verkkotunnukset, pilvipalveluilla on ainutlaatuisia turvallisuusongelmia. Vaikka ajatus siitä, että data on turvallinen pilvessä, on pitkään ollut mahdoton ristiriita, laajalle levinnyt teollisuuskäytäntö paljastaa lukuisia tekniikoita, jotka tarjoavat tehokkaan pilvivarmuuden. Koska kaupalliset pilvipalveluntarjoajat, kuten Amazon AWS, ovat osoittaneet ylläpitämällä FedRAMPin noudattamista, tehokas pilvivarmuus on sekä saavutettavissa että käytännöllinen todellisessa maailmassa.
$config[code] not foundVaikuttavan tietoturvataulun kartoitus
Ei tietoturvaprojekti voi toimia ilman vankkaa suunnitelmaa. Pilviä sisältävien käytäntöjen on vaihdettava niiden suojausalueiden ja toteutusten mukaan, joita ne pyrkivät suojelemaan.
Oletetaan esimerkiksi, että paikallishallinnon laitokset tuovat oman laitteen tai BYOD-politiikan. Se voi joutua ottamaan käyttöön erilaisia valvontasääntöjä kuin jos se yksinkertaisesti estäisi työntekijöitään pääsemästä organisaatioverkkoon käyttämällä henkilökohtaisia älypuhelimia, kannettavia tietokoneita ja tabletteja. Samoin yrityksen, joka haluaa tehdä tietonsa helpommin saataville valtuutetuille käyttäjille tallentamalla sen pilviin, on todennäköisesti otettava käyttöön eri vaiheet, jotta se voi valvoa pääsyä, kuin se olisi, jos se säilyttäisi omat tietokannansa ja fyysiset palvelimet.
Tämä ei tarkoita sitä, kuten jotkut ovat ehdottaneet, että pilvivarman onnistunut pitäminen on vähemmän todennäköistä kuin tietoturvan ylläpitäminen yksityisessä lähiverkossa. Kokemus on osoittanut, että eri pilvensuojatoimenpiteiden tehokkuus riippuu siitä, kuinka hyvin ne noudattavat tiettyjä todistettuja menetelmiä. Pilvipohjaisten tuotteiden ja palveluiden osalta, jotka käyttävät valtion tietoja ja varoja, nämä parhaat käytännöt määritellään osana Federal Risk and Authorization Management -ohjelmaa tai FedRAMPia.
Mikä on liittovaltion riskien ja lupien hallintaohjelma?
Federal Risk and Authorization Management -ohjelma on virallinen prosessi, jota liittovaltion virastot käyttävät arvioimaan pilvipalveluiden ja -tuotteiden tehokkuutta. Sen sydämessä ovat standardit, jotka määrittelee Kansallinen standardointi- ja teknologiainstituutti, tai NIST, erilaisissa erityisjulkaisuissa tai SP: ssä sekä liittovaltion tietojenkäsittelystandardissa tai FIPS-asiakirjoissa. Nämä standardit keskittyvät tehokkaaseen pilvipohjaiseen suojaukseen.
Ohjelma tarjoaa suuntaviivoja useille yleisille pilvipalvelun tehtäville. Näihin kuuluvat asianmukaiset tapausten käsittely, rikosteknisten menetelmien käyttö rikkomusten tutkimiseksi, varautumissuunnitelmien suunnittelu resurssien saatavuuden ylläpitämiseksi ja riskien hallinta. Ohjelma sisältää myös kolmannen osapuolen akkreditointiorganisaatioiden tai 3PAO: n akkreditointiprotokollat, jotka arvioivat pilvi toteutuksia tapauskohtaisesti. 3PAO-sertifioidun vaatimusten noudattaminen on varma merkki siitä, että IT-integraattori tai palveluntarjoaja on valmis pitämään tiedot turvallisena pilvessä.
Tehokkaat turvallisuuskäytännöt
Joten miten yritykset pitävät tietoja turvallisina kaupallisten pilvipalvelujen tarjoajien kanssa? Vaikka on olemassa lukemattomia tärkeitä tekniikoita, muutama kannattaa mainita tässä:
Palveluntarjoajan vahvistaminen
Voimakkaat työsuhteet perustuvat luottamukseen, mutta hyvässä uskossa on oltava jonnekin. Riippumatta siitä, miten hyvin pilvipalvelujen tarjoaja on, on tärkeää, että käyttäjät todentavat vaatimustenmukaisuus- ja hallintokäytännöt.
Hallituksen tietoturvastandardit sisältävät tyypillisesti tilintarkastus- ja pisteytysstrategioita. Pilvipalveluntarjoajan aiemman suorituskyvyn tarkistaminen on hyvä tapa selvittää, ovatko ne kelvollisia tulevaa liiketoimintaa varten. Henkilöt, joilla on.gov- ja.mil-sähköpostiosoitteita, voivat myös käyttää eri palveluntarjoajiin liittyviä FedRAMP-tietoturvapaketteja niiden vaatimustenmukaisuusvaatimusten vahvistamiseksi.
Oletetaan Proaktiivinen rooli
Vaikka Amazon AWS ja Microsoft Azure, kuten palvelut, noudattavat vakiintuneita standardeja, kattava pilvensuojelu vie enemmän kuin yhden osapuolen. Ostamasi pilvipalvelupaketin mukaan saatat joutua ohjaamaan palveluntarjoajan tiettyjen keskeisten ominaisuuksien toteutusta tai neuvoa heitä noudattamaan tiettyjä turvallisuusmenettelyjä.
Jos esimerkiksi olet lääkinnällisten laitteiden valmistaja, lakit, kuten sairausvakuutuksen siirrettävyys- ja vastuullisuuslaki tai HIPAA, voivat antaa valtuudet ryhtyä lisätoimenpiteisiin kuluttajien terveystietojen turvaamiseksi. Nämä vaatimukset ovat usein olemassa riippumatta siitä, mitä palveluntarjoajan on tehtävä säilyttääkseen liittovaltion riskien ja lupien hallintaohjelmansa sertifioinnin.
Vähimmäisvaatimuksena olet yksin vastuussa turvallisuuskäytäntöjen ylläpidosta, jotka kattavat organisaation vuorovaikutuksen pilvijärjestelmien kanssa. Esimerkiksi sinun on luotava suojattu salasanapolitiikka henkilöstölle ja asiakkaille. Pallon pudottaminen päähän voi vaarantaa jopa tehokkaimman pilvipalvelun toteutuksen, joten ota vastuu nyt.
Se, mitä teet pilvipalveluissasi, vaikuttaa viime kädessä niiden turvaominaisuuksien tehokkuuteen. Työntekijät voivat tehdä varjossa IT-käytäntöjä, kuten dokumenttien jakamista Skypen tai Gmailin välityksellä, mukavuussyistä, mutta nämä näennäisesti vaarattomat tekot voivat haitata huolellisesti säädettyjä pilvensuojelusuunnitelmia. Henkilöstön koulutuksen lisäksi, miten valtuutettuja palveluita käytetään asianmukaisesti, sinun on opetettava heitä välttämään epävirallisia tietovirtoja.
Ymmärrä pilvipalvelun ehdot riskien hallitsemiseksi
Tietojen tallentaminen pilviin ei välttämättä anna sinulle samat päästöoikeudet, jotka olisit omalla tallennuksella. Jotkut palveluntarjoajat säilyttävät oikeuden traalata sisältöä, jotta he voivat palvella mainoksia tai analysoida tuotteidensa käyttöä. Toiset saattavat joutua käyttämään tietojasi teknisen tuen tarjoamisen yhteydessä.
Joissakin tapauksissa tietojen altistuminen ei ole suuri ongelma. Kun käsittelet henkilökohtaisia tunnistettavia kuluttajatietoja tai maksutietoja, on kuitenkin helppo nähdä, miten kolmannen osapuolen käyttöoikeudet voisivat aiheuttaa katastrofia.
Saattaa olla mahdotonta estää kokonaan pääsyä etäjärjestelmään tai tietokantaan. Kuitenkin työskentely palveluntarjoajien kanssa, jotka vapauttavat tilitietueita ja järjestelmätietokantoja, pitää sinut tietoisina siitä, ylläpidetäänkö tietojasi turvallisesti. Tällainen tieto on pitkälle kohti auttaa yrityksiä lieventämään mahdollisten rikkomusten kielteisiä vaikutuksia.
Älä koskaan ota turvallisuus on kertaluonteinen asia
Useimmat älykkäät ihmiset muuttavat henkilökohtaisia salasanojaan säännöllisesti. Eikö sinun pitäisi olla yhtä huolellinen kuin pilvipohjainen tietoturva?
Riippumatta siitä, kuinka usein palveluntarjoajan vaatimustenmukaisuusstrategia sanelee, että ne suorittavat itsearviointeja, sinun on määriteltävä tai hyväksyttävä oma standardisarjasi rutiiniarviointiin. Jos noudatat myös sääntöjen noudattamista koskevia vaatimuksia, kannattaa ottaa käyttöön tiukka järjestelmä, jolla varmistat, että voit täyttää velvollisuutesi, vaikka pilvipalveluntarjoajasi ei toimisi näin johdonmukaisesti.
Cloud-tietoturvapäivitysten luominen, jotka toimivat
Tehokas pilvensuojelu ei ole mystinen kaupunki, joka sijaitsee ikuisesti horisontin ulkopuolella. Se on vakiintunut prosessi, ja se on useimpien IT-palvelujen käyttäjien ja palveluntarjoajien ulottuvilla riippumatta siitä, mitä standardeja ne noudattavat.
Kun mukautat tässä artikkelissa kuvattuja käytäntöjä omiin tarkoituksiin, on mahdollista saavuttaa ja ylläpitää tietoturvastandardeja, jotka pitävät tietosi turvassa ilman, että operatiiviset yleiskustannukset nousevat huomattavasti.
Kuva: SpinSys
1 Kommentti ▼