Informacijski sustavi temeljeni na oblaku ispunjavaju važne funkcije u gotovo svakoj modernoj industriji. Tvrtke, neprofitne organizacije, vlade, pa čak i obrazovne institucije koriste taj oblak kako bi proširile tržišni doseg, analizirale performanse, upravljale ljudskim resursima i ponudile poboljšane usluge. Naravno, učinkovito upravljanje oblakom ključno je za bilo koji subjekt koji želi iskoristiti prednosti distribuirane IT.
Kao i svaka IT domena, cloud computing ima jedinstvene sigurnosne probleme. Iako se sama ideja o čuvanju podataka u oblaku dugo smatrala nemogućom proturječnošću, široko rasprostranjene prakse u industriji otkrivaju brojne tehnike koje pružaju učinkovitu sigurnost oblaka. Kao što su komercijalni pružatelji usluga u oblaku, kao što je Amazon AWS, pokazali održavanjem FedRAMP usklađenosti, učinkovita sigurnost oblaka je i ostvariva i praktična u stvarnom svijetu.
$config[code] not foundIscrtavanje plana sigurnosti
Nijedan IT sigurnosni projekt ne može funkcionirati bez čvrstog plana. Prakse koje uključuju oblak moraju varirati u skladu s domenama i implementacijama koje žele zaštititi.
Na primjer, pretpostavimo da agencija lokalne samouprave uspostavlja vlastiti uređaj ili politiku BYOD. Možda će morati donijeti različite nadzorne kontrole nego što bi to bilo ako bi svojim zaposlenicima zabranilo pristup organizacijskoj mreži pomoću svojih osobnih pametnih telefona, prijenosnih računala i tableta. Isto tako, tvrtka koja želi da svoje podatke učini pristupačnijim ovlaštenim korisnicima pohranjivanjem u oblak vjerojatno će morati poduzeti različite korake kako bi pratila pristup nego što bi to činila ako bi održavala vlastite baze podataka i fizičke poslužitelje.
To ne znači, kao što su neki sugerirali, da je uspješno zadržavanje sigurnosti oblaka manje vjerojatno od održavanja sigurnosti na privatnom LAN-u. Iskustvo je pokazalo da učinkovitost različitih mjera sigurnosti u oblaku ovisi o tome koliko se dobro pridržavaju određenih dokazanih metodologija. Za proizvode i usluge u oblaku koji koriste vladine podatke i imovinu, ove najbolje prakse definirane su kao dio Federalnog programa upravljanja rizikom i autorizacijom ili FedRAMP.
Što je Federalni program upravljanja rizikom i autorizacijom?
Savezni program upravljanja rizikom i autorizacijom je službeni proces koji savezne agencije koriste kako bi procijenile učinkovitost usluga i proizvoda u oblaku. U svom srcu leže standardi koje je definirao Nacionalni institut za standarde i tehnologiju, ili NIST, u raznim Posebnim publikacijama, ili SP, i Federal Information Processing Standard, ili FIPS, dokumenti. Ti se standardi usredotočuju na učinkovitu zaštitu temeljenu na oblaku.
Program pruža smjernice za mnoge uobičajene sigurnosne zadatke u oblaku. To uključuje ispravno rješavanje incidenata, korištenje forenzičkih tehnika za istraživanje kršenja, planiranje nepredviđenih okolnosti za održavanje dostupnosti resursa i upravljanje rizicima. Program također uključuje protokole akreditacije za organizacije za akreditaciju trećih strana, ili 3POS, koje procjenjuju implementaciju u oblaku od slučaja do slučaja. Održavanje 3PAO certifikata siguran je znak da je IT integrator ili pružatelj usluga spreman čuvati informacije u oblaku.
Učinkovite sigurnosne prakse
Dakle, samo kako tvrtke čuvaju podatke sigurne s komercijalnim pružateljima usluga u oblaku? Iako postoje bezbrojne važne tehnike, nekoliko ih je ovdje vrijedno spomenuti:
Provjera pružatelja usluga
Snažni radni odnosi izgrađeni su na povjerenju, ali ta dobra vjera mora negdje potjecati. Bez obzira na to koliko je dobro uspostavljen davatelj usluga u oblaku, važno je da korisnici autentificiraju svoje postupke usklađenosti i upravljanja.
Državni IT sigurnosni standardi obično uključuju strategije revizije i ocjenjivanja. Provjera prošlih performansi davatelja usluga u oblaku dobar je način da otkrijete jesu li dostojni vašeg budućeg poslovanja. Pojedinci koji imaju.gov i.mil adrese e-pošte također mogu pristupiti FedRAMP sigurnosnim paketima povezanim s različitim pružateljima usluga kako bi potvrdili svoje zahtjeve za usklađivanje.
Pretpostavimo proaktivnu ulogu
Iako se usluge kao što su Amazon AWS i Microsoft Azure ispovijedaju poštivanju utvrđenih standarda, sveobuhvatna sigurnost oblaka zahtijeva više od jedne stranke. Ovisno o paketu usluga u oblaku koji kupite, možda ćete morati usmjeriti implementaciju određenih ključnih značajki davatelja usluga ili ih savjetovati da moraju slijediti određene sigurnosne postupke.
Na primjer, ako ste proizvođač medicinskih uređaja, zakoni poput Zakona o prenosivosti zdravstvenog osiguranja i odgovornosti, ili HIPAA, mogu odrediti da poduzmete dodatne korake za zaštitu podataka o zdravlju potrošača. Ovi zahtjevi često postoje neovisno o tome što vaš davatelj usluga mora učiniti kako bi zadržao certifikat Federalnog programa upravljanja rizikom i autorizacije.
Na minimumu ćete biti odgovorni samo za održavanje sigurnosnih postupaka koji pokrivaju vašu organizacijsku interakciju sa sustavima u oblaku. Na primjer, trebate uspostaviti sigurne politike za svoje zaposlenike i klijente. Ispuštanje lopte na vaš kraj može ugroziti čak i najučinkovitiju implementaciju sigurnosti oblaka, tako da sada preuzmite odgovornost.
Ono što radite s uslugama u oblaku u konačnici utječe na učinkovitost njihovih sigurnosnih značajki. Vaši zaposlenici mogu se uključiti u praksu IT-a u sjeni, kao što je dijeljenje dokumenata putem Skype-a ili Gmaila, zbog praktičnosti, ali ta naizgled bezopasna djela mogu ometati vaše pažljivo postavljene planove zaštite oblaka. Uz osposobljavanje osoblja za pravilno korištenje ovlaštenih usluga, morate ih naučiti kako izbjeći zamke koje uključuju neslužbene tokove podataka.
Razumijevanje uvjeta usluge u oblaku za kontrolu rizika
Hosting vaših podataka u oblaku ne mora vam nužno dati iste dopuštene količine koje ste sami imali pri samom pohranjivanju. Neki pružatelji usluga zadržavaju pravo iskorištavanja vašeg sadržaja kako bi mogli posluživati oglase ili analizirati vaše korištenje svojih proizvoda. Drugi će možda morati pristupiti vašim podacima tijekom pružanja tehničke podrške.
U nekim slučajevima izloženost podacima nije veliki problem. Međutim, kada se bavite osobnim informacijama potrošača ili podacima o plaćanju, lako je vidjeti kako bi pristup treće strane mogao dovesti do katastrofe.
Može biti nemoguće u potpunosti spriječiti pristup udaljenom sustavu ili bazi podataka. Bez obzira na to, rad s davateljima usluga koji izdaju zapise o reviziji i evidenciji o pristupu sustavu čuva vas u saznanju o tome jesu li vaši podaci sigurni. Takvo znanje je dug put prema pomaganju entitetima da ublaže negativne učinke bilo kakvih kršenja koja se dogode.
Nikada nemojte pretpostavljati da je sigurnost jednokratna
Većina inteligentnih ljudi redovito mijenja svoje osobne lozinke. Ne biste li trebali biti jednako marljivi glede IT sigurnosti utemeljenog na oblaku?
Bez obzira na to koliko često strategija usklađenosti vašeg pružatelja usluga nalaže da provode vlastite revizije, morate definirati ili usvojiti vlastiti skup standarda za rutinske procjene. Ako ste također vezani zahtjevima usklađenosti, bilo bi vam potrebno da donesete strogi režim koji osigurava da možete ispuniti svoje obveze čak i ako vaš davatelj usluga u oblaku to ne čini dosljedno.
Stvaranje sigurnosnih rješenja u oblaku koje rade
Djelotvorna sigurnost oblaka nije neki mistični grad koji zauvijek leži iza horizonta. Kao dobro uspostavljen proces, to je u dosegu većine korisnika i pružatelja IT usluga, bez obzira na standarde kojima odgovaraju.
Prilagodbom praksi navedenih u ovom članku u vaše svrhe, moguće je postići i održati sigurnosne standarde koji čuvaju vaše podatke sigurnim bez drastičnog povećanja operativnih troškova.
Slika: SpinSys
1 Komentar ▼
