误区3:云计算安全太复杂,无法维护
这是人们一个长期的误解:云计算安全对大多数组织来说太复杂,无法有效地掌握。
这个误解表明,企业保护自己的本地网络或数据中心的过程非常简单。但是人们也要明白:如果这很容易,为什么每个人都会这样做?如果IT安全非常容易,为什么它会遭受持续不断的漏洞攻击?
事实上,人们对于云计算这个想法接近于对内部部署基础设施的看法,实际上可能会让IT专业人员陷入不安全的安全感。
“仅仅因为工作人员能够监控服务器和存储设备,并不意味着其安全控制措施已经到位。”CYBRIC公司的Kail说,“大型违规行为发生的原因是缺乏适当的保护和安全流程,而不是因为所在的地点。”
现实3:混合云安全需要新的模型和流程
事实是,当企业将工作负载转移到公共云时,其原有的做法仍在实施。如果企业想要保护混合云架构,或者寻求利用两个或更多不同平台的多云战略,情况会变得更加真实。
“云计算安全是一种新的模式,是软件定义的。不依赖于明确的网络边界。”Kail说,“其实施或维护并不复杂,而是需要一种新的思维方式和文化。”
Kail指出,这种文化是DevOps.希望在安全性方面提供更好的观点的组织越来越多地接受DevSecOps,它确实使安全性与软件的其他主要部分具有相同的地位。
误区4:公共云安全是云计算供应商考虑的问题
公共云的一个共同卖点是,它为组织提供了无法实现的计算能力、可扩展性和灵活性(由于成本、技能集、基础设施老化等原因)。
一家小型创业企业采用云计算服务,可以在一夜之间使用企业级质量的基础设施。其理由很简单:云计算提供商已经为其提供了服务,初创公司不需要购买服务器,更不用说构建数据中心,除非这样做是其更广泛的IT战略的一部分。
然而,这并不能免除其风险。因为在云平台上运行和存储的仍然是企业自己的数据和应用程序。企业当然应该选择根据自己的需求在安全和相关领域大量投资的公共云供应商。只是不要认为自己的工作已经完成。
现实4:公共云安全仍然最终取决于企业的CIO
Kail表示:“云计算提供商拥有适合客户使用的软件定义结构和API,云计算安全需要最终成为客户的责任。”
这并不意味着企业的公共云供应商不能提供帮助。正如Kail指出的那样,任何具有实力的云计算提供商都在不断投资于其平台的安全性,并且他们可以在全球范围内进行投资。
企业可以将过去常常阻碍云采用的巨大安全恐惧转化为重塑云计算安全的实践机会。
Gerchow特别为公共云安全提出了一些建议。他指出,“公共云环境中的每件事都应该使用密钥轮换措施进行加密。公共云也为使用单点登录和多因素身份验证打开了大门。”
SAS公司首席信息安全官Brian Wilson提出建议:如果企业优先考虑这些技术和实践,请确保其潜在提供商能够支持这些要求。例如,不要采用表面上的“加密”,而是真正了解他们如何支持密钥管理。
如果企业已经认清了云计算安全现实,那么可以根据其需求与适合的云计算提供商开展合作。